Hallo Holger,
> >> Will sagen, ich vermute bei dir auch, dass bei der Userabfrage nur die >> Lehrer zugelassen sind wie bei Holger Baumhof. Wie gesagt, nur Vermutung. > genau das hatte ich gestern schon befürchtet und deswegen nachgeschaut, > ob den auch die Schüler gid Nummern über 10000 haben, was der Fall ist. > Den einzigen "Filter" den ich fand war das gid=10000 > > .. inzwischen geht es aber.. nachdem ich das gid = 10000 vor lauter > Paranoia doch mal weggelassen hatte. > > Ich habe nun folgendes: > > Benutzerfilter: (|(objectclass=posixAccount)) > Anmeldeatribute: (&(|(objectclass=posixAccount))(|(uid=%uid)(|(uid=%uid)))) > Gruppen: > (&(|(objectclass=posixGroup))(|(cn=teachers)(cn=p_info1)(cn=p_info2))) > > genau so ist es ja auch richtig :-) Ich habe nochmals nachgedacht darüber und es ist eben so, dass du zunächst einmal den User in der ou=accounts finden musst, dort steht auch seine primary-group verewigt, aber nur mit der GID (GroupID). Diese kannst du abfragen (da gibt es auch eine Anleitung zum Sperren von Verzeichnisen per .htaccess-Datei/BasicAuth im Apache2, dort wird auch die GID=10000 abgefragt (also teachers), das ist aber die primäre Gruppe, wenn du Projekte haben willst, dann nützt die primäre Gruppe nichts, du musst nach dem Abfragen der Userdaten dann noch die Abfrage der Gruppendaten aus der ou=groups nachschalten. Jetzt ist mir auch klargeworden, warum der squid nicht nur das Script /usr/lib/squid3/basic_ldap_auth sondern auch noch das /usr/lib/squid3/ext_ldap_group_acl mitliefert, denn da funktioniert es genau so! Wobei ich für meine Zwecke (Proxy, der nur von Lehrern genutzt werden kann) auch einfach bei der Benutzerabfrage gleich noch die GID=10000 abfragen könnte - das probiere ich mal aus. Grüße Jens _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
