LDAP-Benutzergruppe vom LDAP-DB-Sync ausschließen

[TeQuillaaaA]

Hallo Community,

wir haben LDAP-User die ich gerne vom LDAP-to-DB-Sync ausschließen möchte. Die also nicht mit in die OTRS-DB aufgenommen bzw. importiert werden sollen. Ich hab das versucht zu realisieren, indem ich den Eintrag $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '(&(objectClass=posixGroup)(cn=abteilungssname))'; im Sync-Abschnitt der Datei Config.pm vorgenommen hab. Ich hab diese Zeile ebenso in den Customer-Authentication-Abschnitt kopiert. Jedoch werden die Benutzer aus der angegebenen Gruppe immernoch ins OTRS importiert. Was mache ich falsch?

Vielen Dank schonmal im Voraus.

Viele Grüße
TeQ

[TeQuillaaaA]

*push*

hat denn keiner ne ahnung?

[boris]

Also wenn das dein Code ist wirds nicht gehen, damit sagst du nimm diese Gruppe.

So müsste es gehen:

Code: Select all

$Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '(&(objectClass=posixGroup)(cn=abteilungssname)(!(cn=die_gruppe_soll_nicht_mit_rein)))';

mit

Code: Select all

(!( 

kann man ausschliessen.

musst mal gucken pb ich alle Klammernrichtig gesetzt hab.

[TeQuillaaaA]

Also wenn das dein Code ist wirds nicht gehen, damit sagst du nimm diese Gruppe.

So müsste es gehen:

Code: Select all

$Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '(&(objectClass=posixGroup)(cn=abteilungssname)(!(cn=die_gruppe_soll_nicht_mit_rein)))';

mit

Code: Select all

(!( 

kann man ausschliessen.

musst mal gucken pb ich alle Klammernrichtig gesetzt hab.

du bist doch boris von xing?

das mit den

Code: Select all

(!( 

wusste ich nicht ...

unsere ldap-struktur ist: dc=firma,dc=de,ou=group,cn=abteilung ... müsste ich das dann so machen?:

Code: Select all

$Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '(&(objectClass=posixGroup)(cn=content)(!(cn=content)))';

Das ist mein Sync-abschnitt in der config.pm

Code: Select all

    # Now sync data with OTRS DB
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'ldaps://ldap.firma.de/';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=firma,dc=de';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'uid';
    $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '(&(objectClass=posixGroup)(ou=group)(!(cn=abteilung)))';
    $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = '';
    $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = '';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserTitle     => 'title',
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserLogin     => 'uid',
        UserEmail     => 'mail',
        UserPassword  => 'userPassword',
        UserCustomerID => 'memberUid',
        UserComment   => 'description',
    };

[boris]

Der bin ich:-)

mit

Code: Select all

    $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '(&(objectClass=posixGroup)(ou=group)(!(cn=abteilung)))';

müsste es aber gehen.

[TeQuillaaaA]

habs nun hinbekommen ... hab das alles in das perl skript reingebastelt und dann gehts komisch

[boris]

aso...ja klar.
Den Sync macht ja das Script, dann muss der Filter natürlich auch in das Script

[TeQuillaaaA]

Jetzt hab ich zwar die Nutzer ausgeschlossen, jedoch sind diese im OTRS immernoch vorhanden, weil sie ja vormals mit gesynct wurden. Wie bekomme ich die aus dem OTRS weg?

[boris]

ich lösch die immmer in der Datenbank.
Mit phpmyadmin oder ähnlichen drauf und die tabelle customer_user leer machen.

mach vorher ein Backup von der tabelle falls was schiefgeht und es ein Live Sytem ist:-)

[TeQuillaaaA]

ja, die user hab ich gelöscht....es ist aber komisch das die trotzdem im otrs angezeigt werden und sich die user sogar noch anmelden können! Wenn ich mit phpmyadmin in die tabelle customer_user schaue, sind die user weg! Jedoch sind se noch im OTRS, was für mich keinen Sinn macht ... kann mMn nur an der LDAP-Verknüpfung liegen oder?

