LDAP Sync works (no errors), but no users shown

Infos:

  • Used Zammad version: 3.5.x
  • Used Zammad installation source: debian repo
  • Operating system: Debian 10.6
  • Browser + version: MS Edge Version 86.0.622.56

Expected behavior:

Refering to https://admin-docs.zammad.org/en/latest/system/integrations/ldap.html, there should be users listet after successful LDAP sync.

Actual behavior:

No users are listet

Configuration:

Letzter Sync

29.10.2020 11:38 - 29.10.2020 11:38

  • LDAP Benutzer zu Zammad Benutzer (251/251):
    • Benutzer: 0 erstellt, 0 aktualisierte, 6 nicht verändert, 245 ĂĽbersprungen, 0 fehlgeschlagen, 0 deaktiviert
  • LDAP Gruppen zu Zammad Rolle Zuweisung:
    • Admin: 0 erstellt, 0 aktualisierte, 2 nicht verändert, 0 fehlgeschlagen, 0 deaktiviert
    • Agent: 0 erstellt, 0 aktualisierte, 4 nicht verändert, 0 fehlgeschlagen, 0 deaktiviert

Einstellungen

NAME WERT
LDAP Host ldap://xxxxxx.yyy
Base DN DC=xxxxxx,DC=yyy
Bind Benutzer xxxxx
Bind Passwort xxxxxxxxxxxx
UID objectguid
User Filter (&(objectClass=user)(samaccountname=)(!(samaccountname=$)))
GID dn
Group Filter (objectClass=group)

Zuordnung

Benutzer

LDAP ZAMMAD
givenname firstname
sn lastname
mail email
samaccountname login
telephonenumber phone

Rolle

LDAP ZAMMAD
cn=sec_servicedesk_admin,ou=servicedesk,ou=gruppen,dc=xxxxxx,dc=yyyy Admin
cn=sec_servicedesk_agent,ou=servicedesk,ou=gruppen,dc=xxxxxx,dc=yyyy Agent

hi @ihcit,

try to run the process without LDAP filters just to test that Zammad can read your users correctly.
You can then re-run the LDAP configuration process and apply those LDAP filters if you want.
On the other hand, you can import all users as plain-users and then activate the Admin/Agent role individually. Each user has 3 tick-boxes to modify their privileges.

HTH

Best

Hi @rsysadmin,

thanks for your reply. I removed the LDAP filters, but there are still no users listed: “Keine Einträge” (No entries)

Letzter Sync

03.11.2020 09:42 - 03.11.2020 09:43

  • LDAP Benutzer zu Zammad Benutzer (251/251):
    • Benutzer: 0 erstellt, 228 aktualisierte, 6 nicht verändert, 17 ĂĽbersprungen, 0 fehlgeschlagen, 0 deaktiviert

Update:
User group assignment seems to work, roles are assigned correctly and login with AD credentials work, but users are not shown.

When agent creates a ticket, he has to select a customer. In this field he can only create a new customer, cusotmers from ldap sync are not shown.

What can I do? Manual creation is no option. Is there a way to reset the user database?

As you now have a useless Zammad installation, I would simply:
a) do a PostgreSQL backup of your Zammad database
b) ditch the current Zammad installation
c) reinstall from scratch

For c) you can use the installer script I release to the community a few weeks ago:

…provided that you don’t mind moving away from Debian to, say, Ubuntu 18.x or CentOS 8.

Otherwise, LDAP integration works flawlessly - we use it every day.

Please keep us posted!
PS - ich spreche Deutsch aber Englisch ist irgendwie die “Amtsprache” für Support :wink:

Schön dass es auch auf Deutsch geht, Englisch ist immer so eine Quälerei für mich… :stuck_out_tongue:

Wenn ich eh nochmal von vorn anfangen darf: Welche Distro sollte ich deiner Meinung nach verwenden und warum? WIr setzen hier bei uns bisher ausschließlich Debian ein, es läuft äußerst stabil.

Dein Script (fĂĽr Ubuntu) habe ich vorhin angepasst (OpenJDK 11 statt 8) und verwendet, allerdings bisher ohne Erfolg. Das war aber auch nur ein Schnellschuss zum ausprobieren.

Hallo! also, ich würde entweder CentOS 8 oder Ubuntu 18.04 empfehlen, besonders weil Ubuntu zur Debian-Familie gehört. Dann kannst Du mein Script eindwandfrei benutzen.
Dir sollte es egal sein, ob Java 8 oder 11 installiert wird, solange Zammad richtig funktioniert…

Hallo,

mit frischem CentOS (fĂĽr mich Neuland) funktioniert nun weitestgehend alles.

Kann es sein, dass beim LDAP-Sync Gruppen in Gruppen nicht berĂĽcksichtigt werden? FĂĽr den LDAP-Sync habe ich fĂĽr die 3 Rollen Admin, Agent und Customer jeweils eine korrespondierende AD-Gruppe. In letzterer sind aber keine User-Objekte, sondern andere Gruppen mit Usern oder wiederum andere Gruppen enthalten.

In Kombination mit der Einstellung “Users without assigned LDAP groups” auf “Don’t synchronize” werden nur User aus den ersten beiden Gruppen synchronisiert. Setze ich es auf “Assign signup roles”, so werden alle Benutzer synchronisiert. Das ist ein wenig blöd, da nicht unbedingt jeder etwas im ticketsystem zu suchen hat.

Leider fehlen noch 2 Benutzer aus der Admin-Gruppe, warum weiĂź ich noch nicht.
Edit: Wenn das Attribut sn (Last Name) im Userobjekt nicht gesetzt ist, wird nicht gesynct.

AuĂźerdem fiel mir auf, dass fĂĽr dein Installer Script (vielen Dank dafĂĽr!!!) noch zwei Dinge zu beachten bzw vorab zu installieren sind:

  1. Schreibt man die Datei mit Windows (wie ich), so muss sie erst ins Unix Format konvertiert werden:

yum install -y dos2unix
dos2unix zammad_installer.sh

  1. Ohne wget geht nix:

yum install wget

For the sake of helping everyone of the community, please use english language.
This helps a much broader number of people.

1 Like

hello again,

like a said previously, English is the “administrative language” for Support, so let’s switch back to it.

CentOS, Debian, Ubuntu, OpenSUSE… Linux is Linux after all. You will not feel too strange using CentOS after a while…

We also use LDAP groups to automatically assign roles to certain users (i.e. Admins or Agents) and the rest are just treated as customers / end-users.

No idea as to why your LDAP synchronization did not work the first time under Debian…

This is not needed if you clone the repository directly on a Linux system :slight_smile:
If, for some reason, you still must clone the repo under Windows, either with git clone or by downloading the ZIP file, I would suggest you to use a text editor where you can configure the EOL to be UNIX and not Windows, like…

<unpaid_advertisement>
VS Codium
Notepad++
SublimeText3
</unpaid_advertisement>

I will add an extra check for this requirement and have wget installed automatically if not present. Thanks for the heads up!

Apologies for the noise :slight_smile:

Hi,
LDAP is now working for me an I am happy :slight_smile:
Time to solve the next problems :smiley:

Thanks for your help!

2 Likes

You are more than welcome! Happy to help out!

Take care.

This topic was automatically closed 120 days after the last reply. New replies are no longer allowed.