Auth gegen LDAP und DB trennen

steste123 · Post by **steste123** » 26 Oct 2015, 11:33

Hallo zusammen,
aktuell habe ich zwei Verifizierungsquellen - entweder per LDAP oder mySQL-DB. Kann ich dies ggf. noch verfeinern, also sodass eine bestimmte Agentengruppe oder Nutzer mit einem bestimmten Schema sich nur mit der LDAP-Abfrage authentifizieren und die andere Gruppe nur an der DB.

steste123 · Post by **steste123** » 27 Oct 2015, 14:49

Jemand eine Idee?

KlausNehrer · Post by **KlausNehrer** » 27 Oct 2015, 17:01

LDAP und MySQL beide jeweils für Agenten und Kunden? Und jeder steht in beiden?
Da wäre vielleicht eine Einschränkung der BASE DN für LDAP denkbar. Oder ein "wrapper" dazwischen.

steste123 · Post by **steste123** » 27 Oct 2015, 19:08

Dies gilt aktuell ausschließlich für Agenten. Wir haben zwei Departments bei uns die als Agenten arbeiten, die einen kann ich gegen unser AD prüfen lassen, die anderen nur per OTRS-DB.

steste123 · Post by **steste123** » 08 Dec 2015, 09:28

Hat jemand eine Idee?

nd0 · Post by **nd0** » 08 Dec 2015, 10:14

Du fragst hier nach einer Lösung zu der irgendwie kein Problem existiert:

steste123 wrote:Kann ich dies ggf. noch verfeinern, also sodass eine bestimmte Agentengruppe oder Nutzer mit einem bestimmten Schema sich nur mit der LDAP-Abfrage authentifizieren und die andere Gruppe nur an der DB.

So schilderst du das Problem ...

steste123 wrote:[...] die einen kann ich gegen unser AD prüfen lassen, die anderen nur per OTRS-DB.

... enstspricht doch genau der hier geschilderten Situation - oder?

steste123 · Post by **steste123** » 08 Dec 2015, 10:30

Korrekt - es gibt kein Problem/Fehler. Aber ich habe die Situation, dass ich zwei Auth.-Server habe (mySQL sowie das lokale AD).

Gerne erkläre ich es nochmal genauer.

Ist-Zustand:
60 Agenten in 2 Gruppen.
Gruppe A und Gruppe B

Als Authentifizierung sind verfügbar die OTRS-MySQL-Datenbank sowie das lokale AD.

Gruppe A authentifiziert sich ausschließlich über das AD, es besteht jedoch die Möglichkeit sich mit einem eigenen OTRS-Kennwort (mysql) einzuloggen.
Gruppe B kann sich nur mit dem OTRS-Kennwort authentifizieren, da es hierzu keine Einträge im AD gibt.

Was ich nun erreichen möchte:

Gruppe A darf sich NUR gegen das AD authentifizieren und nicht gegen die mySQL.
Gruppe B hingegen soll nur gegen die mySQL-DB - damit es weniger Einträge im Error-Log gibt.

KlausNehrer · Post by **KlausNehrer** » 08 Dec 2015, 12:24

Also geht es nur um Gruppe A. Da stellt sich die Frage, wenn die Anmeldung für Gruppe A nur über das AD erfolgen soll, warum deren Mitglieder dann eine Anmeldung in der OTRS DB besitzen müssen?

nd0 · Post by **nd0** » 08 Dec 2015, 12:29

steste123 wrote:Gruppe A authentifiziert sich ausschließlich über das AD, es besteht jedoch die Möglichkeit sich mit einem eigenen OTRS-Kennwort (mysql) einzuloggen.

Nochmal EXPLIZIT: Die Agenten in Gruppe A können sich mit zwei UNTERSCHIEDLICHEN Passwörtern anmelden?

steste123 · Post by **steste123** » 08 Dec 2015, 12:46

Ja korrekt. Gruppe A hat Agenten welche ein AD Konto und einen Eintrag in der OTRS-mySQL haben. Sie dürfen sich aber nur mit dem AD-Konto anmelden. Dennoch ist es technisch ja aktuell gegeben, dass die sich auch theoretisch mit dem mysql-Kennwort einloggen können.

nd0 · Post by **nd0** » 08 Dec 2015, 12:52

Hast du das mal überprüft? Bist du sicher, dass man sich als Agent der Gruppe A mit zwei UNTERSCHIEDLICHEN Passwörtern anmelden kann?

steste123 · Post by **steste123** » 08 Dec 2015, 12:57

Ja ist möglich, da ich in der Config.pm beide Auth.-Möglichkeiten drin stehen habe. Gruppe B muss sich ja gegen die DB authentifizieren.

KlausNehrer · Post by **KlausNehrer** » 08 Dec 2015, 13:01

Was spricht dagegen, die Agenten der Gruppe A in der OTTS DB zu deaktivieren?

steste123 · Post by **steste123** » 08 Dec 2015, 13:03

Meinst du tatsächlich die Agenten auf "ungültig" zu setzen? Dann können die sich doch gar nicht mehr anmelden? Oder habe ich eine Funktion übersehen?

KlausNehrer · Post by **KlausNehrer** » 08 Dec 2015, 13:04

steste123 wrote:Ja ist möglich, da ich in der Config.pm beide Auth.-Möglichkeiten drin stehen habe. Gruppe B muss sich ja gegen die DB authentifizieren.

Die Frage war, ob der Agent aus Gruppe A mit zwei unterschiedlichen Passwörtern anmelden kann! Nicht, ob das in der config steht! Es gilt eigentlich das "first matched".
Welche Auth steh an erster Stelle?

KlausNehrer · Post by **KlausNehrer** » 08 Dec 2015, 13:06

steste123 wrote:Meinst du tatsächlich die Agenten auf "ungültig" zu setzen? Dann können die sich doch gar nicht mehr anmelden? Oder habe ich eine Funktion übersehen?

?
Wenn sie doch im AD existieren? Steht die AD Auth an erster Stelle? Wenn ja, spielen die in der DB keine Rolle.
Haben die AD Agent Tickets als DB Agent bearbeitet? Wenn nein, könntest Du sie auch löschen.

Nach euren Prozessen mag ich net fragen ...

steste123 · Post by **steste123** » 08 Dec 2015, 13:09

Config.pm
1. LDAP
2. mysql

Ich kann mich mit selbst mit dem Kennwort aus dem AD und dem Kennwort aus der mysql erfolgreich anmelden.

Ich glaube ich habe Verständnisproblem was die Differenzierung zwischen einem Agenten aus dem DB und/oder LDAP angeht.
Wenn sich ein Agent per LDAP anmelden soll, muss doch ein Agent in der DB existieren oder nicht?

Znuny Open Source Ticketsystem

Auth gegen LDAP und DB trennen

Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen

Re: Auth gegen LDAP und DB trennen