gosa-core/FAQ

   1 This is the textual form of the GOsa FAQ. Online information with
   2 comments is set up at Wiki: https://oss.gonicus.de/labs/gosa/wiki/documentation
   3
   4 Q: When creating many users for one department, I need to fill some
   5    fields again and again. Is there a shortcut for that?
   6
   7 A: Just create a user template and pre-fill all values you need. You
   8    can use dynamic content, too: uid, sn and givenName will be replaced.
   9    i.E. an entry '/home/%uid' in homeDirectory will be replaced by the
  10    real uid of the user you're creating, %sn.%givenName@yourdomain.com
  11    creates proper email addresses, etc. Templates include group membership.
  12
  13
  14 Q: Can GOsa execute commands after creating/editing/removing users,
  15    departments, etc.
  16
  17 A: Yes. Edit /etc/gosa/gosa.conf's menu section. Each plugin may has
  18    an entry "postremove", "postmodify" and "postcreate".  You can use
  19    ldap attributes as command line options.
  20    i.E. postcreate="/usr/bin/sudo /usr/local/sbin/ftp.setperms %uid '%givenName'"
  21
  22
  23 Q: I'd like to  modify the look of GOsa to fit our CI. How can I create an
  24    own theme?
  25
  26 A: Themes are splitted into two parts. ihtml/ contains templates which
  27    generate the ui, html/ contains all parts that must be readable from
  28    clients. GOsa first looks for predefined files in the directory indirectly
  29    defined via the "theme" parameter in /etc/gosa/gosa.conf. If it can't
  30    find them here, it'll use the default one.
  31
  32    So start over by copying html/themes/default to html/themes/yourtheme
  33    and ihtml/themes/default to ihtml/themes/yourtheme. Change gosa.conf to
  34    contain theme="yourtheme" in section main. Here are some files to edit:
  35
  36    * login.tpl          -> login screen
  37    * framework.tpl      -> page contents
  38    * style.css          -> stylesheets used by GOsa
  39
  40
  41 Q: How can I let a person do administrative tasks under a specific department?
  42
  43 A: Gosa 2.5.x
  44    * Create a group inside this department.
  45    * Put all administrative people inside
  46    * go to the "ACL" tab and check all fields these users should be able to adminstrate.
  47
  48    GOsa 2.6 implements a more flexible but complex ACL management, please have a look at
  49    the following wiki page: https://oss.gonicus.de/labs/gosa/wiki/DocumentationWritingACLs2.6
  50    If you have still questions, please use the mailing list or the forum.
  51
  52
  53 Q: How can I permit users to change some of their own attributes?
  54
  55 A: Same like described above, but additionally you have to check the option
  56    'Apply this acl only for users own entries'.
  57    (For versions 2.6.x, see the wiki pages)
  58
  59
  60 Q: What about applications?
  61
  62 A: GOsa can manage desktop applications in ldap. Create a group and put all users
  63    in there, which have common desktop settings. Go to the "Application" tab and
  64    add all applications common to this group. Applications can be created from the
  65    application plugin.
  66    The idea behind this feature is a script running on the terminal-servers/
  67    workstation which check for applications on login (or on a regular basis using
  68    timestamps). This one will create the corresponding icons on your KDE or GNOME
  69    desktop.
  70
  71
  72 Q: What's this terminal stuff?
  73
  74 A: GOto is - similar to LTSP - a ldap based diskless client system. It is available
  75    from our projects page.
  76
  77
  78 Q: I can't select any mailservers. What's wrong?
  79
  80 A: It seems that a mail server is missing in your configuration.
  81    Create a new server, go to the services tab and add the imap service.
  82    For more details, please have a look at the FAQ and wiki pages.
  83    (This may differ in older GOsa versions)
  84
  85
  86 Q: GOsa is not in my native language, can I translate it to my language?
  87
  88 A: Yes. Just go to the locale directory and copy the messages.po file somewhere
  89    else. Edit the copy and put your translations into the msgstr lines. To be
  90    included in next GOsa releases, you may want to send it to the GOsa maintainer.
  91    Finally you need to create a directory with your language code. (i.e. de for
  92    german) containing the LC_MESSAGES directory. Move your messages.po file there
  93    and run 'msgfmt messages.po' in that directory. That's it.
