LDAP + Gruppenzuordnung

[MikeW]

Guten Tag,

ich habe den ganzen Vormittag damit verbracht eine passende Lösung zu finden, damit meine Benutzer auf OTRS zugreifen können.

Aktueller Stand:
OTRS 3.1.2 ist installiert, funktioniert und auch Benutzer können sich via LDAP authentifizieren.

Problem:
Ich möchte über Gruppen im AD die Gruppenzuordnung im OTRS steuern. Dies funktioniert leider nicht.

Folgende Gruppen sind derzeit angelegt:
_otrs_Users: Standardgruppe, ein Benutzer muss sich in dieser Gruppe befinden um sich im OTRS anmelden zu können
_otrs_Admin: Administratorgruppe, Jeder benutzer der zusätzlich dieser Gruppe zugewiesen ist bekommt RW auf die OTRS-Gruppe 'admin'

Meine Konfiguration:

Code: Select all

    # ---------------------------------------------------- #
    # ---------------------------------------------------- #
    #                                                      #
    #         Start of your own config options!!!          #
    #                                                      #
    # ---------------------------------------------------- #
    # ---------------------------------------------------- #

    $Self->{'AuthModule::UseSyncBackend'} = 'AuthSyncBackend';

    $Self->{AuthModule} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = '192.168.168.3';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=_otrs_Users,OU=Security Groups,OU=MyBusiness,DC=url,DC=local';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrs';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'SomePass';
    $Self->{'AuthModule::LDAP::AlwaysFilter'} = '(objectclass=user)';

    $Self->{AuthSyncModule} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = '192.168.168.3';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'otrs';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'SomePass';
    $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '(objectclass=user)';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };

    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];

    $Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
        # ldap group
        'CN=_otrs_Admin,OU=Security Groups,OU=MyBusiness,DC=url,DC=local' => {
           # otrs group
            'admin' => {
                # permission
                rw => 1,
            },
       }
    };

Der Teil mit den benutzern in _otrs_Users funktioniert einwandfrei. Jedoch die Zuordnung in die Gruppe 'admin' klappt nicht. Hierbei finde ich folgende Details im syslog.

Code: Select all

May  2 14:01:41 urlux01 OTRS-CGI-10[2582]: [Notice][Kernel::System::Auth::LDAP::Auth] User: mwielitsch (CN=Michael Wielitsch,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local) authentication ok (REMOTE_ADDR: 192.168.168.98).
May  2 14:01:41 urlux01 OTRS-CGI-10[2582]: [Notice][Kernel::System::User::UserUpdate] User: 'mwielitsch' updated successfully (1)!
May  2 14:01:41 urlux01 OTRS-CGI-10[2582]: [Notice][Kernel::System::User::SetPassword] User: 'mwielitsch' changed password successfully!
May  2 14:01:41 urlux01 OTRS-CGI-10[2582]: [Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: 'mwielitsch' sync ldap groups CN=_otrs_Admin,OU=Security Groups,OU=MyBusiness,DC=url,DC=local to groups!
May  2 14:01:41 urlux01 OTRS-CGI-10[2582]: [Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: mwielitsch not in GroupDN='CN=_otrs_Admin,OU=Security Groups,OU=MyBusiness,DC=url,DC=local', Filter='(memberUid=CN=Michael Wielitsch,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local)'! (REMOTE_ADDR: 192.168.168.98).

Der benutzer befindet sich in beiden Gruppen und ich finde leider nichts, um das Problem zu lösen.

Weiters kann ich zwar mit dem User aus dem AD einloggen, sehe jedoch kein einziges Ticket. Weiters bin ich auch ratlos was ich tun muss um wieder einen 'root' Admin zu bekommen, wenn ich via LDAP authentifiziere...

Ich möchte für jede OTRS-Gruppe (oder auch mehrere) eine Zuteilung via Gruppen im AD machen. Jetzt würde ich gerne wissen, was ich an meiner Konfiguration falsch gemacht habe.

Vielen Dank im Voraus.

