Problem mit Benutzerauthentifizierung per LDAP

[FlorianM]

Hallo zusammen,

ich nutze OTRS 4.1.

Ich möchte die Benutzer über LDAP mit meinem Active Directory Synchronisieren und Authentifizieren.

Das funktioniert auch soweit nur das Einschränken über die Gruppenzugehörigkeit gelingt mir nicht.

Ich möchte das sich nur Benutzer authentifizieren können die Mitglied in der Gruppe Benutzer sind.

Also habe ich mir im ADSI-Editor den DN der Gruppe Benutzer anzeigen lassen verwendet:

Code: Select all

# Check if the user is allowed to auth in a posixGroup
# (e. g. user needs to be in a group xyz to use otrs)
$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'CN=users,CN=builtin,DC=domain,DC=local';
$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'distinguishedName';

Mit diesen Einstellungen bekomme ich den Fehler das Passwort oder Name falsch seien, wenn ich die Zeilen auskommentiere funktioniert der Login und die Benutzer werden Synchronisiert. DC=domain,DC=local ersetze ich natürlich durch den eigentlichen Namen der Domain.

In manchen Tuts wurde die OU in der GroupDN mit "OU=..." angegeben, das hat aber auch nicht funktioniert.

Fällt da jemandem was ein?


Die weiteren Settings:

Code: Select all

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'ldap://172.17.0.1/';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=local';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';

$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'administrator@domain.local';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'passwort';

$Self->{'Customer::AuthModule::LDAP::AlwaysFilter'} = '';

$Self->{'Customer::AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};

$Self->{CustomerUser} = {
Name => 'LDAP Data Source',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '172.17.0.1',

BaseDN => 'DC=domain,DC=local',

SSCOPE => 'sub',

UserDN => 'administrator@domain.local',
UserPw => 'passwort',

AlwaysFilter => '',

Params => {
port => 389,
timeout => 120,
async => 0,
version => 3,
},
},

CustomerKey => 'sAMAccountName',

CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],

CustomerUserExcludePrimaryCustomerID => 0,

AdminSetPreferences => 0,

Map => [
[ 'UserTitle', 'Title', 'title', 1, 0, 'var', '', 0 ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var', '', 0 ],
[ 'UserLogin', 'Username', 'uid', 1, 1, 'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var', '', 0 ],
# [ 'UserCustomerIDs', 'CustomerIDs', 'second_customer_ids', 1, 0, 'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var', '', 0 ],
[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var', '', 0 ],
[ 'UserComment', 'Comment', 'description', 1, 0, 'var', '', 0 ],
],
};

$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'CN=Benutzer,CN=Builtin,DC=domain,DC=local';
$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'distinguishedName';

[jojo]

Code: Select all

$Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'DN';

Eine Version 4.1. gibt es übrigens nicht

[FlorianM]

Oh, korrekt, meine natürlich 4.0.1

[FlorianM]

DN funktioniert auch nicht. Habe es ausgeschrieben, weil es im ADSI-Editor ausgeschrieben ist.

[jojo]

probier es mal mit memberOf.

Handelt es sich ggf. um eine Untergruppe (verschachtelt)?