  94
  95    You may need to restart apache, depending on your setup. On Debian, be sure
  96    to have your locale generated (dpkg-reconfigure locales) before.
  97
  98
  99 Q: The online help doesn't exist in my language, can i translate it to my language?
 100
 101 A: Yes. Just go to the doc/guide/user/en directory and copy the lyx-source directory
 102    to a new directory in doc/guide/user/<your language>. You have to use the lyx
 103    program create the online help in your language. When you have finish just run
 104    ./gen_online_help from the gosa root directory to generate the online docs.
 105
 106
 107 Q: Can I specify some kind of password policies?
 108
 109 A: You can place the keywords "passwordMinLength" and "passwordMinDiffer" in the main
 110    section of your gosa.conf. "passwordMinLength" specifies how many characters a
 111    password must have to be accepted. "passwordMinDiffer" contains the number of
 112    characters that must be different from the previous password.
 113
 114    Note that these only affect passwords that are set by the user, not by the admins.
 115
 116
 117 Q: I've to update passwords on external windows PDCs. Can I add a command to let
 118    synchronize these for me?
 119
 120 A: There's the possibility to add a password hook in gosa.conf's main section using
 121    the keyword "passwordHook". The specified command will be executed with
 122    three parameters: /path/to/your/script username oldpassword newpassword
 123
 124    So you can call i.e. smbpasswd to handle your password change on the PDC.
 125
 126
 127 Q: What about templates for vacation messages?
 128
 129 A: Create a directory to keep a set of vacation messages which are readable by the
 130    user that runs your apache. In this example I'll use /etc/gosa/vacation for that.
 131
 132    Put your vacation files in there containing a "DESC:some descriptive text" as the
 133    first line followed by the normal vacation text. You can use all attributes from
 134    the generic tab. I.e.:
 135
 136     /etc/gosa/vacation/business.txt
 137
 138    |-->
 139     DESC:Away from desk
 140     Hi, I'm currently away from my desk. You can contact me on
 141     my cell phone via %mobile.
 142
 143     Greetings,
 144     %givenName %sn
 145    |<--
 146
 147    Place the config option vacationTemplateDirectory="/etc/gosa/vacation" in the location found in
 148    gosa.conf and a template box is show in the vacation mail tab.
 149
 150
 151 Q: How can I generate automatic ID's for user templates?
 152
 153 A: Add an entry describing your id policy in gosa.conf, location section:
 154
 155    a) using attributes
 156       You can specify LDAP attributes (currently only sn and givenName) in braces {}
 157       and add a percent sign befor it. Optionally you can strip it down to a number
 158       of characters, specified in []. I.e.
 159
 160    |-->
 161       idGenerator="{%sn}-{%givenName[2-4]}"
 162    |<--
 163
 164       will generate an ID using the full surename, adding a dash, and adding at least
 165       the first two characters of givenName. If this ID is used, it'll use up to four
 166       characters. If no automatic generation is possible, a input box is shown.
 167
 168    b) using automatic id's
 169       I.e. specifying
 170
 171    |-->
 172       idGenerator="acct{id:3}"
 173    |<--
 174
 175       will generate a three digits id with the next free entry appended to "acct".
 176
 177    |-->
 178       idGenerator="ext{id#3}"
 179    |<--
 180
 181       will generate a three digits random number appended to "ext".
 182
 183
 184 Q: I'm migrating from the current LDAP, now GOsa does not allow uid's and group
 185    with upper/lower case and spaces. What can I do?
 186
 187 A: Include the strictNamingRules="no" keyword in your gosa.conf's location section.
 188    WARNING: using strictNamingRules="no" will cause problems with cyrus/postfix!!
 189
 190
 191 Q: I'd like to place my users under ou=staff, not under ou=people. Can I change
 192    this?
 193
 194 A: Yes. You can change the people and group locations by adding the following
 195    statements to your location sections:
 196
 197    |-->
 198    userRDN="ou=staff"
 199    groupRDN="ou=crowds"
 200    |<--
 201
 202    After logging in again, people and groups are created in the configured places.
 203    As a side note, you can leave these strings blank for flat structures, too.
 204
 205
 206 Q: I've problems with many objectClass violations/undefined attributes. Can GOsa
 207    check what's missing?
 208
 209 A: Yes. Move away your gosa.conf and go to the GOsa setup. Follow the steps till
 210    you can download the config. If you get up to this point, your schema is ok...
