OTRS LDAP Fehler

krasserbunny · Post by **krasserbunny** » 23 Sep 2009, 10:13

Hallo erst mal....

Wir haben OTRS in der Version 2.4 mit MySql 5 und Apache2 installiert.
Das ganze ersteinmal auf einer Windows XP Maschine.

Ich befasse mich das erste mal mit der Installation von OTRS.
Mein bisheriges Wissen hab ich aus dem Handbuch.

Das Ziel soll sein, das wir intern Tickets vergeben und überwachen können. So wie ich gelesen habe, reicht es aus die "Agenten" zu benutzen und wir brauchen keine "Customer" Konfiguration, korrigiert mich bitte sollte ich falsch liegen.
Dazu möchten wir gerne die LDAP Anbindung realisieren. Doch an diesem Punkt hänge ich fest.

Hier meine Config.pm

# LDAP auth. backend. #
# ---------------------------------------------------- #
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'Server1';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domain, dc=de';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'cn=otrs admin,ou=EDV,dc=domain,dc=de';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'kennwort';
#$Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'cn=otrs_allow_A, ou=EDV,dc=domain,dc=de';
#$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'uniqueMember';
#SSCOPE => 'sub',

$Self->{'Customer::AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};

# UserSyncLDAPMap
# (map if agent should create/synced from LDAP to DB after login)
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
Firstname => 'givenName',
Lastname => 'sn',
Email => 'mailPrimaryAddress',
};
------------------------------------------------------
Dann die Logs, OTRS:
[Wed Sep 23 10:11:01 2009][Error][Kernel::System::Auth::LDAP::Auth][215] Search failed! 0000202B: RefErr: DSID-03100698, data 0, 1 access points
ref 1: 'domain.de'
Apache:
Message: Search failed! 0000202B: RefErr: DSID-03100698, data 0, 1 access points
ref 1: 'domain.de'
--------------------------------------------------------
Bin für jede Hilfe dankbar,
Gruss M.

jojo · Post by **jojo** » 23 Sep 2009, 10:16

Schau in der Defaults.pm nach wie die Anbindung in der 2.4. gemacht wird. Dein Sync kann nicht funktionieren, da die Angabe von Server und Credentials dort fehlt. Der Sync ist in der 2.4. kein Bestandteil von Auth mehr

krasserbunny · Post by **krasserbunny** » 23 Sep 2009, 10:23

Danke für die schnelle Antwort,

also mit "dort fehlt" meinst Du in der Defaults.pm ?

Grüsse

jojo · Post by **jojo** » 23 Sep 2009, 10:25

Nein, in Deiner Config.pm.

Einfach die entsprechenden Blöcke aus der Defaults.pm rüberkopieren und dann in der Config.pm bearbeiten.

Dein geposteter Code ist aus ner älteren Version

krasserbunny · Post by **krasserbunny** » 23 Sep 2009, 10:26

ok, so kann nur ein Anfänger fragen^^

Ich teste es und berichte

krasserbunny · Post by **krasserbunny** » 23 Sep 2009, 10:33

Sry noch ne Frage.... es reicht wenn ich den Block nehme?:
# --------------------------------------------------- #
# authentication sync settings #
# (enable agent data sync. after succsessful #
# authentication) #
# --------------------------------------------------- #

oder brauch ich zuerst diesen
# --------------------------------------------------- #
# authentication settings #
# (enable what you need, auth against otrs db, #
# against LDAP directory, agains HTTP basic auth #
# or against Radius server) #
# --------------------------------------------------- #

oder beide?

jojo · Post by **jojo** » 23 Sep 2009, 10:39

Beide, Syncen kannst Du ja nur nach erfolgreicher authentifizierung.

Wenn die Agenten auch noch als Kunde genutzt werden sollen, musst Du auch noch ein CustomerUser und ggf. einen CustomerAuth konfigurieren

krasserbunny · Post by **krasserbunny** » 23 Sep 2009, 11:15

Ok....noch kurze Frage zu "Kunden": Agenten pflegen quasi das Ticketing System, Kunden treten ein ticket los. Also wären alle meine Mitarbeiter Kunden, stimmts? Sry ist für mich noch ein kleines Verwirrspiel mit Agenten/Kunden.