Lg, Michael

[MikeW]

Ich habe gerade diesen Beitrag gefunden:
viewtopic.php?t=2211&p=9397

Nur leider ändert sich an meiner Situation absolut garnichts. Egal was ich machen

Die Konfiguration sieht nun so aus:

Code: Select all

    $Self->{'AuthModule::UseSyncBackend'} = 'AuthSyncBackend';

    $Self->{AuthModule} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = '192.168.168.3';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=_otrs_Users,OU=Security Groups,OU=MyBusiness,DC=url,DC=local';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
#    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=OTRS,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'SomePass';
    $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

    $Self->{AuthSyncModule} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = '192.168.168.3';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=OTRS,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'SomePass';
    $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };

    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];

    $Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
        # ldap group
        'CN=_otrs_Admin,OU=Security Groups,OU=MyBusiness,DC=url,DC=local' => {
           # otrs group
            'admin' => { rw => 1, ro => 1 },
            'faq' => { rw => 1, ro => 1 },
            'users' => { rw => 1, ro => 1 }
        }
    };

Und im Log ist wieder nur das zu finden:

Code: Select all

 User: MWielitsch (CN=Michael Wielitsch,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local) authentication ok (REMOTE_ADDR: 192.168.168.98).
May  2 16:07:12 urlux01 OTRS-CGI-10[5824]: [Notice][Kernel::System::User::UserUpdate] User: 'MWielitsch' updated successfully (1)!
May  2 16:07:12 urlux01 OTRS-CGI-10[5824]: [Notice][Kernel::System::User::SetPassword] User: 'MWielitsch' changed password successfully!
May  2 16:07:12 urlux01 OTRS-CGI-10[5824]: [Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: 'MWielitsch' sync ldap groups CN=_otrs_Admin,OU=Security Groups,OU=MyBusiness,DC=url,DC=local to groups!
May  2 16:07:12 urlux01 OTRS-CGI-10[5824]: [Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: MWielitsch not in GroupDN='CN=_otrs_Admin,OU=Security Groups,OU=MyBusiness,DC=url,DC=local', Filter='(memberUid=CN=Michael Wielitsch,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=url,DC=local)'! (REMOTE_ADDR: 192.168.168.98).

Und wie im oberen Beitrag schon geschrieben, ändert sich der Filter bei mir nicht es steht immer 'memberUid'

Lg, Michael

[boris]

Problem:
Ich möchte über Gruppen im AD die Gruppenzuordnung im OTRS steuern. Dies funktioniert leider nicht.

Willst du den Kunden Gruppen zuweisen oder den Agenten?
Kunden-Gruppenzuweisung funktiniert so nicht.

[MikeW]

Bitte entschuldige die späte Antwort.

Ich möchte die Agenten den entsprechenden Gruppen zuweisen und somit die Berechtigungen steuern. Auch brauche ich nen root User oder sowas. Und ich finde keine Lösung dazu.

Danke, Michael

[MikeW]

Würde das gerne pushen, da bis jetzt kein einziger Hinweis den ich im Netz gefunden habe, zu eine Ergebnis geführt hat.

[boris]

hast du mal in der Defaults.pm geguckt? Da ist ein Beispiel.

[MikeW]

hast du mal in der Defaults.pm geguckt? Da ist ein Beispiel.

Hallo,

ja, habe ich. Wie man aus den oberen Auszügen erkennen kann, habe ich diese Elemente verwendet, die in der Defaults.pm angegeben sind. Nur weiß ich nicht, was an meiner Konfiguration falsch ist.

[MikeW]

Ich pushe das nochmal. Ich stehe langsam unter Zeitdruck. Ich habe die Konfiguration mal geändert wie im Internet zusätzlich gefunden, aber leider funktioniert weder das Zuteilen von Gruppen oder Rollen... Es funktioniert auch nicht die RW-Berechtigung der Initialisierungsgruppe zu setzen.

Brauche dringend HILFE.

Vielen Dank!

[b2c]

Hi,

sorry fuer das gravedigging aber diese Seite kommt in google ziemlich weit vorne, wenn man nach diesem Problem sucht. Nachdem die Frage scheinbar durchaus öfter gestellt wird und ich gerade auch damit zu kämpfen hatte, hier die Lösung für das Problem:

Setup:
- OTRS 3.1.2 + ITSM Suite
- W2k8 Active Directory Domain

Problem:
Bei Verwendung des Moduls 'AuthSyncModule::LDAP::UserSyncGroupsDefinition' erscheint be der Anmeldung im OTRS folgender Fehler:

Code: Select all

[Wed Dec 12 10:05:23 2012][Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: abcdef not in GroupDN='CN=irgdwo OU=irgendwas'! (REMOTE_ADDR: 1.2.3.4).

Die Anmeldung funktioniert, aber die Gruppenzuordnungen bzw. Rechte passen nicht.

Ursache:
OTRS sucht per default nach der 'memberUID' in der GroupDN (siehe ../Kernel/System/Auth/Sync/LDAP.pm), in Active Directory sind Benutzer in der GroupDN aber als 'member' definiert.

Lösung:
Der Parameter 'AuthSyncModule::LDAP::AccessAttr' muss auf 'member' gesetzt werden.

Code: Select all

$Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';

greez,
b2c