 211
 212
 213 Q: I really don't want dn's containing the CN for user accounts because I don't
 214    want to support anonymous binds for uid resolution. Is it possible to have dn's
 215    containing the uid instead?
 216
 217 A: Yes. Placing the accountPrimaryAttribute="uid" keyword in your gosa.conf's location
 218    section will solve your problem.
 219
 220
 221 Q: Hey, I've installed GOsa, but it claims something about "SID and / or RIDBASE
 222    are missing in your configuration". What's wrong?
 223
 224 A: You've configured GOsa to use samba3, but your LDAP has no samba domain object
 225    inside. Either log into samba for the first time to let it create that object,
 226    or supply the sid and ridbase for your domain in your gosa.conf's location, i.e.:
 227
 228    |-->
 229    <location name=...>
 230              ...
 231              sambaRidBase="1000"
 232              sambaSID="0-815-4711" \>
 233    |<--
 234
 235    Remember to fill in your real domain sid which is retrievable by the command
 236    "net getlocalsid".
 237
 238
 239 Q: We have massive performance problems with using samba as a member server.
 240
 241 A: This is a known issue. We're working around this by putting
 242
 243    |-->
 244    <location name=...>
 245     ...
 246     sambaIdMapping="true"
 247     ... \>
 248    |<--
 249
 250     into the configuration. GOsa will write the additional objectClass sambaIdmapEntry
 251     to the group and user objects.
 252
 253
 254 Q: I get 'The value specified as GID/UID number is too small' when forcing IDs. Why?
 255
 256 A: This is an additional security feature, so that no one can fall back to uid 0. The
 257    default minimum ID is 100. You can set it to every value you like by specifying
 258
 259    |-->
 260    <location name=...>
 261     ...
 262     minId="40"
 263     ... \>
 264    |<--
 265
 266    in your configuration. In this example 40 will be the smallest ID you can enter.
 267
 268
 269 Q: Aahhrg. I've updated to a new version and my gosa.conf seems to be broken.
 270
 271 A: Some parameters may have changed. Please move your gosa.conf away and re-run the setup.
 272
 273
 274 Q: I've saved my windows workstations in other locations like GOsa is doing it
 275    for decades. Is there a way to change this?
 276
 277 A: Yes. Use the winstation parameter in your location section:
 278
 279    |-->
 280    <location name=...>
 281    ...
 282    sambaMachineAccountRDN="ou=machineaccounts"
 283    ... \>
 284    |<--
 285
 286
 287 Q: GOsa doesn't seem to follow my referrals. What can I do?
 288
 289 A: Place the option 'ldapFollowReferrals = "true"' inside your locations definition
 290    and you should be fine.
 291
 292
 293 Q: I'd like to have TLS based LDAP connections from within GOsa. Is this possible?
 294
 295 A: Yes, add
 296
 297    |-->
 298    <location ...>
 299    ...
 300          ldapTLS="true"
 301    ... \>
 302    |<--
 303
 304    to the location section of GOsa. This switch affects LDAP connections for a single location only.
 305
 306
 307 Q: Cyrus folder get created in the style user.username. I prefer the unix hirachy
 308    style user/username. Is it possible to change this?
 309
 310 A: Yes, add
 311
 312    |-->
 313    <location
 314         ...
 315     cyrusUseSlashes="true"
 316    |<--
 317
 318    to the location or main section of GOsa and the folders are created in unix style.
 319
 320
 321 Q: I've a cyrus installation with customized user and folder prefixes.
 322    How can I tell GOsa to use the prefixes I prefer?
 323
 324 A: Simply set the following attributes in the location tag of your gosa.conf:
 325
 326    |-->
 327    <location
 328         ...
 329     mailUserCreation="myprefix/%mail%"
 330     mailFolderCreation="myfolder\\.%cn%@%domain%"
 331    |<--
 332
 333    The dot in the above example is escaped to prevent it from replacing with '/' if
 334     cyrusUseSlashes is set to true.
 335
 336    You can use the following replacements:
 337    |-->
 338     %cn%       - The groups cn.
 339     %uid%      - The users uid.
 340     %prefix%   - The default prefix used by the mailmethod.
 341     %uattrib%  - The configured mailAttribute="" (gosa.conf).
