Anmeldung an einem Active Directory

Woddi · Post by **Woddi** » 16 Oct 2007, 14:54

Hallo,

kann mir jemand sagen wie ich es schaffe mit dem otrs 2.2.3 mich an einem AD anzumelden?
Ich habe Debian etch installiert. Soweit läuft otrs auch ganz gut nur möchte ich gerne meine Benutzer über den AD anmelden lassen, da ich nicht übermäßig viele Passwörter speichern möchte.

Vielen Dank schonmal für die Infos!

Post by **jojo** » 16 Oct 2007, 18:40

Forumssuche nutzen....

und/Oder in die Defaults.pm schauen

Woddi · Post by **Woddi** » 17 Oct 2007, 14:37

so,

habe nun kerberos5 und samba installiert und ich kann mich mit

Code: Select all

wbinfo -u

die Users im AD anzeigen lassen. Denke nun mal das eine Verbindung besteht.
Jetzt hab ich mich im otrs Forum schlau gemacht, wie die Config aussehen muss damit sich ein otrs mit dem AD verbindet:

Code: Select all

#LDAP Konfiguration
# ADS Connect
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = '192.168.12.1';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=proveit,dc=test,dc=local';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'DC=PROVEITEST'; 
$Self->{'AuthModule::LDAP::AccessAttr'} = '';  (<- Was muss denn hier rein?)
$Self->{'AuthModule::LDAP::SearchUserDN'} = ''; (<- Was muss denn hier rein?)
$Self->{'AuthModule::LDAP::SearchUserPw'} = ''; (<- Was muss denn hier rein?)

#### UserSyncLDAPMap
    # (map if agent should create/synced from LDAP to DB after login)
    $Self->{UserSyncLDAPMap} = {
#       # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname => 'sn',
        UserEmail => 'mail',
    };  

#LDAP Konfiguration Ende

unter var/log/syslog finde ich folgende ausgabe wenn ich mit einem benutzer der im AD vorhanden ist verbinden will:

Code: Select all

Oct 17 14:24:06 otrs2 OTRS-CGI-01[3351]: [Error][Kernel::System::Auth::LDAP::Auth][Line:248]: Search failed! base='DC=PROVEITEST', filter='(memberUid=CN=otrstest,CN=Users,DC=proveit,DC=test,DC=local)', Success

Hat jemand ne Ahnung was die Sachen noch bedeuten?

chrim · Post by **chrim** » 19 Oct 2007, 14:44

#LDAP Konfiguration
# ADS Connect
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = '192.168.12.1';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=proveit,dc=test,dc=local';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'DC=PROVEITEST';
$Self->{'AuthModule::LDAP::AccessAttr'} = ''; (<- Was muss denn hier rein?) 'member'
$Self->{'AuthModule::LDAP::SearchUserDN'} = ''; (<- Was muss denn hier rein?) gültiger Benutzer aus dem AD. Ein dummy oder serviceuser der nur für solche lesende Zugriffe genutzt wird (AD erlaubt, glaube ich, keine anonymen Zugriffe.)
$Self->{'AuthModule::LDAP::SearchUserPw'} = ''; (<- Was muss denn hier rein?) Das Passwort von den oben erwähnten User

#### UserSyncLDAPMap
# (map if agent should create/synced from LDAP to DB after login)
$Self->{UserSyncLDAPMap} = {
# # DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
vielleicht noch :
Phone => 'telephoneNumber',
Username => 'sAMAccountName', oder wie du willst
comment => 'description',
};

#LDAP Konfiguration Ende

Woddi · Post by **Woddi** » 29 Oct 2007, 14:04

So mal meine entgültige Konfiguration.

#LDAP Konfiguration
# ADS Connect
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'IPAddresse';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=example,dc=test,dc=local';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=otrs,CN=USERS,DC=example,DC=test,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=Administrator,CN=USERS,DC=example,DC=test,DC=local';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'PW VON Administrator';

#### UserSyncLDAPMap
# (map if agent should create/synced from LDAP to DB after login)
$Self->{UserSyncLDAPMap} = {
# # DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
Phone => 'telephoneNumber',
Username => 'sAMAccountName',
comment => 'description',
};

#LDAP Konfiguration Ende

Soweit passt alles. es werden nun nur die Users zugelassen die im AD auch in der gruppe otrs sind.

chrim · Post by **chrim** » 29 Oct 2007, 16:47

Dann funktioniert es jetzt, oder?

Dennis · Post by **Dennis** » 29 Oct 2007, 17:57

ähhhhhmmm

$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=Administrator,CN=USERS,DC=example,DC=test,DC=local';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'PW VON Administrator';

Das ist keine gute Idee...erstell dir einen Benutzer ohne größere Berechtigungen und nimm den

chrim · Post by **chrim** » 30 Oct 2007, 11:08

Das war sicher nur exemplarisch !? Aber man weiß ja nie.

Ich hatte oberhalb ja bereits darauf hingewiesen und einen Service-User für solche Zwecke empfohlen.

