innovaphone Forum

You are here

Help with Search (new window)
Picture of Archimedes
Registered 10 years 99 days
Archimedes Wednesday, 20 May 2020, 12:41 PM
LDAP - max. AD-Gruppen eines Benutzers

Aktuell V12r2 SR33 (IP3010)

Guten Morgen,


wir haben ein Fehlerverhalten des LDAP Replicators festgestellt, wodurch Benutzer aus der PBX entfernt werden.

Generell werden die PBX User bei uns über einen LDAP Abgleich in der Anlage angelegt/entfernt. Dabei prüft der LDAP Replicator auf eine AD-Gruppe „innovaphone“ und übernimmt deren Mitglieder als PBX-User in die Anlage. Bei einem AD-Benutzer mit vielen Gruppenmitgliedschaften ist das Problem nachstellbar, dass sobald dem Benutzer eine weitere AD-Gruppe zugewiesen wird, der LDAP Replicator den Benutzer nicht mehr übernimmt. In dem Fall wird der in der PBX bereits vorhandene Benutzer automatisch aus der PBX entfernt. Entfernt man irgend eine AD-Gruppe an dem Benutzer, wird er wieder vom LDAP Replicator in der PBX angelegt. Zu jedem Zeitpunkt bleibt er Mitglied der AD-Gruppe „innovaphone“. Aktuell hat der Anwender 184 Gruppenmitgliedschaften (Sicherheits- wie Verteilergruppen). Ab der 185 Gruppenmitgliedschaft übernimmt der LDAP Replicator diesen Benutzer NICHT mehr.

LDAP-Filter: (&(objectclass=user)(memberOf=CN=innovaphone,OU=Sxxxxxxx,DC=axxxxxxx,DC=xxxx))

Ich verstehe persönlich nicht den Zusammenhang zwischen der Anzahl der AD-Gruppen des Benutzers und der eigentlichen Gruppe „innovaphone“, auf den der LDAP Replicator prüft. Ist so etwas bekannt?


Profilbild
Registered 12 years 102 days
Tobias 847 Wednesday, 20 May 2020, 01:40 PM
1 of 1 users consider this post helpful
Re: LDAP - max. AD-Gruppen eines Benutzers
Hi Archimedes,

da bin ich auch schonmal böse auf die Nase gefallen... :/

Hier gibt es tatsächlich eine Objektgröße die in der PBX limitiert ist! Hatte das bei V12, damals war die Supportantwort:

Im LDAP Trace sieht man, dass der User 24809 Bytes groß ist.
Das packet finden sie in dem sie diesen Filter im Wireshark verwenden: ldap contains USERNAME
Das Ziel muss sein das Packet unter 24kByte zu bringen, damit der Decoding Buffer auch Packet überhaupt dekodieren kann. Das kann man nur Serverseitig, also am AD machen. Dazu nimmt man den User entweder aus Gruppen heraus oder man verkleinert die Länge der Gruppennamen.

Ja man wird hier mit try an error vorgehen müssen, damit man das Packet ausreichend verkleinert hat.

PS: Das steht natürlich wieder nirgends.. ;)

Grüße
Tobias
Picture of Volker Schmid (innovaphone)
Moderator Registered 13 years 18 days
Volker Schmid (innovaphone) Wednesday, 20 May 2020, 02:04 PM
2 of 2 users consider this post helpful
Re: LDAP - max. AD-Gruppen eines Benutzers
Hallo,

"PS: Das steht natürlich wieder nirgends.. ;)"

Das stimmt so nicht!


Gruß
Profilbild
Registered 12 years 102 days
Tobias 847 Wednesday, 20 May 2020, 02:07 PM
Re: LDAP - max. AD-Gruppen eines Benutzers
Hi, ok sorry da hast du natürlich recht!
Das hab ich dann wohl auch nicht gefunden.
Picture of Archimedes
Registered 10 years 99 days
Archimedes Wednesday, 20 May 2020, 02:09 PM in response to Tobias 847
Re: LDAP - max. AD-Gruppen eines Benutzers
Hallo Tobias,

hört sich logisch an. Das wird es vermutlich sein. Ich teste das mit Wireshark einmal.
Das macht die Sache aber nicht wirklich besser, da weder ad hoc auf Gruppen verzichtet, noch die Namenskonvention gerade mal so geändert werden kann.
Aber danke für die Info!

Ist das in V13 auch noch so, oder gelten dort andere Begrenzungen?

Gruß,
Lars

← You can define your color theme preference here