Ausgangssituation:

Zum Individualisieren des SEPPmail Secure E-Mail Gateway soll innerhalb von Custom Commands externe LDAP Abfragen verwendet werden, innerhalb welcher Gruppenzugehörigkeiten aus verschachtelten Benutzer Gruppen (nested groups) festgestellt werden sollen.

 

Frage:

Können Gruppenzugehörigkeiten aus verschachtelten Gruppen ausgelesen werden?

 

Antwort:

Nein, verschachtelte Gruppen (nested groups) werden nicht unterstützt.

 

Hintergrund:

Die Arbeitsweise des Befehls ldap_compare(), welcher unter anderem zur Abfrage von Gruppenzugehörigkeiten dient, ist wie folgt:

Zunächst wird über das im Parameter „Filter“ angegebene Attribut (in der Regel „mail“) im Pfad, welcher im Parameter „SearchBase“ angegeben wurde rekursiv das „userObject“ anhand der E-Mail Adresse (siehe Variablen des Parameters "Filter") gesucht.

Wird ein userObject gefunden, so wird innerhalb desselbigen nach dem angegebenen im Parameter„attr“ angegebenen Attribut  (in der Regel „memberOf“) gesucht.

Ist das Attribut "attr" im userObject vorhanden, so wird der Inhalt des Attributs mit dem Eintrag des Parameters „value“ verglichen. Stimmen die Werte überein, so ist die Rückgabe positiv.

 

Da in den userObjects nur direkte Gruppenzugehörigkeiten zu finden sind (Attribut "memberO"f) funktionieren verschachtelte Gruppen an dieser Stelle nicht.

Nachdem das verschachtlen von Gruppen weitere Nachteile mit sich bringt (beispielsweise eine erhöhte Komplexität bei Feststellen tatsächlicher Gruppenzugehörigkeiten eines Benutzers), sollte generell auf das Verschachteln verzichtet werden,