Man kann es aber ja nie oft genug sagen.....

Woddi · Post by **Woddi** » 31 Oct 2007, 10:10

Hi,

ja das war auch nur nen Administrator der alles kann um erstmal ein paar möglichkeiten auszuschliessen das es nicht klappt. Ist auch nur ein Testsystem. In der Produktion gibt es technische Accounts und die haben nur die Berechtigungen zu lesen.
Aber danke für den Hinweis!

Eine Frage habe ich noch. Und zwar wenn ich mich nun mit ldap anmelde und die Domäne ist gerade nicht verfügbar, kann er dann die lokale Datenbank abfragen und dort den user nehmen? Es sollte halt so funktionieren das der User sich schon mindestens 1 mal am OTRS angemeldet haben muss zwecks passwort und das automatische anlegen des Users. Es wäre halt praktisch das man weiterarbeiten auch wenn du Domäne gerade mal nicht verfügbar ist.
Was würde das für Sicherheitsrisiken hervorrufen? Wird das System unsicherer?

Dennis · Post by **Dennis** » 31 Oct 2007, 11:18

Das Passwort wird immer in die MySQL DB übernommen. Ich gehe davon aus, dass die Anmeldung auch funktioniert wenn der DC mal nicht da ist, beschwören würde ich es aber jetzt nicht.

Woddi · Post by **Woddi** » 02 Nov 2007, 09:50

Hallo,

also ich habe den Windows 2003 Server runtergefahren und dann komm folgende Fehlermeldung.

Code: Select all

 OTRS-CGI-01[2726]: [Error][Kernel::System::Auth::LDAP::Auth][Line:163]: Can't connect to 192.168.12.1: IO::Socket::INET: connect: Connection refused

Und die Anmeldung ist dann fehl geschlagen.
Hat da jemand ne Ahnung wie man sich dann trotz der nichthochgefahrenen Domaine noch anmelden kann?

Dennis · Post by **Dennis** » 08 Nov 2007, 14:08

Ich habe mal einen Bugreport zu dem Thema eröffnet:

http://bugs.otrs.org/show_bug.cgi?id=2483

Woddi · Post by **Woddi** » 23 Nov 2007, 10:11

Ja wäre schön, wenn es sowas geben könnte. Mal gucken ob es bei irgendeiner der nächsten Versionen dabei ist.

wonz · Post by **wonz** » 05 Aug 2009, 14:45

Woddi wrote:So mal meine entgültige Konfiguration.

#LDAP Konfiguration
# ADS Connect
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'IPAddresse';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=example,dc=test,dc=local';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=otrs,CN=USERS,DC=example,DC=test,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=Administrator,CN=USERS,DC=example,DC=test,DC=local';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'PW VON Administrator';

#### UserSyncLDAPMap
# (map if agent should create/synced from LDAP to DB after login)
$Self->{UserSyncLDAPMap} = {
# # DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
Phone => 'telephoneNumber',
Username => 'sAMAccountName',
comment => 'description',
};

#LDAP Konfiguration Ende

Soweit passt alles. es werden nun nur die Users zugelassen die im AD auch in der gruppe otrs sind.

Hallo

Ich benutze das AD als Authentifizierung und Datenbank für die Kunden.
Allerdings tauchen bei mir in der "Kunden-Benutzer"-Verwaltung auch Windows Gruppen auf.
Ich würde gerne nur einer Windows Gruppe die Anmeldung erlauben (und auch nur diese als Kunden eingetragen haben).
Eigentlich dachte ich dass

Code: Select all

$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=otrs,CN=USERS,DC=example,DC=test,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';

dazu führen würde.. das bringts bei mir aber nicht...

Nutze übrigens OTRS2.4.

Code: Select all


#################
#Enable LDAP authentication for Customers / Users
  $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
  $Self->{'Customer::AuthModule::LDAP::Host'} = 'dc01.mh.xxx.com';
  $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=mh,dc=xxx,dc=com';
  $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
  $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=Dom-OTRS-Customer,OU=Groups,DC=mh,DC=xxx,DC=com';
  $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';

#The following is valid but would only be necessary if the
#anonymous user do NOT have permission to read from the LDAP tree
  $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'otrs_ldap';
  $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'geheim;)';
#CustomerUser
#(customer user database backend and settings)

#CustomerUser
#(customer user database backend and settings)
   $Self->{CustomerUser} = {
     Module => 'Kernel::System::CustomerUser::LDAP',
     Params => {
      Host => 'dc01.mh.xxx.com',
      BaseDN => 'dc=mh,dc=xxx,dc=com',
      SSCOPE => 'sub',
      UserDN =>'otrs_ldap',
      UserPw => 'geheim;)',
    },
    # customer unique id
    CustomerKey => 'sAMAccountName',
    # customer #
    CustomerID => 'mail',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchPrefix => '',
    CustomerUserSearchSuffix => '*',
    CustomerUserSearchListLimit => 250,
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
      # note: Login, Email and CustomerID needed!
      # var, frontend, storage, shown, required, storage-type
      #[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
      [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
      [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
      [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
      [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
      [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
      [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
      #[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
      #[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
    ],
  };

