[TYPO3-german] LDAP und ADS Query-Limit von 1000

Marcus Krause marcus.krause at tu-clausthal.de
Tue Apr 17 15:43:08 CEST 2007


Carsten Schmidt schrieb:
> Hallo,
> 
> Marcus Krause wrote:
>> Erstmal:
>> Grundsätzlich funktioniert eu_ldap auch in oben beschriebenen Fall.
>> Allerdings lassen sich die User aufgrund des Limits nicht mehr
>> vollständig manuell importieren. Wenn sich ein User am FE anmeldet, wird
>> anhand der übergebenen Daten geprüft, ob er lokal oder auf dem AD
>> existiert und der User anhand Benutzername und Passwort gegen den AD
>> authentifiziert. Hast Du in der Konfiguration “Import users
>> automatically” aktiviert, solltest Du also irgendwann mal alle
>> Datensätze aus dem AD in TYPO3 importiert.
>> Voraussetzung ist also, dass sich nicht automatisch erkannte Benutzer
>> einmalig manuell anmelden.
> 
> ja, genauso ist es. Der Import funktioniert tatsächlich ohne Probleme.
> Das war auch der Grund warum ich nach einiger Testzeit nicht nur 1000,
> sondern 1005 Benutzer in der Liste stehen hatte.
> 
>> Interessant wäre noch zu wissen, wo Du Deine IP-Einträge pflegst; im AD
>> oder im TYPO3-System?
> 
> Die Geschichte mit der IP ist viel einfacher gedacht gewesen. Die IPs
> pro Login werden bei uns nicht gepflegt. Der einzige Wunsch war, den
> Login für bekannte Subnetze (sprich Aufrufe aus dem Intranet) zu
> umgehen. Hierfür nehm ich einfach die bekannten Subnetze und logge den
> Benutzer "intranet" hierüber automatisch ein. Dies hat soweit auch schon
> ohne Probleme funktioniert.

Okay, da hatte ich Dich falsch verstanden.

Ich fasse zusammen:
Lokale Benutzer (aus dem Intranet) werden automatisch über das bekannte
Subnetz als FE-User "intranet" eingeloggt.
Externe Benutzer müssen sich gegen den AD authentifizieren.

Das Problem ist also, dass (externe) Benutzer nicht authentifiziert
werden können. Dies ist aber nicht auf ein Query-Limit zurückzuführen!

eu_ldap durchläuft ja beim Authentifizieren nicht den gesamten Inhalt
des AD, sondern bindet sich zunächst mit dem Service-Account an den AD,
sucht sich dann die DN des zu authentifizierten Benutzers anhand des
Benutzernamens typischerweise mit einem Filter auf sAMAccountname.
Anschließend wird versucht, sich mittels ermittelten DN und dem
eingegebenen Passwort gegen den AD zu binden und optional dann die
entsprechenden Userdaten ins TYPO3-System importiert. Es wird niemals
der gesamte Verzeichnisinhalt abgefragt!

Und wie ich bereits geschildert habe, musst Du für die Authentifizierung
nicht erst den gesamten Bestand an AD-Usern in Dein TYPO3-System
importieren. Bei jedem Login-Vorgang führt eu_ldap die Authentifizierung
gegen den AD durch. Auch (noch) nicht importierte Benutzer können somit
authentifiziert werden!
Insofern war Dein Betreff "... ADS Query Limit von 1000" etwas
missverständlich.

Falls die Authentifizierung nicht klappt, kannst Du folgendes unternehmen:
- sind die für den LDAP-Server eingegebenen Daten wirklich korrekt?
  (also BaseDN, Filter, Service-Account)
  (unter Linux gibt's das Skript ldapsearch; mit diesem kannst Du die
Daten verifizieren; am besten von dem Host aus, auf dem auch TYPO3 läuft)
- installiere cc_devlog und lies die Ausgaben
- debugge eu_ldap direkt

Viel Erfolg!


More information about the TYPO3-german mailing list