Vom LDAP zur lokalen Authentifikation

[menkman]

Hallo zusammen,

da dies mein erster Post hier ist stelle ich mich vielleicht kurz vor: mein Name ist Claus, ich bin Systemadmin im Rhein-Main Gebiet und zum Thema OTRS gekommen wie die Jungfrau zum Kind. Mein Arbeitgeber war wenigstens so nett mir die 4-tägige Adminschulung zu "spendieren".
Gelernt habe ich allerdings hier mehr, 4 Tage sind einfach zu kurz...

Zu meinem Problem: Wir setzen unser OTRS (3.3.8) auf einer CentOS Plattform ein, das System ist per LDAP an unser ActiveDirectory gekoppelt.
Ich möchte a) das OTRS-System von dem CentOS auf ein Ubuntu 14.04.2 LTS umziehen und, wenn das geklappt hat, b) auf die dann aktuelle OTRS Version 4.x updaten.
Da ich üben möchte bevor ich das Produktivsystem umziehe und update habe ich mir über das OTRS eigene Script ein Backup vom Livesystem gezogen.
Dann hab ich, wie man mir in o.g. Schulung empfohlen hat, ein OTRS 3.3.8 System auf Ubuntu installiert und zwar auf einer virtuellen Maschine vollkommen abgekoppelt vom Firmennetz. Das System ist lauffähig und eine Anmeldung als Agent ist möglich. Im nächsten Schritt habe ich die MySQL-Datenbank gelöscht und eine neue, leere Datenbank mit gleichem Namen (otrs) angelegt. Als nächstes habe ich das Backup mittels des Restorescripts eingespielt und das SetPermissionscript nochmal laufen lassen. Wenn ich nun die Startseite http://192.168.2.200/otrs/index.pl aufrufe bietet mir der Browser an die index.pl runterzuladen (die ist leer), öffnet aber nicht die Loginseite.
Ein Blick in das Log des Apachen lässt mich vermuten das ihm das LDAP fehlt, ich bin aber auch kein ausgewiesener Linuxexperte.

Meine Überlegung ist folgende: da ich mich permanent am Livesystem anmelde, auch als Agent im System angelegt bin, benötige ich das LDAP/AD doch nicht zwingend und müsste mich trotzdem an der Datenbank anmelden können - oder!?

Wie (und wo) treibe ich dem System jetzt aus das es sich gegen das AD authentifizieren will?
Ich mag euch jetzt auch gar nicht langweilen was ich schon alles probiert habe, aber es war einiges - vielleicht sogar zuviel, sodaß ich etwas den Überblick verloren habe. Wenn mich also jemand wieder in die richtige Richtung schubsen könnte...!?!?
Nur noch als Info: den (tollen) "LDAP für Dummies" Thread von Boris kenne ich und habe auch viel dadurch gelernt. Ich konnte leider nur nicht mein Problem lösen.

Viele Grüße
Claus

ps. wenn ich mich erst Montag wieder melde hat das nur damit zu tun daß unser Sohn morgen Kommunion hat.

[wurzel]

Hi,

Wenn Du http://otrs.github.io/doc/manual/admin/ ... ading.html befolgst, musst Du Punkt 8 befolgen:

Step 8: Refresh the configuration cache and delete caches

Wenn Du einen Blick in die Log Files (apache + syslog) wirfst, wirst Du sicher mehr Aufschluss bekommen. Wenn Du uns die Logs hier zeigst, wird's evtl. einfacher

Und zu den LDAP oder lokalen Datenbanken... da wäre Deine Config mal interessant, wie die aussieht.

Flo

[menkman]

Hallo Wurzel,

Wenn Du http://otrs.github.io/doc/manual/admin/ ... ading.html befolgst, musst Du Punkt 8 befolgen:
Step 8: Refresh the configuration cache and delete caches

soweit bin ich ja noch nicht, ich möchte ja erstmal unser Livesystem in einer Testumgebung, ohne LDAP/AD-Anbindung, abbilden.

Natürlich stelle ich gerne Log's und Configfiles zur Verfügung - ich bin mir nur nicht sicher welche.
Die Config.pm, die ZZZAgentAuth.pm, beide oder noch weitere?

Gruss
Claus

[wurzel]

Hi,

ZZZAgentAuth.pm wäre schön. (ohne Passwörter)

Also eigentlich alles, wo LDAP konfiguriert ist, ggf. auch die Config.pm


Ansonsten Apache Error Log und Syslog. Am Besten die Stellen, wo sich jemand anmeldet und
es nicht klappt

Flo

[menkman]

Hallo,

ZZZAgentAuth.pm wäre schön. (ohne Passwörter)

Also eigentlich alles, wo LDAP konfiguriert ist, ggf. auch die Config.pm

sehr gerne. Die Dateien mit der Extension "vr" sind die Versionen vor dem Restore, die mit "nr" demzufolge nach dem Restore

Ansonsten Apache Error Log und Syslog. Am Besten die Stellen, wo sich jemand anmeldet und
es nicht klappt

Ich habe die Error- und AccessLog's (auf den heutigen Tag gekürzt) vom Apachen ebenfalls dem Archiv hinzugefügt.