[boris]

Dann wird es so sein.
Wenn du die Kundendaten auch aus dem LDAP abfragst werden die auch angezeigt.

So hab ich das bei uns, Authentifizierung gegen LDAP Daten aus der lokalen DB.

ich hab aber vier zusätzliche Felder in der DB angelegt angelegt:
[ 'Firma', 'Firma', 'firma', 1, 0, 'var', '', 0],
[ 'Abteilung', 'Abteilung', 'abteilung', 1, 0, 'var', '', 0 ],
[ 'Vorgesetzter', 'Vorgesetzter', 'manager', 1, 0, 'var', '', 0 ],
[ 'Buero', 'Buero', 'buero', 1, 0, 'var', '', 0 ],


also nicht irritieren lassen:-)

Code: Select all

#--------------------------------------------------------------------------------------------
#                                   Agenten Authentifizeirung                               #
#--------------------------------------------------------------------------------------------
$Self->{'AuthModule5'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host5'} = 'dc.Firmanname.local'; 
$Self->{'AuthModule::LDAP::BaseDN5'} = 'dc=Firmanname,dc=local';
$Self->{'AuthModule::LDAP::UID5'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::SearchUserDN5'} = 'binduser';
$Self->{'AuthModule::LDAP::SearchUserPw5'} = 'Passwort';
#--------------------------------------------------------------------------------------------
#                                  Kunden Authentifizeirung                                 #
#--------------------------------------------------------------------------------------------
  $Self->{'Customer::AuthModule5'} = 'Kernel::System::CustomerAuth::LDAP';
  $Self->{'Customer::AuthModule::LDAP::Host5'} = 'dc.Firmanname.local';
  $Self->{'Customer::AuthModule::LDAP::BaseDN5'} = 'DC=Firmanname, DC=local';
  $Self->{'Customer::AuthModule::LDAP::UID5'} = 'sAMAccountName';
  $Self->{'Customer::AuthModule::LDAP::SearchUserDN5'} = 'binduser';
  $Self->{'Customer::AuthModule::LDAP::SearchUserPw5'} = 'Passwort';
#--------------------------------------------------------------------------------------------
#                                         Firmanname Ende                                   #
#--------------------------------------------------------------------------------------------
 
 
 
 
 
#-------------------------------------------------------------------------------------------- 
#                                     Kundendaten                                           #
#--------------------------------------------------------------------------------------------
 
    # CustomerUser
    # (customer user database backend and settings)
    $Self->{CustomerUser} = {
        Name   => 'Database Backend',
        Module => 'Kernel::System::CustomerUser::DB',
        Params => {

            Table => 'customer_user',
            # if your frontend is unicode and the charset of your
            # customer database server is iso-8859-1, use these options.
#           SourceCharset => 'iso-8859-1',
#           DestCharset => 'utf-8',

            CaseSensitive => 0,
        },

        # customer unique id
        CustomerKey => 'login',

        # customer #
        CustomerID             => 'customer_id',
        CustomerValid          => 'valid_id',
        CustomerUserListFields => [ 'first_name', 'last_name', 'email' ],

#        CustomerUserListFields => ['login', 'first_name', 'last_name', 'customer_id', 'email'],
        CustomerUserSearchFields           => [ 'login', 'first_name', 'last_name', 'customer_id' ],
        CustomerUserSearchPrefix           => '*',
        CustomerUserSearchSuffix           => '*',
        CustomerUserSearchListLimit        => 1000,
        CustomerUserPostMasterSearchFields => ['email'],
        CustomerUserNameFields     => [ 'title', 'first_name', 'last_name' ],
        CustomerUserEmailUniqCheck => 1,

