ich habe ein Problem mit der LDAP Anbindung von check mk.
Und zwar würde ich gern Nested Groups nutzen, das funktioniert aber leider nur teilweise.
Und zwar im Suchfilter der zu synchronisierenden User funktionieren nested Groups mit
memberOf:1.2.840.113556.1.4.1941:=CN=[dn der Gruppe]
Jetzt wollte ich aber die Rollen und Kontaktgruppen auch noch machen.
Dort muss ich ja aber den DN angeben, kann also nicht mit memberof:… arbeiten, korrekt? Wenn ich den normalen DN angebe und dann den Haken setze Verschachtelte Gruppen untersützen habe ich immer einen Fehler beim Benutzerabgleich, dass dieser in eine Ausnahme geraten ist (passiert sowohl bei Kontaktgruppen als auch bei Rollen).
Lasse ich den Haken weg funktioniert der Abgleich. Aber das ist dann eigentlich nicht wie ich es gern hätte. Wie bekomme ich das mit den nested Groups auch bei Rollen und Kontakten hin? Danke
Bei Rollen und Kontaktgruppen kannst du mit den Gruppen DNs arbeiten, warum auch nicht? An dem Punkt arbeitest du natürlich nicht mit memberof weil du eben angibst AD Gruppe XY entspricht Rolle XY. Nested Groups wären ja Witzlos wenn man über das MemberOf Attibut arbeitet, da ist ja dann nichts nested wenn die direkte Gruppenmitgliedschaft besteht und mit AGDLP würde es sich auch nicht vertragne.
Da ich nur ein Bild pro Post machen kann, zweiter Post
Hast du denn auch die Gruppen die du verwenden möchtest im Sync drin? Das wäre so der einzige Ansatzpunkt auch wenn ich mit dem Fehler so gar nichts anfangen kann - wie bei vielen Fehlermeldungen von CheckMK
Beispiel:
danke erstmal für deine Antwort. Ich bin mir nicht sicher ob wir aneinander vorbei reden.
Also kurz zum Aufbau:
Ich habe User-Konto Max.Muster
Max.Muster und ist Mitglied im AD von einer Gruppe “IT-Level-1-Mitarbeiter” (die Rolle)
Diese Gruppe ist wiederrum Mitglied einer Gruppe, nennen wir sie “checkmk-User”
checkmk-User suche ich im Userfilter mit memberOf:1.2.840.113556.1.4.1941, das funktioniert denn er findet Max.Muster . Nested Groups funktioniert an der Stelle
Nun möchte ich noch die Rollen zuweisen, ich habe eine Gruppe, nennen wir Sie “checkmk-Admins”.
Diese wiederrum hat als Mitglieder die Gruppe “IT-Level-2-Mitarbeiter”, worin wiederum Userkonten sind. Dies funktioniert dann eben nicht. Dort gebe ich als DN checkmk-Admins an, dann findet er die Konten nicht, denn die Konten sind natürlich eine “Ebene tiefer”, also erst in einer weiteren Gruppe. Setze ich den Haken “Nested Groups” wie auf deinen Screenshot, funktioniert keine Synchronisation mehr, denn dann kommt immer nur dieser Fehler:
Bei den Kontaktgruppen sieht es leider ähnlich aus.
PS: Gruppen sind im sync mit drin, wenn das nicht passt sagt er das auch automatisch das der DN der Rollengruppe nicht im Gruppenfilter mit enthalten ist. Das sollte also passen
edit2: Ich habe jetzt nochmal ein wenig getestet. Vom Prinzip her, wie die Gruppen verschachtelt sind usw ist vollkommen egal, sobald ich den Haken setze bei Verschachtelte Gruppen unterstützen, bekomme ich diesen Fehler. Bei Kontakt sowie bei Rollen
ja ist er.
Also der Usersync ist nicht mein Problem. Der funktioniert mit Nested Groups, ich kann eben nur den Haken für verschachtelte Gruppen bei den Rollen nicht setzen