OTRS 5.0.1 :Keine Rechtezuweisung bei Login

[alexrebs]

Gute morgen zusammen.

Ich habe nach dem Update auf 5.0.1 ein recht kurioses Problem, bei dem ich nicht weiter kommen.

Wir nutzen das LDAP Sync Backend und haben das Problem, dass beim Login ins AgentInterface keine Tickets zu sehen sind (Weder im Dashboard noch in Status- oder Queueübersicht), bzw. ich als Admin auch das Adminregister in der Navbar nicht sehe.

Habe mich also nochmal ausgeloggt, wieder eingeloggt und voila, hat funktioniert.

Habe dann etwas recherchiert, da ich ein Problem mit der Rechtevergabe erahnt habe.
Dabei hab ich festgestellt, dass das Sync Backend grundsätzlich funktioniert und in den Logdateien entsprechende Einträge im Format "User: '1234' sync ldap group user!" für das jeweilige Login vorhanden sind.

Im Adminmenü bei der Rechtevergabe habe ich dann allerdings gesehen, dass Benutzer 1234 gar keine Rechte als user hat.

Also mit dem User 1234 nochmal abgemeldet, wieder angemeldet und auch da waren dann die Berechtigungen wieder richtig gesetzt.

Habe dann noch etwas weiter gesucht und mir die Session-Einträge in der Datenbank angesehen.
Dort ist mir dann aufgefallen, dass bei Sessions, bei denen alles funktioniert, Einträge für Berechtigungen vorhanden sind und bei Sessions, bei denen es nicht funktioniert, entsprechende Einträge fehlen bzw. gar keine Zeile hierfür vorhanden ist.

Fehlermeldungen gibt's es weder im OTRS noch im Apacheprotokoll.

Bei Version 4.*.* hatten wir ein derartiges Problem nie.

Ich wäre um jeden Tipp dankbar, bin etwas ratlos

Viele Grüße

Alex

[KlausNehrer]

Tritt das immer wieder und bei allen Benutzern auf?
Werden die Sessions nachdem Logout gelöscht?

[alexrebs]

Ja, das tritt immer wieder und bei allen Benutzern auf.

Meinst du mit Session das Session Cookie oder die entsprechenden Daten in der Datenbank?

[KlausNehrer]

Die in der DB.

[alexrebs]

Ja, nach dem Ausloggen sind alle DB-Einträge der Session nicht mehr da, also gelöscht.

Ich habe mir die Sessions jetzt noch mal etwas näher angeschaut.

Bei einer Session, "die funktioniert", habe ich 120 Einträge,
bei einer Session, die "nicht funktioniert", habe ich lediglich 114 Einträge.

Nach Vergleich dieser beiden Sessions fehlen mir bei der "nicht funktionierenden" Variante Zeilen mit folgenden "data_key":

UserIsGroupRo[admin]
UserIsGroupRo[stats]
UserIsGroupRo[users]
UserIsGroup[admin]
UserIsGroup[stats]
UserIsGroup[users]

admin,stats und user sind die 3 Gruppen, die ich in OTRS habe und die mit dem LDAP gesynct werden

Das erklärt, warum ich keine Zugriff auf die Tickets habe, bzw. die nicht sehe.

Die Frage ist nur, warum wird die Berechtigung nicht bei jedem Login in die Session geschrieben.

[alexrebs]

Heute habe ich die ITSM Pakete installiert.

Jetzt kommts noch lustiger:

Das ist mein Code, damit die LDAP Gruppen zu OTRS gesyncht werden.

Bei den Logins ist es nun so, dass ich entweder die Rechte "users", "stats" und "admin" erhalte oder "itsm-service", "itsm-configitem", "itsm-change", "itsm-change-builder" und "itsm-change-manager".

Diese Berechtigungen wechseln sich bei jedem 2ten Login jeweils ab.

Code: Select all

$Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
$Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
	# ldap group
	'cn=OTRS Benutzer,ou=Security Groups,ou=MyBusiness,dc=bavariacleaning,dc=local' => {
		#otrs group
		'users' => {
			# permission
			rw => 1,
			ro => 1,
		},
		'stats' => {
			# permission
			rw => 0,
			ro => 1,
		},
	},	
	'cn=OTRS Statistik,ou=Security Groups,ou=MyBusiness,dc=bavariacleaning,dc=local' => {
		# otrs group
		'stats' => {
			# permission
			rw => 1,
			ro => 1,
		},
	},
	'cn=OTRS Admin,ou=Security Groups,ou=MyBusiness,dc=bavariacleaning,dc=local' => {
		# otrs group
		'users' => {
			# permission
			rw => 1,
			ro => 1,
		},
		'stats' => {
			# permission
			rw => 0,
			ro => 1,
		},
		'admin' => {
			# permission
			rw => 1,
			ro => 1,
		},
		'itsm-service' =>{
			# permission
			rw => 1,
			ro => 1,
		},
		'itsm-configitem'  =>{
			# permission
			rw => 1,
			ro => 1,
		},
		'itsm-change'  =>{
			# permission
			rw => 1,
			ro => 1,
		},
		'itsm-change-builder'  =>{
			# permission
			rw => 1,
			ro => 1,
		},
		'itsm-change-manager'  =>{
			# permission
			rw => 1,
			ro => 1,
		},
	},
};

Ich wirklich um jeden Tipp dankebar :/

Grüße Alex

[reneeb]

Hast Du wirklich zweimal

Code: Select all

$Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
$Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {

drinstehen? Dann nimm es einmal raus...

[alexrebs]

Hast Du wirklich zweimal

Code: Select all

$Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
$Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {

drinstehen? Dann nimm es einmal raus...

Nein, tut mir Leid, steht natürlich nur einmal drinnen. Da ist mir beim Kopieren des Codes hier her ein Fehler unterlaufen. Danke für den Hinweis.

[KlausNehrer]

Troubleshooting? Testsystem und dort nur die Auth konfigurieren. Erst als Kopie, wenn das nicht geht, dann von Hand und neu.
Nutzt ihr einen SBS? Mehr als einen DC im OTRS?

[murdo]

Mit demselben Problem , erscheint nun in 3 Gäste- Beiträge

von ' fwtag ' in Form Entwickler viewtopic.php?f=64&t=30620
von mir in die englische forum viewtopic.php?f=62&t=30645

vielleicht bug?

[thor88]

Hi,

also bei mir tritt genau das gleiche Problem auf. Wir haben auch einen Agent-Login über LDAP.

[KlausNehrer]

Gibt es schon gemeldeten Bug?

[alexrebs]

Bei uns hat das geholfen:

http://bugs.otrs.org/show_bug.cgi?id=11614#c1