 342     %domain%   - The domain part of the given mail address. (user@domain.com = domain.com)
 343     %mailpart% - The user part of the mail address. (user@domain.com = user)
 344     %mail%     - The complete mail address.
 345    |<--
 346
 347
 348 Q: I want to use cyrus for multiple mail domains, but GOsa uses the 'uid' attribute for account namens, how do I change this to 'mail'?
 349
 350 A: Just add/modify the following line to/in your gosa.conf:
 351
 352    |-->
 353    <location
 354     ...
 355     mailAttribute="mail"
 356    |<--
 357
 358
 359 Q: I'd like to do special checks for several plugin parameters. How can I modify
 360    GOsa to take care of these checks?
 361
 362 A: No need to modify anything. Just add a hook the the plugin you'd like to
 363    check:
 364
 365    |-->
 366     check="/your/command/binary"
 367    |<--
 368
 369    This binary will get an ldif to STDIN for analysis and may write an error message
 370    to STDOUT. Note, that the supplied ldif may NOT be the original target ldif due
 371    to technical reasons.
 372
 373
 374 Q: Is there a way to use ACL independet filtering when using administrative units?
 375
 376 A: Yes. Set "honourUnitTags" to "true" in your gosa.conf's location section.
 377
 378
 379 Q: How can i active the account expiration code for the gosa interface?
 380
 381 A: Yes. Just set "handleExpiredAccounts" to "true" in your gosa.conf's main section.
 382
 383
 384 Q: What is the correct connection string for a Kolab server in GOsa?
 385
 386 A: Try {localhost:143/novalidate-cert}.
 387
 388
 389 Q: Sieve is not working from GOsa - there are authentication problems
 390    with this service, IMAP/POP is working. What's wrong?
 391
 392 A: Verify that the paramater sasl_auto_transition: no is not
 393    present in your imap.conf
 394
 395
 396 Q: I have a SIEVE problem - "Can't log into SIEVE server. Server  says //. -
 397
 398 A: Probably something is wrong with the authentification which is used by timesieved.
 399    - Check if you can login with "sieveshell" on this host.
 400    - Also check "telnet localhost 2000" - Is there any output about "Plain Login"?
 401
 402    Please verify the ldap imap attributes, like goImapSieveServer and goImapSievePort.
 403    These value can be modified using the server->services tab in GOsa 2.6 and in
 404     GOsa 2.5 you can find these options under server->databases.
 405
 406    Here is an older, but maybe helpful solution for Cyrus-Imapd 2.1.5 on SuSE 9.0:
 407    - Install the "cyrus-sasl-plain" rpm from the distro-cd (This packet contains "sasl2/libplain" library).
 408    - Modify your /etc/imap.conf:
 409
 410    |-->
 411     sasl_pwcheck_method: saslauthd
 412     sasl_mech_list: plain login
 413    |<--
 414
 415    - Modify your /etc/sysconfig/saslauthd:
 416
 417    |-->
 418     SASLAUTHD_AUTHMECH=pam
 419    |<--
 420
 421
 422 Q: Slapd does not start with kolab2.schema included. It claims that the
 423    definition of calFBURL is missing. What can I do?
 424
 425 A: For Kolab to work correctly you have to include the rfc2739.schema
 426    in your slapd.conf. Insert it before the kolab2.schema
 427
 428
 429 Q: New implementations of OpenLDAP seem to require {sasl} instead of {kerberos}
 430    in password hashes. GOsa writes the wrong string. What can I do?
 431
 432 A: You can set "useSaslForKerberos" to "true" in your gosa.conf's main section.
 433
 434
 435 Q: Is there a way to add the personalTitle attribute the the users dn?
 436
 437 A: Just add this line into the location section of your gosa.conf.
 438
 439    |-->
 440    <location
 441     ...
 442     personalTitleInDN="true"
 443    |<--
 444
 445
 446 Q: I'd like to assign different uid bases for certain user/group objects.
 447    How can this be achieved?
 448
 449 A: Use the 'baseIdHook' in your gosa.conf's location section to specify a script
 450    which handles the ID generation externaly. It get's called with the "dn"
 451    and the attribute to be ID'd. It should return an integer value.
 452
 453
 454 Q: I'd like to use rfc2307bis compliant groups. Is this possible?
 455
 456 A: Yes - place the rfc2307bis="true" inside of the location section of
 457    your gosa.conf. Remember, that you can't create empty groups in this mode.
