ich habe mit ein frisches OTRS5 aufgesetzt und mit der LDAP Authentifizeriung herumprobiert. Soweit funktionierte das auch, allerdings muss ich die Authentifizierung mehr hierachisch aufbauen. Wir haben eine Windows Stammdomäne und eine Windows Subdomäne. Alle Techniker (L1 und L2 Supporter) die Tickets bearbeiten sind in der Subdomäne, ich und weitere Kollegen (L3 Support) sind allerdings in der Stammdomäne. Zwischen den Domänen besteht eine Vertrauensstellung und ich habe alle L3 Supporter aus der Stammdomäne in einer Gruppe der OTRS-Agents aufgenommen und diese Gruppe aus der Stammdomäne ist Mitglied der OTRS-Agents Gruppe der Subdomäne ( ich habe auch schon die L3 Supporter direkt in der Gruppe der Subdomäne hinzugefügt, also nicht Gruppe in Gruppe sondern User in Gruppe, hlaf leider auch nichts).
Hier mal eine Zeichnung um die Verwirrung kompletzte zu machen
Leider kann ich mich als User aus der Stammdomäne NICHT am OTRS anmelden, ein Benutzer aus der Subdomäne kann es.
Meine LDAP Config sieht so aus:
Code: Select all
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'sub.domain.tld';
$Self->{'AuthModule::LDAP::BaseDN'} = 'DC=sub,DC=domain,DC=tld';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
# Check if the user is allowed to auth in a posixGroup
# (e. g. user needs to be in a group OTRS_Agents to use otrs)
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS-Agents,OU=OTRS-OU,DC=sub,DC=domain,DC=tld';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
# Bind credentials to log into AD
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=OTRS LDAP,OU=LDAP-Zugriff,DC=sub,DC=domain,DC=tld';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'Geh Heim';
# in case you want to add always one filter to each ldap query, use
# this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
#$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(objectclass=user)';
# in case you want to add a suffix to each login name, then
# you can use this option. e. g. user just want to use user but
# in your ldap directory exists user@domain.
#$Self->{'AuthModule::LDAP::UserSuffix'} = '';
# Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
$Self->{'AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
sscope => 'sub'
};
# Now sync data with OTRS DB
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
$Self->{'AuthSyncModule::LDAP::Host'} = 'sub.domain.tld';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'DC=sub,DC=domain,DC=tld';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=OTRS LDAP,OU=LDAP-Zugriff,DC=sub,DC=domain,DC=tld';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Geh Heim';
Schon mal Danke im voraus!
Gruß
Dirk