#        # show now own tickets in customer panel, CompanyTickets
#        CustomerUserExcludePrimaryCustomerID => 0,
#        # generate auto logins
#        AutoLoginCreation => 0,
#        # generate auto login prefix
#        AutoLoginCreationPrefix => 'auto',
#        # admin can change customer preferences
#        AdminSetPreferences => 1,
#        # use customer company support (reference to company, See CustomerCompany settings)
#        CustomerCompanySupport => 1,3
#        # cache time to live in sec. - cache any database queries
#        CacheTTL => 0,
#        # just a read only source
#        ReadOnly => 1,
        Map => [

            # note: Login, Email and CustomerID needed!
            # var, frontend, storage, shown (1=always,2=lite), required, storage-type, http-link, readonly, http-link-target
            [ 'UserTitle',      'Title',      'title',      1, 0, 'var', '', 0 ],
            [ 'UserFirstname',  'Firstname',  'first_name', 1, 1, 'var', '', 0 ],
            [ 'UserLastname',   'Lastname',   'last_name',  1, 1, 'var', '', 0 ],
            [ 'UserLogin',      'Username',   'login',      1, 1, 'var', '', 0 ],
            [ 'UserPassword',   'Password',   'pw',         0, 0, 'var', '', 0 ],
            [ 'UserEmail',      'Email',      'email',      1, 1, 'var', '', 0 ],
			[ 'Firma',            'Firma', 		 'firma', 	 1, 0, 'var', '', 0],
			[ 'Abteilung', 	      'Abteilung', 	 'abteilung', 	 1, 0, 'var', '', 0 ],
			[ 'Vorgesetzter',     'Vorgesetzter', 'manager', 	 1, 0, 'var', '', 0 ],
			[ 'Buero', 	      'Buero', 		 'buero', 1, 0, 'var', '', 0 ],
      #      [ 'UserEmail',      'Email', 'email',           1, 1, 'var', '$Env{"CGIHandle"}?Action=AgentTicketCompose&ResponseID=1&TicketID=$Data{"TicketID"}&ArticleID=$Data{"ArticleID"}', 0, 'OTRSPopup_TicketAction' ],
          [ 'UserCustomerID', 'CustomerID', 'customer_id', 0, 1, 'var', '', 0 ],

             [ 'UserPhone',        'Phone',       'phone',        1, 0, 'var', '', 0 ],
             [ 'UserComment',      'Comment',     'comments',     1, 0, 'var', '', 0 ],

        ],

        # default selections
#        Selections => {

#            UserTitle => {
#                'Mr.' => 'Mr.',
#                'Mrs.' => 'Mrs.',
#            },
#        },
    };
 #--------------------------------------------------------------------------------------------

[TeQuillaaaA]

Hm...weiß nicht so recht was du mir damit sagen willst. Ist in deiner Antwort die Lösung des Problems versteckt? Im übrigen hab ich in der Tabelle customer_preferences noch Daten von den besagten, gelöschten Benutzern drin stehen. Sollte das auch weg?

[boris]

Wenn du deine Kundendaten aus dem LDAP abfragst werden die natürlich auch angezeigt wenn du die Kundendaten aus der Datenbank löschst.
Dann holt das OTRS sich die Daten ja vom LDAP und nicht aus der lokalen DB.

Also wenn du trotz leerer Tabelle Daten sehen kannst ist das wahrscheinlich auch so

Also hast du in deinr Config.pm wahrscheinlich einen bereich der unegfähr so aussieht:

Code: Select all

#-------------------------------------------------------------------------------------------- 
#                                     Kundendaten                                           #
#--------------------------------------------------------------------------------------------
   $Self->{CustomerUser} = {
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
      Host => 'dc.Firmanname.intern',
      BaseDN => 'DC=Firmanname, DC=intern',
      SSCOPE => 'sub',
      UserDN => 'Binduser',
      UserPw => 'Passwort',
      AlwaysFilter =>  '(&(objectclass=user)(|(mail=*.*@Firmanname.de))(!(mail=fax.*@Firmanname.de)))',
    },
    CustomerKey => 'sAMAccountName',
    CustomerID => 'mail',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
      # note: Login, Email and CustomerID needed!
      # var, frontend, storage, shown, required, storage-type
#       [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
      [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
      [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
      [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
      [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
      [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
      [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
	  [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
#       [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#       [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
    ],
  };
 #--------------------------------------------------------------------------------------------

