Ldap Anmeldung schlägt fehl

rolandhb · Post by **rolandhb** » 08 Mar 2010, 10:57

Hallo, wieder einmal weiss ich nicht weiter.
Ich habe OTRS 2.4.7 auf einem Debian (Squeeze "Testing") System installiert.
Das Debian System läuft als virtuelle Maschine auf einem Windows Server 2008.
OTRS wurde aus den Quellen installiert, die Pakete die OTRS braucht, wurden aber über aptitude installiert.
Als Datenbank verwende ich MySQL.
Über den Exchange Server versende und empfange ich Mails, dazu habe ich einen User im Active Directory angelegt.
Das Ticket System soll nur intern verwendet werden. So das Mitarbeiter ein Ticket aufgeben können und dieses auch im OTRS verfolgen können.
Daher ist es gewünscht, das die Authentifizierung über das AD (Active Directory) erfolgt.
Das NET::LDAP Paket ist installiert.

In der Config.pm ist folgendes eingetragen

# This is an example configuration for an LDAP auth. backend.
# (take care that Net::LDAP is installed!)
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'hbw3s001.westhoff.de';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=westhoff,dc=de';
$Self->{'AuthModule::LDAP::UID'} = 'uid';

# The following is valid but would only be necessary if the
# anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=Kalytta Roland,OU=admins,DC=Westoff,DC=de';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'password';
# password habe ich ersetzt

))

# in case you want to add always one filter to each ldap query, use
# this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
# $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

# in case you want to add a suffix to each login name, then
# you can use this option. e. g. user just want to use user but
# in your ldap directory exists user@domain.
$Self->{'AuthModule::LDAP::UserSuffix'} = '@westhoff.de';

Wenn ich mich mit meinem Loginnamen: rkalytta und password am webfrontend anmelde, erhalte ich die Fehlermeldung Anmeldung fehlgeschlagen.

in der /var/log/syslog erhalte ich folgende Fehlermeldung:

Mar 8 09:12:30 hblis002 OTRS-CGI-10[1155]: [Error][Kernel::System::Auth::LDAP::Auth][Line:187]: First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece#000

Ich kann die IP des Domänkontrollers auflösen und auch anpingen. Der Debian Server ist allerdings kein Mitglied im AD.

Was mache ich falsch?

Mit freundlichen Grüßen roland

garwen · Post by **garwen** » 08 Mar 2010, 15:06

rolandhb wrote:# This is an example configuration for an LDAP auth. backend.
# (take care that Net::LDAP is installed!)
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'hbw3s001.westhoff.de';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=westhoff,dc=de';
$Self->{'AuthModule::LDAP::UID'} = 'uid';

Da muss hin, wonach gesucht werden soll. In der Regel ist das sAMAccountName

rolandhb wrote: # The following is valid but would only be necessary if the
# anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=Kalytta Roland,OU=admins,DC=Westoff,DC=de';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'password';

Da müssen die Logindaten vom LDAP User rein, nicht Deine eigenen

rolandhb · Post by **rolandhb** » 08 Mar 2010, 18:11

Hallo erstmal, vielen Dank für die schnelle Antwort,
leider habe ich das Problem immernoch.

Ich habe diese Zeile eingetragen
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

Dann habe ich einen Benutzer angelegt der der Gruppe der Domänadmins angehört
"otrsadm"
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=otrsadm,OU=admins,DC=Westoff,DC=de';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'password';
password lautet anders

Das ist die Fehlermeldung

Mar 8 09:12:30 hblis002 OTRS-CGI-10[1155]: [Error][Kernel::System::Auth::LDAP::Auth][Line:187]: First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece#000
mein Loginname bei Westhoff lautet rkalytta
ich habe auch kombinationen rkalytta@westhoff.de bzw roland.kalytta@westhoff.de westhoff\rkalytta usw eingegeben alles ohne Erfolg.

Wer hat noch eine Idee?
Gruß roland

garwen wrote:
rolandhb wrote:# This is an example configuration for an LDAP auth. backend.
# (take care that Net::LDAP is installed!)
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'hbw3s001.westhoff.de';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=westhoff,dc=de';
$Self->{'AuthModule::LDAP::UID'} = 'uid';
Da muss hin, wonach gesucht werden soll. In der Regel ist das sAMAccountName

rolandhb wrote: # The following is valid but would only be necessary if the
# anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=Kalytta Roland,OU=admins,DC=Westoff,DC=de';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'password';
Da müssen die Logindaten vom LDAP User rein, nicht Deine eigenen

garwen · Post by **garwen** » 09 Mar 2010, 10:20

Ach ja, da war ja was

. Das ging bei mir auch nicht.

Versuch es mal mit folgender Zeile:

Code: Select all

$Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=otrsadm,cn=admins,dc=Westoff,dc=de';

Ich weiss, das ist eigentlich falsch, aber bei uns funktioniert es mit OTRS auch nur so.