Ich habe die Konfiguration nochmals erstellt. Hier das Ergebnis:
OTRS log:
[Wed Sep 23 11:01:10 2009][Notice][Kernel::System::Auth::LDAP::Auth] User: otrsa authentication failed, no LDAP entry found!BaseDN='dc=domain,dc=de', Filter='(UID=otrsa)', (REMOTE_ADDR: 127.0.0.1).

Hier meine Konfiguration:
# --------------------------------------------------- #
# authentication settings #
# (enable what you need, auth against otrs db, #
# against LDAP directory, agains HTTP basic auth #
# or against Radius server) #
# --------------------------------------------------- #
# This is the auth. module againt the otrs db
#$Self->{'AuthModule'} = 'Kernel::System::Auth::DB';
# password crypt type (md5|crypt|plain)
# $Self->{'AuthModule::DB::CryptType'} = 'md5';

# This is an example configuration for an LDAP auth. backend.
# (take care that Net::LDAP is installed!)
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'server1.domain.de';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=de';
$Self->{'AuthModule::LDAP::UID'} = 'UID';

# Check if the user is allowed to auth in a posixGroup
# (e. g. user needs to be in a group xyz to use otrs)
# $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=otrsallow,ou=posixGroups,dc=example,dc=com';
# $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
# for ldap posixGroups objectclass (just uid)
# $Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
# for non ldap posixGroups objectclass (with full user dn)
# $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

# The following is valid but would only be necessary if the
# anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=otrs admin, ou=EDV, dc=domain, dc=de';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'hot';

# in case you want to add always one filter to each ldap query, use
# this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
# $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

# in case you want to add a suffix to each login name, then
# you can use this option. e. g. user just want to use user but
# in your ldap directory exists user@domain.
# $Self->{'AuthModule::LDAP::UserSuffix'} = '@domain.com';

# In case you want to convert all given usernames to lower letters you
# should activate this option. It might be helpfull if databases are
# in use that do not distinguish selects for upper and lower case letters
# (Oracle, postgresql). User might be synched twice, if this option
# is not in use.
# $Self->{'AuthModule::LDAP::UserLowerCase'} = 0;

# In case you need to use OTRS in iso-charset, you can define this
# by using this option (converts utf-8 data from LDAP to iso).
# $Self->{'AuthModule::LDAP::Charset'} = 'iso-8859-1';

# Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
$Self->{'AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};

# Die if backend can't work, e. g. can't connect to server.
# $Self->{'AuthModule::LDAP::Die'} = 1;

# This is an example configuration for an apache ($ENV{REMOTE_USER})
# auth. backend. Use it if you want to have a singe login through
# apache http-basic-auth.
# $Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth';
# In case there is a leading domain in the REMOTE_USER, you can
# replace it by the next config option.
# $Self->{'AuthModule::HTTPBasicAuth::Replace'} = 'example_domain\\';
# In case you need to replace some part of the REMOTE_USER, you can
# use the following RegExp ($1 will be new login).
# $Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} = '^(.+?)@.+?$';
# Note:
# If you use this module, you should use as fallback the following
# config settings if user isn't login through apache ($ENV{REMOTE_USER}).
# $Self->{LoginURL} = 'http://host.example.com/not-authorised-for-otrs.html';
# $Self->{LogoutURL} = 'http://host.example.com/thanks-for-using-otrs.html';

# This is example configuration to auth. agents against a radius server.
# $Self->{'AuthModule'} = 'Kernel::System::Auth::Radius';
# $Self->{'AuthModule::Radius::Host'} = 'radiushost';
# $Self->{'AuthModule::Radius::Password'} = 'radiussecret';

# Die if backend can't work, e. g. can't connect to server.
# $Self->{'AuthModule::Radius::Die'} = 1;
# --------------------------------------------------- #
# authentication sync settings #
# (enable agent data sync. after succsessful #
# authentication) #
# --------------------------------------------------- #
# This is an example configuration for an LDAP auth sync. backend.
# (take care that Net::LDAP is installed!)
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = 'server1';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=domain,dc=de';
$Self->{'AuthSyncModule::LDAP::UID'} = 'UID';