Damit holst du die Kundendaten eben vom LDAP und nicht aus der lokalen Datenbank.

ich habs bei uns so eingerichtet:

Code: Select all

#--------------------------------------------------------------------------------------------
#                                     Kundendaten                                           #
#--------------------------------------------------------------------------------------------

    # CustomerUser
    # (customer user database backend and settings)
    $Self->{CustomerUser} = {
        Name   => 'Database Backend',
        Module => 'Kernel::System::CustomerUser::DB',
        Params => {

            Table => 'customer_user',
            # if your frontend is unicode and the charset of your
            # customer database server is iso-8859-1, use these options.
#           SourceCharset => 'iso-8859-1',
#           DestCharset => 'utf-8',

            CaseSensitive => 0,
        },

        # customer unique id
        CustomerKey => 'login',

        # customer #
        CustomerID             => 'customer_id',
        CustomerValid          => 'valid_id',
        CustomerUserListFields => [ 'first_name', 'last_name', 'email' ],

#        CustomerUserListFields => ['login', 'first_name', 'last_name', 'customer_id', 'email'],
        CustomerUserSearchFields           => [ 'login', 'first_name', 'last_name', 'customer_id' ],
        CustomerUserSearchPrefix           => '*',
        CustomerUserSearchSuffix           => '*',
        CustomerUserSearchListLimit        => 1000,
        CustomerUserPostMasterSearchFields => ['email'],
        CustomerUserNameFields     => [ 'title', 'first_name', 'last_name' ],
        CustomerUserEmailUniqCheck => 1,

#        # show now own tickets in customer panel, CompanyTickets
#        CustomerUserExcludePrimaryCustomerID => 0,
#        # generate auto logins
#        AutoLoginCreation => 0,
#        # generate auto login prefix
#        AutoLoginCreationPrefix => 'auto',
#        # admin can change customer preferences
#        AdminSetPreferences => 1,
#        # use customer company support (reference to company, See CustomerCompany settings)
#        CustomerCompanySupport => 1,3
#        # cache time to live in sec. - cache any database queries
#        CacheTTL => 0,
#        # just a read only source
#        ReadOnly => 1,
        Map => [

            # note: Login, Email and CustomerID needed!
            # var, frontend, storage, shown (1=always,2=lite), required, storage-type, http-link, readonly, http-link-target
            [ 'UserTitle',      'Title',      'title',      1, 0, 'var', '', 0 ],
            [ 'UserFirstname',  'Firstname',  'first_name', 1, 1, 'var', '', 0 ],
            [ 'UserLastname',   'Lastname',   'last_name',  1, 1, 'var', '', 0 ],
            [ 'UserLogin',      'Username',   'login',      1, 1, 'var', '', 0 ],
            [ 'UserPassword',   'Password',   'pw',         0, 0, 'var', '', 0 ],
            [ 'UserEmail',      'Email',      'email',      1, 1, 'var', '', 0 ],
         [ 'Firma',            'Firma',        'firma',     1, 0, 'var', '', 0],
         [ 'Abteilung',          'Abteilung',     'abteilung',     1, 0, 'var', '', 0 ],
         [ 'Vorgesetzter',     'Vorgesetzter', 'manager',     1, 0, 'var', '', 0 ],
         [ 'Buero',          'Buero',        'buero', 1, 0, 'var', '', 0 ],
      #      [ 'UserEmail',      'Email', 'email',           1, 1, 'var', '$Env{"CGIHandle"}?Action=AgentTicketCompose&ResponseID=1&TicketID=$Data{"TicketID"}&ArticleID=$Data{"ArticleID"}', 0, 'OTRSPopup_TicketAction' ],
          [ 'UserCustomerID', 'CustomerID', 'customer_id', 0, 1, 'var', '', 0 ],

             [ 'UserPhone',        'Phone',       'phone',        1, 0, 'var', '', 0 ],
             [ 'UserComment',      'Comment',     'comments',     1, 0, 'var', '', 0 ],

        ],

damit hole ich die Kundendaten aus der lokalen DB.

