search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
blame | history | raw | HEAD
Pylint no-else-return refactoring: tenth (and so far last) set of files
[check_mk.git] / .werks / 2616
blobec143abec29dcffea80ee060d789f23868584160
1 Title: LDAP: Improved handling of multiple connections (Name conflicts, cross directory sync)
2 Level: 1
3 Component: multisite
4 Compatible: compat
5 Version: 1.2.7i3
6 Date: 1443518032
7 Class: feature
8
9 Since Check_MK can synchronize with multiple LDAP directories at the same time, new situations
10 could occur which Check_MK did not handle properly for all cases yet.
11
12 For example it is possible that name conflicts (user id) occur between LDAP connections when
13 different LDAP directories have equal named users. Previous versions did synchronize the user
14 using the first connection to be synchronized (take a look at the configuration to check the
15 connection order) and silently skipped equal named users from other directories.
16
17 This version intruces so called "LDAP connection suffixes" to solve this situation. This suffix
18 is used identify name conflicting users between directories. You can use whatever you like as
19 suffix, but for better identification it is recommended to use the official domain name as suffix.
20 For example "corp.de" if you domain is identified like this.
21 The connection suffix is appended to the user id for all user accounts having name conflicts during
22 the synchronisation.
23 Additionally, when a user tries to log in with his regular user name, for example <tt>hh</tt>, but
24 the login is refused due to the name conflict, he can add the domain suffix to his username, e.g.
25 <tt>hh@corp.de</tt> to tell Check_MK which directory he is associated to.
26
27 Addionionally, it is now possible to configure the role and group sync plugins to gather group
28 memberships for the users of a connection from another one. This might be needed when you have
29 multiple LDAP directories somehow connected (Active Directory forest) where the users belong
30 to one LDAP directory and the groups are found in another LDAP directory. Now, when these
31 groups have members of the other LDAP directory, these memberships could not be synchronized
32 to Check_MK in previous versions. This is now possible to be configured. But the default is
33 to gather the group memberships of users from the connection they are associated with.
check_mk