Erweiterungswunsch: LDAP und Gruppenrechte

PHP Newsletter Software/Script und E-Mail-Marketing Software SuperWebMailer

Moderator: mirko

Antworten
Benutzeravatar
mirko
Beiträge: 21479
Registriert: 25.11.2001, 15:14
Wohnort: Leipzig
Kontaktdaten:

Re: Erweiterungswunsch: LDAP und Gruppenrechte

Beitrag von mirko » 16.01.2019, 18:39

Beta-Tester nutzt bei Scripten wenig, ich hoffe das es funktioniert, zumindest mit OpenLDAP funktioniert das.

Die Rechte sind die gleichen wie bei einem normalen Nutzer den man von Hand einrichtet, das gibt man vor und dann bekommt jeder Nutzer die gleiche Rechte, falls dieser nicht existiert. Admin-Nutzer werden nicht automatisch angelegt, nur eingeschränkte Nutzer.

adelphi
Beiträge: 74
Registriert: 29.10.2012, 14:57

Re: Erweiterungswunsch: LDAP und Gruppenrechte

Beitrag von adelphi » 16.01.2019, 17:52

mirko hat geschrieben:
16.01.2019, 17:20
Aber ob das jemand nutzt, da habe ich so meine Zweifel. Der LDAP-Server muss vom Webspace auch noch erreichbar sein, das wird auch sehr selten der Fall sein.
Wow, super, ich bin beeindruckt! Falls Du einen Beta-Tester brauchst, erkläre ich mich gerne bereit!
mirko hat geschrieben:
16.01.2019, 17:20
Aber ob das jemand nutzt, da habe ich so meine Zweifel.
Wir auf jeden Fall und dadurch ersparen wir uns eine Menge Arbeit bei der Nutzerverwaltung.
Wie erfolgt das mit der Rechtevergabe? Kann man festlegen, welche Rechte ein per LDAP erzeugter SWM-User standardmäßig bekommt? Man könnte dazu ja die Funktion der Rechtevorlage gebrauchen...
mirko hat geschrieben:
16.01.2019, 17:20
Der LDAP-Server muss vom Webspace auch noch erreichbar sein, das wird auch sehr selten der Fall sein.
In Enterpriseumgebungen gibt es gesicherte VPN Tunnel zwischen Webserver und internem LDAP. Sonst würde ja wohl kaum fast jedes Webtool eine LDAP Schnittstelle haben, wenn das niemand gebrauchen könnte. ;)

Ich bin sehr gespannt!

Benutzeravatar
mirko
Beiträge: 21479
Registriert: 25.11.2001, 15:14
Wohnort: Leipzig
Kontaktdaten:

Re: Erweiterungswunsch: LDAP und Gruppenrechte

Beitrag von mirko » 16.01.2019, 17:20

So 3 Tage Arbeit, nun ist die LDAP-Anbindung fertig und wird es in der nächsten Version geben. Aber ob das jemand nutzt, da habe ich so meine Zweifel. Der LDAP-Server muss vom Webspace auch noch erreichbar sein, das wird auch sehr selten der Fall sein.

adelphi
Beiträge: 74
Registriert: 29.10.2012, 14:57

Re: Erweiterungswunsch: LDAP und Gruppenrechte

Beitrag von adelphi » 10.01.2019, 14:51

Ich erlaube mir mal, mich hier mit einzuklinken, da diesbezüglich in den letzten 3 Jahren nichts passiert ist und auch für uns diese Funktion wichtig ist.