Es wäre super wenn dich/euch das auf eine Spur bringt und schon mal Danke für's ansehen!

Grüsse
Claus

[wurzel]

Hi,

es fehlen wohl perl module.

Message: Can't locate Net/LDAP.pm in @INC (you may need to install the Net::LDAP module) (@INC contains: /usr/sbin/../../Custom /usr/sbin/../../Kernel/cpan-lib /usr/sbin/../.. /usr/Custom /usr/Kernel/cpan-lib /usr /opt/otrs/Custom /opt/otrs/Kernel/cpan-lib /opt/otrs/ /etc/perl /usr/local/lib/perl/5.18.2 /usr/local/share/perl/5.18.2 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.18 /usr/share/perl/5.18 /usr/local/lib/site_perl . /etc/apache2) at /opt/otrs//Kernel/System/CustomerUser/LDAP.pm line 15.

was sagt Dir das Ausführen von /opt/otrs/bin/otrs.CheckModules.pl ?

mir scheint, als hättest Du weder die Migration, noch das "Neu-" Aufsetzen des OTRS
korrekt nach doc.otrs.org durchgeführt. Welches OTRS hast Du denn auf dem Ubuntu installiert?
aus dem Ubuntu repository? Oder von tar.gz. ?

Flo

[menkman]

Hallo Wurzel,

es fehlen wohl perl module.

ich habe ein Screenshot von dem Ergebnis des CheckModules.pl angehängt, die beiden die in rot dargestellt sind habe ich bei vorhergehenden Versuchen aber schon installiert - jetzt habe ich es mir nur geschenkt da es im Ergebnis keinen Unterschied machte. Alle optionalen hatte ich nie installiert.

Welches OTRS hast Du denn auf dem Ubuntu installiert?
aus dem Ubuntu repository? Oder von tar.gz. ?

Das tar.gz. Ob ich das korrekt gemacht habe weiss ich nicht. Es lief, ich konnte mich als root@localhost anmelden und Agenten anlegen die sich ebenfalls anmelden konnten. Dann hab ich die bei der Installation erzeugte Datenbank gelöscht und eine neue, leere, erzeugt - so wie man mir das erklärt hat...

Soll ich mal alle aufgelisteten Perl Module installieren?

Gruss
Claus

[wurzel]

Hi,

die Perl Module (rot markierte) solltest Du IMMER installieren. Steht ja nicht umsonst "required" da.

optionale sind optional. Das NET::LDAP brauchst Du wenn Du Dich gegen LDAP authentifzieren möchtest.


Flo

[menkman]

Hallo Flo,

die Perl Module (rot markierte) solltest Du IMMER installieren. Steht ja nicht umsonst "required" da.

das ist mir durchaus klar, ich habe sie mittlerweile auch (nach)installiert, aber das eigentliche Problem bleibt - ob mit oder ohne die Perlmodule.

Das NET::LDAP brauchst Du wenn Du Dich gegen LDAP authentifzieren möchtest.

Das will ich ja eben *nicht*! Idealerweise authentifiziere ich mich in der Testumgebung (um die es hier geht) gegen die OTRS-DB und im Livebetrieb per LDAP (das ist ja nur ein Netzwerkprotokoll) gegen das ActiveDirectory.

Also nochmal: wo und wie kann ich die Authentifizierungsstelle einstellen wenn ich keinen Zugriff auf den Adminbereich bzw. die SysConfig im selbigen habe?

Grüsse
Claus

[wurzel]

Hi,

achso

Dann nimm mal die ZZZAgentAuth.pm weg. Dort ist das Auth fürs LDAP ja angegeben.
die lokale Agenten Datenbank ist standardmäßig dann aktiv.

Flo

[docfun]

Hallo,

alternativ müsste es auch funktionieren die folgende Zeile in die ZZZAgentAuth.pm hinzuzufügen.

Code: Select all

 $Self->{AuthModule1} = 'Kernel::System::Auth::DB';

Allerdings würde die LDAP Authentifizierung dan immer noch funktionieren, oder irre ich mich?