Alles klar?

[TeQuillaaaA]

Naja also ich hab das so gebastelt, dass bei uns hier beides möglich ist. Für einen Teil der Mitarbeiter ist die Authentifizierung gegen die DB eingerichtet und für den größeren Teil ist die Authentifizeriung gegen LDAP eingerichtet. Und ich will jetzt Benutzer, die sich vormals gegen LDAP authentifiziert haben, so hinbiegen das sie sich gegen DB authentifizieren (Herr Gott, ich liebe dieses Wort wenn man schnell schreibt ). Das Problem ist: den Benutzernamen der aus dem LDAP kommt gibts es schon, d.h.: ich kann keine Benutzer in der Datenbank anlegen, welche den gleichen Benutzernamen haben. Sehr wirr, ich weiß.

Ich hab jetzt für die Benutzer (vormals LDAP; jetzt DB) ein LDAPFilter eingebaut, der die Benutzer vom LDAP-Sync ausschließt. Dadurch das die ja schonmal vom LDAP gesynct worden sind, sind die auch im OTRS vorhanden. Nun dacht ich mir, dass ich die aus der customer_users weglöscht. Jetzt sind die zwar aus dieser Tabelle verschwunden, jedoch gibt es die noch, wenn ich mir die Kunden im OTRS auflisten lasse.

[boris]

Jetzt bin ich verwirrt

Wenn du die Datenbank leer gemacht hast gibt es keinen Benutzernamen der aus dem LDAP kommt.
Die Daten werden ja bei Kundendaten aus dem LDAP jedes mal abgefragt.


Oder hast du Kunden die einen lokalen DB user haben mit dem sie Tickets eröffnen können und einen LDAP user der Tickets eröffnen kann?
Also zwei User pro Kunde?

[TeQuillaaaA]

Die DB ist nicht leer. Ich hab nur 5 oder 6 User aus der Tabelle customer_users gelöscht.

Also es ist so: Wir benutzen OTRS als Adminabteilung in einem Unternehmen, wo die Mitarbeiter Tickets an uns erstellen können wenn was klemmt. Ein Großteil der Mitarbeiter werden aus dem LDAP geholt. Es gibt jedoch auch Mitarbeiter die nicht im LDAP eingetragen sind. Da diese jedoch auch OTRS nutzen sollen, wurden lokale Benutzer in der Datenbank erstellt die sich wie alle am Customer Frotnend anmelden können. Ich hab quasi 2 Backends in der Config.pm stehen.

[boris]

O.k...soweit verstanden, und jetzt siehst du Kunden aus dem LDAP die nicht drin sein sollten?

[TeQuillaaaA]

Ja genau, im OTRS sehe ich Benutzer (Kunden) die ich eigentlich in der Tabelle customer_users gelöscht hab.

[boris]

Ja dann kommen die aus den LDAP Kundendaten.

Dei müsstest du dann hier rausfiltern:

Code: Select all

#--------------------------------------------------------------------------------------------
#                                     Kundendaten                                           #
#--------------------------------------------------------------------------------------------
   $Self->{CustomerUser} = {
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
      Host => 'dc.Firmanname.intern',
      BaseDN => 'DC=Firmanname, DC=intern',
      SSCOPE => 'sub',
      UserDN => 'Binduser',
      UserPw => 'Passwort',
      AlwaysFilter =>  '(&(objectclass=user)(|(mail=*.*@Firmanname.de))(!(mail=fax.*@Firmanname.de)))',