Auch wir setzen SWM in einem größeren Umfeld (250 User) ein, wo Automatisierung im Rahmen der Nutzerverwaltung unverzichtbar ist. Nahezu alle von uns eingesetzten php basierten Weblösungen (Nextcloud, Pydio, Drupal, Wordpress, Joomla, Redmine, LimeSurvey, Moodle, TeamPasswordManager, um nur einige zu nennen) setzten seit Jahren auf LDAP oder SAML für die Nutzerauthentifizierung.
Selbst die von Dir eingesetzte Forensoftware kann LDAP: https://www.phpbb.com/support/docs/en/3 ... al_client/
mirko hat geschrieben:
15.04.2016, 13:56
Bei SuperWebMailer müssen die Nutzer in die Datenbank, hinten dran hängen viele Tabellen.
Alle genannten Lösungen legen dazu in der lokalen Datenbank bei der Erstanmeldung lokale Nutzer mit etlichen Tabellen an und reichen anschließend nur noch die Authentifizierungsanfrage an den LDAP-Server weiter. Das ist also kein Argument gegen LDAP sondern ein ganz normales Verhalten.
mirko hat geschrieben:
15.04.2016, 13:56
Wird bei der Synchronisierung festgestellt, dass ein Nutzer nicht mehr vorhanden ist, dann kann er auch nicht einfach die Daten aus den Tabellen und die Tabellen selbst löschen.
Auch das berücksichtigen alle Lösungen indem man einstellen kann, was beim Löschen eines Users im LDAP passiert: Daten liegen lassen oder Daten löschen. Eine Sperre des Konto erfolgt aber natürlich in jedem Fall, da die weitergereichte Authentifizierung ja fehlschlägt....

Insofern würde ich es sehr begrüßen, wenn Du Dir nochmal Gedanken darüber machst, LDAP vielleicht doch einzubinden. Wir einfach das geht, siehst Du in diesem Beispielcode: https://www.foxplex.com/sites/php-ldap- ... anbindung/

roland.doe
Beiträge: 2
Registriert: 15.04.2016, 13:33

Re: Erweiterungswunsch: LDAP und Gruppenrechte

Beitrag von roland.doe » 15.04.2016, 14:44

Ich kenne das von anderen PHP-basierten Systemen, die gehen wie folgt vor:

Bei der ersten Anmeldung des Benutzers wird der Account automatisch in der lokalen (also SWM) Datenbank angelegt (Berechtigungen: keine/wenige). Die Daten dafür stammen aus LDAP (z.B. UID, SN, CN, mail,...). Nach der erstmaligen Anmeldung kann ein Admin dann die Rechte dem neuen Benutzer zuteilen. Die weiteren Anmeldungen laufen "lokal" nur die Kennwortabfrage wird an LDAP zur Bestätigung weitergeleitet und das Ergebnis verarbeitet. Dafür braucht man nur den LDAP-Client unter Linux installiert zu haben. Dadurch ist auch eine Neukompilierung von PHP nicht nötig (da stimme ich zu, dass das nur wenige schaffen würden).

Die OpenSource-Produkte Alfresco ("www.alfresco.com/community"), OTRS (otrs.github.io) und ich glaube auch GIT (about.gitlab.com/) verwenden diesen Weg um mit LDAP zu arbeiten. Auch andere Produkte verfahren ähnlich, manche haben zusätzlich einen Synchronizer, der die Daten aus dem LDAP immer wieder abgleicht. Dafür muss ein eindeutiges Merkmal (z.B. die UUID, Mailadresse usw.) festgelegt werden (siehe dazu "lsc" - http://lsc-project.org/wiki/).

Roland

Benutzeravatar
mirko
Beiträge: 21479
Registriert: 25.11.2001, 15:14
Wohnort: Leipzig
Kontaktdaten:

Re: Erweiterungswunsch: LDAP und Gruppenrechte

Beitrag von mirko » 15.04.2016, 13:56

Das geht aber nicht. Bei SuperWebMailer müssen die Nutzer in die Datenbank, hinten dran hängen viele Tabellen. Wird bei der Synchronisierung festgestellt, dass ein Nutzer nicht mehr vorhanden ist, dann kann er auch nicht einfach die Daten aus den Tabellen und die Tabellen selbst löschen.

Nachtrag: PHP unterstützt nicht mal LDAP, muss man PHP erst neu compilieren, das bekommt kaum jemand hin.

roland.doe
Beiträge: 2
Registriert: 15.04.2016, 13:33

Erweiterungswunsch: LDAP und Gruppenrechte

Beitrag von roland.doe » 15.04.2016, 13:40

Hallo,

ich habe SWM neu installiert und muss nun Benutzer und Benutzerberechtigungen erstellen. Es wäre toll, wenn Benutzer via LDAP synchronisiert/angemeldet werden könnten.

Da ich mehrere Benutzer mit identischen Berechtigungen anlegen muss wäre eine Verwaltung mit Gruppenrechten auch wünschenswert. Das würde den administrativen Aufwand bei uns enorm vereinfachen.

Roland

Antworten