Agent login nicht möglich

[mathiasw]

Hallo,

wir nutzen seit vielen Jahren LDAP als Authentifizierungsquelle für das Agent-Login. Bisher ohne große Probleme. Jetzt haben wir einen neuen User, der kann sich einfach nicht anmelden. Ich finde in keinem Logfile irgendwelche Fehlermeldungen.

Allerdings hat dieser User (also der User im System) eine Vorgeschichte: beim ersten Anlegen im LDAP ist wohl etwas schief gegangen, als Username im LDAP wurde "agen" gesetzt. Das hat dann ein Admin auf "agent" korrigiert. Dann hat ein anderer Admin interveniert, den umbenannten User gelöscht und den User "agent" neu angelegt. Ob es zwischen diesen Aktionen einen Anmeldeversuch des Users am OTRS gab, konnte ich nicht rausfinden. Da liegt die Vermutung nahe, dass unser OTRS nun zu Recht verwirrt ist.

An diversen anderen Apps die auch am LDAP hängen, kann sich unser "agent" übrigens problemlos anmelden.

Wie kann ich dem Problem nun auf die Spur kommen? Und kann ich den User vielleicht im OTRS löschen? Er hat ja noch nichts gemacht, Spuren von ihm gibt es ja eigentlich nur in den users und user_preferences. Wenn ich den username in der users ändere, müsste ihn OTRS beim nächsten Login-Versuch doch einfach neu anlegen?

Mathias

[root]

Hallo,

bitte einmal die SysConfig MinimumLogLevel auf debug stellen und nach dem nächsten Loginversuch mal im Log nachsehen was drin steht.

- Roy

[mathiasw]

Ok, jetzt sehe ich:

[Notice][Kernel::System::Auth::LDAP::Auth] User: agent authentication failed, no LDAP entry found!BaseDN='DC=xx,DC=yy', Filter='(uid=agent)'

ldapsearch findet den User unter:

dn: uid=agent,cn=users,dc=xx,dc=yy

Unter cn=users,dc=xx,dc=yy finden sich auch alle anderen User, bei denen das Login funktioniert.

[root]

Hi,

das prüfe doch mal ob ein AlwaysFilter an ist und ggf. poste mal Deine Konfiguration.

- Roy

[mathiasw]

Der AlwaysFilter wird auch in der Config.pm gesetzt? Dann ist der nicht an, unsere config:

Code: Select all

    $Self->{'AuthModule'}                               = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'}                   = 'ldaps://dc.xx.yy:636';
    $Self->{'AuthModule::LDAP::BaseDN'}                 = 'DC=xx,DC=yy';
    $Self->{'AuthModule::LDAP::UID'}                    = 'uid';
    $Self->{'AuthModule::LDAP::SearchUserDN'}           = 'CN=bind user,CN=Users,DC=xx,DC=yy';
    $Self->{'AuthModule::LDAP::SearchUserPw'}           = 'passwort';
    $Self->{'AuthModule::LDAP::GroupDN'}                = 'CN=g_otrs_user,CN=Users,DC=xx,DC=yy';
    $Self->{'AuthModule::LDAP::AccessAttr'}             = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'}               = 'DN';
    $Self->{'AuthSyncModule'}                           = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'}               = 'ldaps://dc.xx.yy:636';
    $Self->{'AuthSyncModule::LDAP::BaseDN'}             = 'DC=xx,DC=yy';
    $Self->{'AuthSyncModule::LDAP::UID'}                = 'uid';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'}       = 'CN=bind user,CN=Users,DC=xx,DC=yy';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'}       = 'passwort';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };

    # die if backend can't work, e. g. can't connect to server
    $Self->{'AuthSyncModule::LDAP::Die'} = 1;

    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users'
    ];

[root]

Hi,

ist das ein openLDAP oder ein Active Directory?

- Roy

[mathiasw]

Das ist ein AD.

Und wo ich da gerade reinschaue sehe ich auch voran es liegt: der User hat im AD keine uid. Das ist bisher nicht aufgefallen, da wir inzwischen alle Clients (bis auf das OTRS) auf samaccountname geändert haben. Deshalb hat es überall sonst funktioniert. Gute Gelegenheit, das OTRS mal nachzuziehen...

Vielen Dank für die Hilfe!

Mathias

[root]

Hi,

Exakt das wäre jetzt meine Antwort gewesen.

- Roy