LDAP User-Import - zu viele Treffer

Ritter · 6. Mai 2019 um 07:56

Hallo,
ich schaffe es aktuell nicht, unsere Nutzer per LDAP-Import ins verinice.pro (1.18) zu importieren.
Ich erhalte (ohne Suchkriterien) die Fehlermeldung, dass zu viele Treffer gefunden wurden (wir haben in der Tat tausende Nutzer).
Gebe ich aber zur Eingrenzung z.B. meinen Nachnamen ein, gibt es eine unspezifizierte Fehlermeldung ohne Ergebnis (in der verinice-server.log steht in diesem Fall nichts).

Kann man die erlaubte Anzahl der Treffer erhöhen? Per ldapsearch mit dem gleichen Import-User funktioniert es.

JoergG · 6. Mai 2019 um 14:03

Hallo Ritter,

versuche mal Anzahl der zu durchsuchenden Objekte, die von LDAPSearch zurückgegeben werden zu reduzieren… Ich setzt die Suche an einem Unterpunkt des LDAP-Baumes auf… Habe ca. 600 User in der AD…

In der “verinice-ldap.properties”:
“# LDAP base to query the users for Import”
“# OpenLDAP i.e. ou=People,dc=mycompany,dc=com”
ldap.import.base=ou=“Meine-Top-Level-User-OU”,dc=“Meine-Domaine”,dc=“Meine-Root-Domain”

Oder Du steckst die User in eine LDAP-Verinice-Gruppe und versuchst nur diese Gruppe aus einer Gruppen OU zu laden…

“# (optional) LDAP base to query the username, i.e. dc=W2K3AD,dc=ORG or”
“# dc=W2K3AD,dc=ORG If this filter is set verinice queries the ldap for”
“# the dn. In this case ldap.prefix and ldap.suffix must be left empty.”
ldap.groupfilter=ou=“Meine-Top-Level-UserGroup-OU”,dc=“Meine-Domaine”,dc=“Meine-Root-Domain”

Oder hier weiter eingrenzen…:
"# LDAP filter for import to query the users, you can add more restrictions, "
“# i.e. (&(objectclass=user)(department=development))”
“# you should’t usually remove (objectclass=user)”
“ldap.import.filter=(objectclass=user)”

Mann kann wohl auch einen anderen Parameter anpassen, dazu musst Du wohl die Support-Hotline bemühen…

Viel Erfolg
Jörg

JoergG · 6. Mai 2019 um 14:06

Ups alles wech… Hier noch mal die Einträge:

“ldap.groupfilter=ou=“Mein-User-TopLevel-OU”,dc=“Meine-Domain”,dc=“Meine-Root-Domain””
“ldap.import.base=“Mein-User-TopLevel-OU”,dc=“Meine-Domain”,dc=“Meine-Root-Domain””

Viel Erfolg
Jörg

mflue · 7. Mai 2019 um 19:27

Hallo JoergG,

vielen Dank im Namen des gesamten verinice.TEAMs und aller Nutznießer im Forum für Ihre Unterstützung!

MfG Michael Flürenbrock

jules · 13. Mai 2019 um 16:05

Super Beitrag @JoergG! Von mir noch eine kleine Klarstellung:

ldap.groupfilter-Werte sind ausschliesslich bei der Anmeldung der aus AD importierten Benutzer relevant und ldap.import.base beim Import der Benutzer.
Bei dem Import gibt es im Moment nur eine Möglichkeit, die Benutzer einzugrenzen, wie @JoergG schon erwähnt hat , eine Gruppe in AD definieren und dann mit der Variable ldap.import.filter die Gruppe als strikten Filter verwenden.

Gruß
Julia