 458
 459
 460 Q: Can GOsa show some vendor information for given MAC addresses?
 461
 462 A: Yes. Download http://standards.ieee.org/regauth/oui/oui.txt and place
 463    it in /etc/gosa/oui.txt.
 464
 465
 466 Q: GOsa sessions expire too quick. Is there a way to change this?
 467
 468 A: Yes. Set "sessionLifetime" to the number of seconds of inactivity. 7200
 469    (60x60x2) would be for two hours. Place this option inside the main
 470    section of your gosa.conf.
 471
 472
 473 Q: Microsoft Internet Explorer <=6 seems paints strange blocks around
 474    images.
 475
 476 A: Use Firefox, Konqueror, Safari, Opera, IE >= 7, etc. IE is broken and
 477    I don't want to waste my time with working around this old crap. There's
 478    a quick hack, if you just put "iePngWorkaround='true'" inside the main
 479    section of your gosa.conf. This is a JavaScript based workaround and I've
 480    to place a WARNING here, that it is damn slow if you've large lists to
 481    display.
 482
 483    If you have much time, you can provide a seamless integration with MS
 484    filter css extension.
 485
 486
 487 Q: Is there a way to let users change passwords without logging into GOsa?
 488
 489 A: Yes. Browse to "password.php". You can preset a couple of things i.e.:
 490
 491    |-->
 492     http://your.admin.server/password.php?uid=cajus&method=md5&directory=GONICUS+GmbH
 493    |<--
 494
 495
 496 Q: GOsa only shows 300 entries at a time. Is this normal?
 497
 498 A: There's a default sizelimit. You can set the "ldapSizelimit" option in your
 499    gosa.conf's  location section to a higher value to get rid of it.
 500
 501
 502 Q: I have problems with my ldap server when I open groups with
 503    a huge amount of members, what can I do?
 504
 505 A: You can set a nesting limit which ensures that the user names will not be
 506    resolved if the amount of members reaches this limit.
 507
 508    |-->
 509     <location
 510      ...
 511      ldapFilterNestingLimit="100"
 512    |<--
 513
 514
 515 Q: I want to disable the "Is the configuration file up to date?" check when logging in.
 516    How can I disable this check?
 517
 518 A: Just set the configVersion attribute to an empty value:
 519
 520    |-->
 521     <conf configVersion="" >
 522    |<--
 523
 524
 525 Q: I've shredded my access control and am not able to do anything from now on. Is there
 526    a way to override the ACL?
 527
 528 A: Yes. Insert the following statement in the location section of your gosa.conf:
 529
 530    |-->
 531     ignoreAcl="your user's dn"
 532    |<--
 533
 534
 535 Q: I can't logon as Administration, what is wrong?
 536
 537 A: It looks like you are missing an administrativ account.
 538    In newer versions of GOsa you can simply re-run the setup and create
 539     an admin account on the migration page.
 540
 541    Additionally you can set ignoreACL in GOsa 2.6, just search the FAQ.
 542
 543
 544 Q: The Unix's user's shell list is empty (unconfigured)
 545
 546 A: Just copy or link your /etc/shell in /etc/gosa.
 547
 548
 549 Q: After upgrading GOsa, the setup.php doesn't work or looks broken.
 550
 551 A: You should delete all files in /var/spool/gosa
 552
 553    |-->
 554     # cd /var/spool/gosa
 555     # rm -rf *
 556    |<--
 557
 558
 559 Q: After installing GOsa using an existing LDAP tree, my user accounts are not listed.
 560
 561 A: You need to add the following objectClasses to your accounts:
 562
 563    |-->
 564     objectClass: person
 565     objectClass: organizationalPerson
 566    |<--
 567
 568    The setup will automatically migrate those accounts, see migration step in GOsa setup!
 569
 570
 571 Q: Is it possible to login with the users mail address too?
 572
 573 A: Yes, just add the following line to your gosa.conf:
 574
 575    |-->
 576    <location
 577     ...
 578     loginAttribute="mail"
 579    |<--
 580
 581    or for both, uid and mail:
 582
 583    |-->
 584    <location
 585     ...
 586     loginAttribute="uid,mail"
 587    |<--
 588
 589
 590