Anmelden als Kunde über Active Directory

[xhellsingx]

Hi all,
Ich weiß, dass es dieses Thema hier schon 1000x gab und hab auch die SUFU benutzt, leider haben mir die anderen beiträge nicht wirklich weitergeholfen.
Ich möchte, dass sich nur Mitarbeiter als Kunde anmelden können, die in der AD vorhanden sind.
Ich kann meine Benutzerdaten und das Passwort usw. eintragen aber wenn ich auf Login klicke bekomme ich dann nur die Meldung "Anmeldung fehlgeschlagen! Benutzername oder Passwort falsch."

Mithilfe der SUFU habe ich die Konfiguration in der Config.pm gefunden und soweit umgeändert.
Es sieht wie folgt aus:

Code: Select all

 
   # ---------------------------------------------------- #
    # ---------------------------------------------------- #
    #                                                      #
    #         Start of your own config options!!!          #
    #                                                      #
    # ---------------------------------------------------- #
	#--> LDAP Start 

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = '192.168.xxx.xxx';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=de,dc=fh-xxx,dc=hv,ou=Hochschulverwaltung';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=LDAP-Reader,dc=de,dc=fh-xxx,dc=hv,ou=Hochschulverwaltung';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'xxxxxxxxxx';
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(&(objectclass=user)(mail=*))';
$Self->{'AuthModule::LDAP::Charset'} = 'utf-8';
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
# UserSyncLDAPGroups
# (If "LDAP" was selected for AuthModule, you can specify initial
# user groups for first login.)

#--> activate LDAP
$Self->{UserSyncLDAPGroups} = ['user',];
# ===================================================
# LDAP Customer User Authentication [WF]
# ===================================================

$Self->{CustomerUser1} = {
Name => 'Active Directory',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '192.168.xxx.xxx',
BaseDN => 'dc=de,dc=fh-xxx,dc=hv,ou=Hochschulverwaltung',
SSCOPE => 'sub',
UserDN => 'CN=LDAP-Reader,dc=de,dc=fh-xxx,dc=hv,ou=Hochschulverwaltung',
UserPw => 'xxxxxx',
AlwaysFilter => '(&(objectclass=user)(mail=*))',
DestCharset => 'utf-8',
SourceCharset => 'utf-8',
Params => {
port => 389,
timeout => 10,
async => 0,
version => 3,
},
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserExcludePrimaryCustomerID => 0,
AdminSetPreferences => 0,
Map => [
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var', '', 0 ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1,'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1,'var', '', 0 ],
[ 'UserLogin', 'Username', 'sAMAccountName', 1, 1,'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1,'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1,'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephoneNumber', 1, 0,'var', '', 0 ],
[ 'UserMobile', 'Mobile', 'mobile', 1, 0,'var', '', 0 ],
],
};

#LDAP Ende

In der Datei /var/log/messages steht nach dem fehlgeschlagenen Login:

Code: Select all

Sep 16 09:03:18 otrs OTRS-CGI-10[697]: [Error][Kernel::System::CustomerUser::LDAP::new][Line:151]: First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vecestomerUser::LDAP::new][Line:151]: First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece1]: First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

Was habe ich falschgemacht und wie kann ich das Problem lösen?
Bitte um Hilfe :S

Noch eine Frage muss sAMAccountName so bleiben oder wird der auch umgeändert?

MfG xHellsingx

[Wolfgangf]

sAMAccountName bleibt so

ich verwende beim Hostnamen des AD servers auch noch den Port :3268

ein komplettes, funktionierendes Beispiel findest Du hier
http://forums.otrs.org/viewtopic.php?f=16&t=5070#p20709

[xhellsingx]

danke!

nun habe ich noch ne Frage zu der BaseDN
bei uns sieht die für die AD folgendermaßen aus [dc=de, dc=fh-xxxx, dc=hv, ou=Hochschulverwaltung] und in der Hochschulverwaltung sind weitere ou's wie Dez1, Dez2 und Dez3 kann ich dann irgendwie für alle Ou's eine BaseDN eintragen?

[Wolfgangf]

danke!

nun habe ich noch ne Frage zu der BaseDN
bei uns sieht die für die AD folgendermaßen aus [dc=de, dc=fh-xxxx, dc=hv, ou=Hochschulverwaltung] und in der Hochschulverwaltung sind weitere ou's wie Dez1, Dez2 und Dez3 kann ich dann irgendwie für alle Ou's eine BaseDN eintragen?

BaseDN ist sie Wurzel der Suche und Dein Search-User muss Zugriff auf den gesamten Baum haben
ich würde mal vermuten, dass in Deinem Beispiel: dc=hv, ou=Hochschulverwaltung die BaseDN ist

[xhellsingx]

Also ich hab jetzt mal nachgefragt und es ist folgendermaßen:

Die komplette BaseDN für den Benutzer mit dem ich mich anmelden will heißt:
DC=de, DC=fh-xxxxx, OU=hv, OU=Hochschulverwaltung, OU=DV, OU=Benutzer

und die von dem Superuser ist:
DC=de, DC=fh-xxxx, OU=Users, CN=LDAP-Reader

aber wenn ich das dort eintrage kann ich mich trotzdem nicht anmelden.
Was mir auch aufgefallen ist, dass ich mich nichtmehr auf index.pl auf als mein admin anmelden kann, den ich erstellt hatte.
Und wenn ich mich bei der customer.pl anmelden will gebe ich da nur den Benutzernamen ein oder die Emailadresse?

[Wolfgangf]

Dass Dein Login bei nicht funktionierendem LDAP nicht funktioniert ist (leider) klar
lege Dir einfach eine lokalen Benutzer mit der gleichen Kennung im OTRS an

kannst Du mal die Logeinträge von einem fehlgeschlagenen LDAP Anmeldungsversuch posten?

hast Du sichergestellt, dass dein OTRS Rechner auch auf den LDAP Server zugreifen kann?