# The following is valid but would only be necessary if the
# anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=otrs admin, ou=EDV, dc=domain, dc=de';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'hot';

# in case you want to add always one filter to each ldap query, use
# this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
# $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '';

# AuthSyncModule::LDAP::UserSyncMap
# (map if agent should create/synced from LDAP to DB after successful login)
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};

# In case you need to use OTRS in iso-charset, you can define this
# by using this option (converts utf-8 data from LDAP to iso).
# $Self->{'AuthSyncModule::LDAP::Charset'} = 'iso-8859-1';

# Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
$Self->{'AuthSyncModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};

# Die if backend can't work, e. g. can't connect to server.
# $Self->{'AuthSyncModule::LDAP::Die'} = 1;

# Attributes needed for group syncs
# (attribute name for group value key)
# $Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'memberUid';
# (attribute for type of group content UID/DN for full ldap name)
# $Self->{'AuthSyncModule::LDAP::UserAttr'} = 'UID';
# $Self->{'AuthSyncModule::LDAP::UserAttr'} = 'DN';

# AuthSyncModule::LDAP::UserSyncInitialGroups
# (sync following group with rw permission after initial create of first agent
# login)
# $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
# 'users',
# ];

# AuthSyncModule::LDAP::UserSyncGroupsDefinition
# (If "LDAP" was selected for AuthModule and you want to sync LDAP
# groups to otrs groups, define the following.)
# $Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
# # ldap group
# 'cn=agent,o=otrs' => {
# # otrs group
# 'admin' => {
# # permission
# rw => 1,
# ro => 1,
# },
# 'faq' => {
# rw => 0,
# ro => 1,
# },
# },
# 'cn=agent2,o=otrs' => {
# 'users' => {
# rw => 1,
# ro => 1,
# },
# }
# };

# AuthSyncModule::LDAP::UserSyncRolesDefinition
# (If "LDAP" was selected for AuthModule and you want to sync LDAP
# groups to otrs roles, define the following.)
# $Self->{'AuthSyncModule::LDAP::UserSyncRolesDefinition'} = {
# # ldap group
# 'cn=agent,o=otrs' => {
# # otrs role
# 'role1' => 1,
# 'role2' => 0,
# },
# 'cn=agent2,o=otrs' => {
# 'role3' => 1,
# }
# };

# AuthSyncModule::LDAP::UserSyncAttributeGroupsDefinition
# (If "LDAP" was selected for AuthModule and you want to sync LDAP
# attributes to otrs groups, define the following.)
# $Self->{'AuthSyncModule::LDAP::UserSyncAttributeGroupsDefinition'} = {
# # ldap attribute
# 'LDAPAttribute' => {
# # ldap attribute value
# 'LDAPAttributeValue1' => {
# # otrs group
# 'admin' => {
# # permission
# rw => 1,
# ro => 1,
# },
# 'faq' => {
# rw => 0,
# ro => 1,
# },
# },
# },
# 'LDAPAttribute2' => {
# 'LDAPAttributeValue' => {
# 'users' => {
# rw => 1,
# ro => 1,
# },
# },
# }
# };

# AuthSyncModule::LDAP::UserSyncAttributeRolesDefinition
# (If "LDAP" was selected for AuthModule and you want to sync LDAP
# attributes to otrs roles, define the following.)
# $Self->{'AuthSyncModule::LDAP::UserSyncAttributeRolesDefinition'} = {
# # ldap attribute
# 'LDAPAttribute' => {
# # ldap attribute value
# 'LDAPAttributeValue1' => {
# # otrs role
# 'role1' => 1,
# 'role2' => 1,
# },
# },
# 'LDAPAttribute2' => {
# 'LDAPAttributeValue1' => {
# 'role3' => 1,
# },
# },
# };

# UserTable
$Self->{DatabaseUserTable} = 'users';
$Self->{DatabaseUserTableUserID} = 'id';
$Self->{DatabaseUserTableUserPW} = 'pw';
$Self->{DatabaseUserTableUser} = 'login';

jojo · Post by **jojo** » 23 Sep 2009, 11:52

Bzgl. der Agenten/Kunden ist das so wie von Dir beschrieben...

