View Issue Details

IDProjectCategoryView StatusLast Update
0013632Tine 2.0Adminpublic2017-12-01 11:48
ReporterkneipAssigned To 
PrioritynormalSeveritymajorReproducibilityalways
Status newResolutionopen 
Product Version2017.08.8 Community Edition 
Target VersionFixed in Version 
Summary0013632: Benutzerverwaltung über LDAP, Gruppen werden nicht synchronisiert
DescriptionNeue Installation, Benutzerverwaltung via LDAP. Login für die Nutzer funktioniert.
Nach dem initialen Import eines Users werden die Gruppenmitgliedschaften nicht mehr synchronisiert.
Um einen Nutzer in neue Gruppen hinzuzufügen, muss

1. er gelöscht und danach

2. php /usr/share/tine20/setup.php -c /etc/tine20/config.inc.php --sync_accounts_from_ldap

erneut ausgeführt werden.
Steps To ReproduceBenutzerverwaltung via LDAP einrichten, Gruppenmitgliedschaften nach erstem Import ändern.

php /usr/share/tine20/setup.php -c /etc/tine20/config.inc.php --sync_accounts_from_ldap ausführen, wundern, warum die Gruppenmitgliedschaften nicht aktualisiert werden.
Additional Information389ds, free-ipa
TagsNo tags attached.
mwticket

Activities

lab-at-nohl

lab-at-nohl

2017-11-21 12:17

developer   ~0021152

Unterstützt 389ds das Attribut "entryUUID", oder ist das was openLdap spezifisches? Wenn du in die Datenbank schaust, wie sehen die Id der Benutzer und Gruppen aus?

Alternativ kann man im Setup einstellen, dass der Benutzer/Gruppen-Sync nach Name, nicht nach Id erfolgt. Schafft das Abhilfe?
kneip

kneip

2017-11-24 10:03

reporter   ~0021168

Moin,

389ds nutzt hier in der vorliegenden Umgebung gidNumber/uidNumber, das lässt sich ja auch im Setup konfigurieren.
Beim initialen Sync nach dem Anlegen eines Users passen ja auch die Gruppenmitgliedschaften, nur weitere Veränderungen an den Gruppen-Mitgliedschaften im LDAP spiegeln sich in tine20 nicht wieder.
Wenn man den betreffenden Nutzer in tine20 löscht (noch ist tine20 hier nicht produktiv) und danach erneut den sync triggert, passen auch wieder die Gruppenmitgliedschaften.

Etwas DEBUG-Log versuche ich gerade zusammenzustellen.

Viele Grüße,

Bernhard
kneip

kneip

2017-11-29 15:29

reporter   ~0021210

Fehlt hier noch etwas von meiner Seite? Das Debug-Log habe ich als private Notiz hinzugefügt, dies ist doch für Euch einsehbar?

Viele Grüße,
Bernhard
kneip

kneip

2017-12-01 11:40

reporter   ~0021212

Beobachtung:

Ein Lauf von
php /usr/share/tine20/setup.php -c /etc/tine20/config.inc.php --sync_accounts_from_ldap

updated zwar die Tabelle "tine20_group_members" korrekt, jedoch wird zumindest im Admin-Modul nicht der Status der aktualisierten Tabelle wiedergespiegelt.
Browser-Cache kann ich ausschließen (mit anderem Browser getestet).


Folgender Ablauf zum Nachstellen:

User headroom Mitglied der Gruppen 100, 1001, 1002, finden sich in der sql Tabelle und auch im Webinterface wieder:

MariaDB [tine20]> select * from tine20_group_members where account_id='4999';

+----------+------------+
| group_id | account_id |
+----------+------------+
| 100 | 4999 |
| 1001 | 4999 |
| 1002 | 4999 |
+----------+------------+
3 rows in set (0.00 sec)


- User headroom wird im LDAP aus der Gruppe 1001 entfernt, ein Lauf von
php /usr/share/tine20/setup.php -c /etc/tine20/config.inc.php --sync_accounts_from_ldap
ausgeführt.

Korrekt aktualisiert in der Tabelle:
MariaDB [tine20]> select * from tine20_group_members where account_id='4999';
+----------+------------+
| group_id | account_id |
+----------+------------+
| 100 | 4999 |
| 1002 | 4999 |
+----------+------------+
2 rows in set (0.01 sec)

Jedoch NICHT im Webinterface selber.
kneip

kneip

2017-12-01 11:48

reporter   ~0021214

Caching als Ursache ausgemacht:

cd /var/lib/tine20/cache
mkdir backup
mv zend* backup

Nun sind die Gruppen auch effektiv aktualisiert.
Vorschlag: Cache nach der Synchronisation zumindestens bei veränderten Gruppenmitgliedschaften invalidieren.

Issue History

Date Modified Username Field Change
2017-11-20 17:50 kneip New Issue
2017-11-21 12:17 lab-at-nohl Note Added: 0021152
2017-11-24 10:03 kneip Note Added: 0021168
2017-11-29 15:29 kneip Note Added: 0021210
2017-12-01 11:40 kneip Note Added: 0021212
2017-12-01 11:48 kneip Note Added: 0021214