Hoffe auf Eure Hilfe. Vielen Dank im voraus

wonz · Post by **wonz** » 25 Sep 2009, 13:44

Hab den Fehler gefunden:

vor "AuthModule"

Code: Select all

  $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=Dom-OTRS-Customer,OU=Groups,DC=mh,DC=xxx,DC=com';
  $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';

gehört noch ein "Customer::"

Code: Select all

  $Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'CN=Dom-OTRS-Customer,OU=Groups,DC=mh,DC=xxx,DC=com';
  $Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';

und schon klappts auch mit dem Nachbarn....

crazychris · Post by **crazychris** » 08 Oct 2009, 15:58

Hallo,
ich bin neu hier im Forum und vielleicht auch nicht ganz richtig, möchte aber denoch versuchen ob Ihr mir helfen könnt.

Ja ich weiß ist etwas verwirrend bei uns hier, aber vielleicht hilft es ja wenn ich die Situation nochmal kurz schildere.
AD läuft ansich gut und wird auch von allen PC-Usern genutzt. Jetzt ist es aber so das wir eine recht gemischte Systemumgebung haben, manche PC-User müssen sich noch auf einem UNIX-Server mit Sambafreigaben verbinden.
Jetzt wäre es natürlich ideal wenn sie sich nicht neu anmelden müssten sondern sich mit ihrem Windows-Account verbinden könnten.
Die Software die unter UNIX läuft unterstützt aber keinen AD Zugriff sondern nur LDAP. Drum unsere Überlegung einen Linuxserver mit LDAP aufzusetzen und hierüber das AD abzuchecken und den User für den "Sambazugriff" freizugeben.
Aber dazu müsste ich ja das AD und deren Gruppen abfragen können.

Also es soll möglichst nur der WIN-AD-Account genutzt werden um sich mit der Samba-Freigabe zu verbinden.

Muß ich da in der ldap.conf noch Änderungen vornehmen?

Code: Select all

# RFC 2307 (AD) mappings
#nss_map_objectclass posixAccount user
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid sAMAccountName
#nss_map_attribute homeDirectory unixHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup group
#nss_map_attribute uniqueMember member
#pam_login_attribute sAMAccountName
#pam_filter objectclass=User
#pam_password ad

# configure --enable-authpassword is no longer supported
# AuthPassword mappings
#nss_map_attribute userPassword authPassword

# AIX SecureWay mappings
#nss_map_objectclass posixAccount aixAccount
#nss_base_passwd ou=aixaccount,?one
#nss_map_attribute uid userName
#nss_map_attribute gidNumber gid
#nss_map_attribute uidNumber uid
#nss_map_attribute userPassword passwordChar
#nss_map_objectclass posixGroup aixAccessGroup
#nss_base_group ou=aixgroup,?one
#nss_map_attribute cn groupName
#nss_map_attribute uniqueMember member
#pam_login_attribute userName
#pam_filter objectclass=aixAccount
#pam_password clear

# For pre-RFC2307bis automount schema
#nss_map_objectclass automountMap nisMap
#nss_map_attribute automountMapName nisMapName
#nss_map_objectclass automount nisObject
#nss_map_attribute automountKey cn
#nss_map_attribute automountInformation nisMapEntry

So, Verwirrung komplett.

Ich hoffe ihr könnt mir helfen.

crazychris

garwen · Post by **garwen** » 08 Oct 2009, 16:27

Wieso der Umweg über einen Linuxserver ?
Kannst doch vom Unix wie auch vom OTRS direkt über LDAP ins AD.

Wie Du OTRS für LDAP konfigurierst, findest Du hier: http://doc.otrs.org/2.4/de/html/x1907.h ... ckend-ldap

crazychris · Post by **crazychris** » 09 Oct 2009, 10:49

Ja stimmt schon, aber unsere "Problem-Anwendung" läuft auf einem UNIX-Server unter Solaris 9 und unterstützt AD nicht direkt. Auf dem UNIX-Server wollen wir kein LDAP installieren und der AD-Server ist ein WindowsServer 2003 auf dem auch kein LDAP installiert werden darf (Firmenwunsch).
Also kamen wir auf diesen Weg, über einen Linux-Server zu gehen.
Soll sozusagen Vermittler zwischen UNIX und Win sein.

Chris

garwen · Post by **garwen** » 09 Oct 2009, 11:19

... wenn Manager die IT Entscheidungen treffen dürfen, kommt sowas dabei raus.

crazychris · Post by **crazychris** » 09 Oct 2009, 11:35

eben, und das ist ja mein Problem. Ich soll es jetzt realisieren.

Naja. werde eine Lösung finden.

Gruß
Chris

Post by **jojo** » 09 Oct 2009, 15:43

Ein Active Directory ist ein LDAP!

crazychris · Post by **crazychris** » 09 Oct 2009, 16:41

danke jojo , habs kappiert !