Ohne einen Bind User wird das in den meisten Fällen nicht gehen

krasserbunny · Post by **krasserbunny** » 23 Sep 2009, 12:06

Ist der BindUser nicht hier angegeben "'AuthSyncModule::LDAP::SearchUserDN'"?
Tut mir echt leid^^, aber kann "Bind" nicht in Defaults.pm finden.

jojo · Post by **jojo** » 23 Sep 2009, 12:19

Sorry, mein Fehler hatte # davor reininterpretiert....

Domain.de ist aber nicht Deine, oder?

krasserbunny · Post by **krasserbunny** » 23 Sep 2009, 12:29

Danke für Deine guten Nerven^^

Domain.de ist ein Platzhalter für unseren Domänen-Namen, wir haben intern leider eine .de Domain. Leider war schon alles so konfiguriert, als ich hier angefangen habe. Die externe Domain heisst genau gleich, also im Prinzip auch http://www.domain.de. Diese ist aber nur über unseren Proxy erreichbar.
Gibt es evtl. einen Debug mode den ich aktivieren könnte um genauere Fehlerbeschreibung zu erhalten?

jojo · Post by **jojo** » 23 Sep 2009, 12:40

ggf. ist der Identifier des Users nicht die UID. Was für ein LDAP ist das?

krasserbunny · Post by **krasserbunny** » 23 Sep 2009, 13:35

Ich habe hier ein Windows 2000 Active Directory im reinen 2000er Modus.

[Wed Sep 23 13:43:00 2009][Notice][Kernel::System::Auth::LDAP::Auth] User: Administrator authentication failed, no LDAP entry found!BaseDN='dc=baechle-spedition,dc=de', Filter='(uid=Administrator)', (REMOTE_ADDR: 127.0.0.1).
[Wed Sep 23 13:43:00 2009][Error][Kernel::System::User::UserLookup][696] No UserID found for 'Administrator'!

Anbei der direkte Auszug aus der otrs.log, er sagt dann quasi dass er den Administrator in dem Pfad baechle-spedition.de nicht finden kann oder?
Komisch ist, wenn ich als Base etwas angeben wie OU=EDV, dc=baechle-spedition,dc=de dann bleibt die Fehlermeldung exact gleich (als ob kein OU=EDV Eintrag da wäre).

jojo · Post by **jojo** » 23 Sep 2009, 13:37

dann ist die UID natürlich nicht unter dem Namen UID sondern als samaccountname vorhanden

krasserbunny · Post by **krasserbunny** » 23 Sep 2009, 13:51

Ok....habe auch mal gross/klein beachtet, aber bekomme im otrs folgendes im Log

[Wed Sep 23 13:49:07 2009][Notice][Kernel::System::Auth::LDAP::Auth] User: Administrator authentication failed, no LDAP entry found!BaseDN='dc=baechle-spedition,dc=de', Filter='(samaccountname=Administrator)', (REMOTE_ADDR: 127.0.0.1).
[Wed Sep 23 13:49:07 2009][Error][Kernel::System::User::UserLookup][696] No UserID found for 'Administrator'!

Gibts evtl ein Problem beim browsen des AD? Global Catalog hat der angegebene Server auch (unter Host).

Das Login für otrs ist dann doch genau das gleich wie für die normal Windows Benutzeranmeldung?

Habe jetzt die CustomerUser Section hinzugefügt, bekomme jetzt folgede Meldung im log:

[Wed Sep 23 14:35:46 2009][Error][Kernel::System::Auth::LDAP::Auth][215] Search failed! 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
[Wed Sep 23 14:35:46 2009][Error][Kernel::System::User::UserLookup][696] No UserID found for 'Administrator'!

krasserbunny · Post by **krasserbunny** » 24 Sep 2009, 10:24

jojo danke Dir vielmals, ich werde noch einmal von vorne Anfangen....step by step