Probleme bei LDAP-Agent Integration in OTRS

[otrsKat]

Hallo liebe ORTS-Community,

ich habe mich die letzten Tage durch verschiedene Foren-Einträge gewühlt und auch viele Beispiele angeschaut. Leider bin ich bisher noch zu keiner Lösung meines Problems gekommen.
Ich habe eine Linux-VM LEAP42, auf dem das OTRS5-System installiert ist. Angebunden werden soll dies an eine AD (2003 Ebene).

Der von mir angepasste Teil in der Config.pm sieht wie folgt aus:

Code: Select all

   $Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host1'} = '192.168.41.10';
    $Self->{'AuthModule::LDAP::BaseDN1'} = 'DC=domain,DC=local';
    $Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
    $Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=otrl-allow,OU=Generisch,OU=MC,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=domain,DC=local';
    $Self->{'AuthModule::LDAP::AccessAttr1'} = 'memberUid';
    $Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
    $Self->{'AuthModule::LDAP::SearchUserDn1'} = 'CN=otrs-admin,OU=Generisch,OU=MC,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=domain,DC=local';
    $Self->{'AuthModule::LDAP::SearchUserPw1'} = 'Password';

Aus dem apache log habe ich die folgende Fehlermeldung:

Code: Select all

[Sun May 15 19:09:13 2016] Config.pm: Subroutine Load redefined at /opt/otrs/Kernel/Config.pm line 24.
ERROR: OTRS-CGI-90 Perl: 5.18.2 OS: linux Time: Sun May 15 19:09:18 2016

 Message: Search failed! 000004DC: LdapErr: DSID-0C090748, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v2580

 RemoteAddress: 192.168.41.155
 RequestURI: /otrs/index.pl

 Traceback (26720):
   Module: Kernel::System::Auth::LDAP::Auth Line: 220
   Module: Kernel::System::Auth::Auth Line: 158
   Module: Kernel::System::Web::InterfaceAgent::Run Line: 228
   Module: ModPerl::ROOT::ModPerl::Registry::opt_otrs_bin_cgi_2dbin_index_2epl::handler Line: 40
   Module: (eval) (v1.99) Line: 207
   Module: ModPerl::RegistryCooker::run (v1.99) Line: 207
   Module: ModPerl::RegistryCooker::default_handler (v1.99) Line: 173
   Module: ModPerl::Registry::handler (v1.99) Line: 32

ERROR: OTRS-CGI-90 Perl: 5.18.2 OS: linux Time: Sun May 15 19:09:18 2016

 Message: No UserID found for 'otrs-admin@domain.de'!

 RemoteAddress: 192.168.41.155
 RequestURI: /otrs/index.pl

 Traceback (26720):
   Module: Kernel::System::User::UserLookup Line: 922
   Module: Kernel::System::Auth::Auth Line: 241
   Module: Kernel::System::Web::InterfaceAgent::Run Line: 228
   Module: ModPerl::ROOT::ModPerl::Registry::opt_otrs_bin_cgi_2dbin_index_2epl::handler Line: 40
   Module: (eval) (v1.99) Line: 207
   Module: ModPerl::RegistryCooker::run (v1.99) Line: 207
   Module: ModPerl::RegistryCooker::default_handler (v1.99) Line: 173
   Module: ModPerl::Registry::handler (v1.99) Line: 32

Der otrs-admin ist in der AD in den Gruppen "Windowsauthentifizierung" und "Domänen-Benutzer". Kann mir noch jemand den entscheindenden Hinweis geben ?

[root]

Erst einmal solltest Du den richtigen Parameter nutzen:

Code: Select all

SearchUserDN1

und nicht

Code: Select all

SearchUserDn1

.

P.S.: Ich verschiebe den Beitrag mal in den deutschen Bereich.

[otrsKat]

Vielen Dank erst mal für die schnelle Antwort und für das Verschieben des Posts!

Die Fehlermeldung Search Failed ist jetzt weg, die Fehlermeldung, dass die UserID nicht gefunden werden konnte bekomme ich weiter.
Kann mir vielleicht noch mal jemanden helfen?

Das einzige was ich geändert habe, ist das N groß zu schreiben.

Code: Select all

   $Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host1'} = '192.168.41.10';
    $Self->{'AuthModule::LDAP::BaseDN1'} = 'DC=domain,DC=local';
    $Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
    $Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=otrl-allow,OU=Generisch,OU=MC,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=domain,DC=local';
    $Self->{'AuthModule::LDAP::AccessAttr1'} = 'memberUid';
    $Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
    $Self->{'AuthModule::LDAP::SearchUserDN1'} = 'CN=otrs-admin,OU=Generisch,OU=MC,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=domain,DC=local';
    $Self->{'AuthModule::LDAP::SearchUserPw1'} = 'Password';

[otrsKat]

So, ich schon wieder, dank einer morgentlichen Eingebung habe ich es doch noch geschafft, die AD anzubinden.

Für alle anderen, die noch daran verzweifeln:

Der Search-User darf nicht in der Gruppe sein, die in der GroupDN definiert wird.
Rein aus Interesse, kann mir jemand erklären, wieso das so ist ?

[wurzel]

Hi,

der Search User darf eigentlich schon woanders liegen.

Dein Ergebnis iriitiert mich jetz
Weil Du gibst ja fuer den search User den vollen DN an.

Flo

[otrsKat]

Hm komisch,
noch mal zum Verständnis:

der SearchUser: otrs-admin
die Gruppe, die Zugriff haben darf: otrs-allow


Der otrs-admin war in der otrs-allow Gruppe. Jetzt habe ich den orts-admin aus dieser Gruppe entfernt und es funktioniert.

[wurzel]

Hi,

jetz bin ich noch verwirrter

Code: Select all

   $Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host1'} = '192.168.41.10';
    $Self->{'AuthModule::LDAP::BaseDN1'} = 'DC=domain,DC=local';
    $Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
    $Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=otrl-allow,OU=Generisch,OU=MC,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=domain,DC=local';
    $Self->{'AuthModule::LDAP::AccessAttr1'} = 'memberUid';
    $Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';

Alle die, die in
der OU DC=domain,DC=local (oder darunter) und
in der Gruppe CN=otrl-allow,OU=Generisch,OU=MC,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=domain,DC=local'

Mitglied sind, dürfen sich anmelden.


Und hier der User

Code: Select all

    $Self->{'AuthModule::LDAP::SearchUserDN1'} = 'CN=otrs-admin,OU=Generisch,OU=MC,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=domain,DC=local';
    $Self->{'AuthModule::LDAP::SearchUserPw1'} = 'Password';

der wird als Search User für das LDAP verwendet.

Beides ist IMHO völlig unabhängig voneinander. Egal ob der User (otrs admin) in der Gruppe (otrs-allow) ist oder nicht.

Flo