Gruß Florian

[menkman]

Hallo Flo, Hallo Florian,

@Flo: das mit der ZZZAgentAuth wegnehmen könnte ein Versuch wert sein, werde ich testen (1)

@ Florian:

$Self->{AuthModule1} = 'Kernel::System::Auth::DB';

Das habe ich schon mal versucht, ich bin mir aber nicht sicher ob ich das richtig eingebaut habe. Ich werde das nochmal einbauen und hier posten wie ich es gemacht habe. (1)

(1) Seid mir nicht böse, heute mache ich das nicht mehr, hab schon einen langen Tag hinter mir. Ich mache das morgen Nachmittag/Abend und freue mich wenn Ihr nochmal draufschaut. Ich werde berichten

Danke, und schönen Abend,
Claus

[wurzel]

Hi

alternativ müsste es auch funktionieren die folgende Zeile in die ZZZAgentAuth.pm hinzuzufügen.

Code: Select all

 $Self->{AuthModule1} = 'Kernel::System::Auth::DB';

Allerdings würde die LDAP Authentifizierung dan immer noch funktionieren, oder irre ich mich?

korrekt.

Flo

[wurzel]

Hi,

und wichtig:
http://otrs.github.io/doc/manual/admin/ ... h-backends

lesen + verstehen.


des weiteren beim Anmelden immer die Logfiles lesen. Da steht das meiste drin!

Flo

[menkman]

Hallo,

ich (wir) sind einen großen Schritt weiter, das installieren des Net::LDAP Perlmodules (welches als optional ausgewiesen war) hat den Ausschlag gegeben. Wenn ich jetzt die index.pl aufrufe bekomme ich wieder die Anmeldung. Leider kann ich mich nicht aber mit meinen Credentials nicht anmelden weil das System, laut Apache ErrorLog, immer noch gegen das (hier nicht vorhandene) AD rennt. Zumindest lese ich diese Meldungen aus dem Log so:

[Fri Apr 17 19:32:24.620448 2015] [:error] [pid 1431] [Fri Apr 17 19:32:24 2015] -e: Can't connect to sigg.zz: IO::Socket::INET6: connect: Connection refused at /opt/otrs//Kernel/System/Auth/LDAP.pm line 163.\n

[Fri Apr 17 19:32:56.732705 2015] [:error] [pid 1432] [Fri Apr 17 19:32:56 2015] -e: Can't connect to sigg.zz: IO::Socket::INET6: connect: timeout at /opt/otrs//Kernel/System/Auth/LDAP.pm line 163.\n

[Fri Apr 17 19:33:44.641957 2015] [:error] [pid 1894] [Fri Apr 17 19:33:44 2015] -e: Can't connect to sigg.zz: IO::Socket::INET6: connect: timeout at /opt/otrs//Kernel/System/Auth/LDAP.pm line 163.\n

In der ZZZAgentAuth.pm gibt es am Ende folgende Zeilen:

# Die if backend can't work, e. g. can't connect to server.
$Self->{'AuthSyncModule::LDAP::Die'} = 1;

1;

$Self->{AuthModule1} = 'Kernel::System::Auth::DB';

die " = 1;" habe ich als so eine Art Sprungmarke verstanden wo das Script hinspringen soll wenn das LDAP nicht zur Verfügung steht. Ich habe dann die ZZZAgentAuth.pm mit der Zeile "$Self->{AuthModule1} = 'Kernel::System::Auth::DB';" ergänzt. Ist die Funktionalität so korrekt von mir verstanden worden und ist das hinzufügen der Codezeile an dieser Stelle richtig? Nach "...Auth::DB';" kommt dann auch nichts mehr.

Gruss
Claus

[wurzel]

Hi,

wenn Du die ZZZ Datei mit dem LDAP mal komplett entfernst, wird automatisch die lokale DB wieder aktiv.

Am Besten mal alles mit LDAP rausschmeissen. Das kann auch in der Config.pm drinstehen.


Zu AuthModule1 (oder 2-9 bzw. ohne Zahl) lese bitte die Doku. Da steht's genau drin.


Flo

[menkman]

Servus Flo,

wenn Du die ZZZ Datei mit dem LDAP mal komplett entfernst, wird automatisch die lokale DB wieder aktiv.

dann wäre das ja eigentlich auch schon die Antwort auf meine "(blöde) Frage zur Anlage eines Agenten" Frage von vorhin hier im Forum.

Aktuell ziehe ich ein akuelles Backup von unserem System, mit dem von mir angelegten Agenten.
Wenn ich jetzt nach dem Restore zuhause die ZZZAgentAuth einfach lösche sollte ein Anmelden mit dem User möglich sein - oder!?

Gruss
Claus

[menkman]

Hallo zusammen,

nachdem ich die Perlmodule (auch einige optionale) installiert, einen Agenten hinzugefügt und die ZZZAgentAuth.pm umbenannt habe kann ich das System auch lösgelöst von unserem Netzwerk als DEV-System nutzen.

Vielen Dank an alle, besonders an Flo!

Grüße
Claus

[wurzel]

Hi,

Cool. Danke für die Rückmeldung. gern geschehen

Flo