LDAP Anbindung für Agenten

[fraxexplicit]

Guten Tag zusammen!

Ich habe folgendes Problem mit der LDAP Anbindung für Agenten:

In der Config.pm habe ich folgende Daten eingegeben

Code: Select all

    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = '192.268.200.XX';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=meine-domain,dc=local';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=adminldapotrs';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort';

So wie es in der Anleitung http://doc.otrs.org/1.3/de/html/ldap-integration.html beschrieben ist. Leider funktioniert das überhaupt nicht und ich bin mir 100% sicher das die config oben voller Fehler ist, nur leider steh ich im Moment echt vor der Wand. Google hab ich glaub ich mittlerweile alle Seiten durch, auch hier im Forum bin ich schon durch so einige Themen gegangen und nichts hilft mir wirklich weiter.
Das Problem ist einfach das ich mich im der Login-Maske nicht anmelden kann, weder der admin user noch ieiner aus dem AD. Es funktioniert einfach gesagt, überhaupt kein Login. OTRS-HD Version ist 2.4.7 und ich habe das OTRS-ITSM 2.0.3 ebenfalls installiert.
Die Ordner-Struktur des AD sieht wie folgt aus:
meine-domain.local
->Firma
->->Standorte
->->->Abteilungen
Darunter liegen halt dementsprechend die User...Wie kann man das oben gescheit in die Konfiguration einbringen, denn wir haben 4 Standorte, von wo aus sich JEDER Benutzer mit seinem AD Daten anmelden können soll.

Ich wäre euch super dankbar für eure Hilfe!!

[jojo]

Bitte nutz die richtige Doku für die 2.4 und nicht die für die 1.3

[fraxexplicit]

Ja die habe ich auch schon durchgeguckt. Im Prinzip geht es mir auch nur darum wie man die ganze Struktur vom AD einbinden kann ohne das man User verschieben muss. Ich kann nämlich leider absolut gar nix mit ou, cn und so weiter anfangen!

Nun habe ich folgendes aus der Doku übernommen

Code: Select all

 
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
     $Self->{'AuthModule::LDAP::Host'} = '192.168.200.XX';
     $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=meine-domain,dc=local';
     $Self->{'AuthModule::LDAP::UID'} = 'uid';


    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group xyz to use otrs)
    $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=otrsallow,ou=posixGroups,dc=meine-domain,dc=local';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
    # for ldap posixGroups objectclass (just uid)
    #    $Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
    # for non ldap posixGroups objectclass (with full user dn)
    #    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    # The following is valid but would only be necessary if the
    # anonymous user do NOT have permission to read from the LDAP tree
    $Self->{'AuthModule::LDAP::SearchUserDN'} = '';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = '';

Was genau sind denn "posixGroups"?

[Faenerk]

du kannst mit dem LDAP Administrator deine AD auslesen und siehst alle Wege usw.

dann verstehst du auch, was mit ou, cn und dc gemeint ist.

http://www.ldapadministrator.com/

aber vertraue nicht darauf das es dann geht bei mir stimmen die wege und die rechte hat der user auch, um die ad auszulesen, aber meine user können sich nicht authentifizieren...

[fraxexplicit]

@Faenerk

Vielen Dank, das hat mir sehr weitergeholfen! Jedoch habe ich weiterhin das selbe Problem wie du...auch meine User können sich nicht einloggen, schade eigentl. denn mit dem LDAP Browser funktioniert die Abfrage ja auch! Dann muss ich wohl alle Mitarbeiter per Hand einpflegen, da lässt sich wohl nichts machen.

[Faenerk]

ich hatte am montag eine config gefunden, welche bei mir funktioniert.

hier:

##ldaptest
##agent

#Enable LDAP authentication for Customers / Users
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'server.domain.lokal';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=lokal';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

#The following is valid but would only be necessary if the
#anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=admin,ou=Admins,dc=domain,dc=lokal';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'yxz';

# UserSyncLDAPMap
# (map if agent should create/synced from LDAP to DB after login)
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};

# UserSyncLDAPGroups
# (If "LDAP" was selected="selected" for AuthModule, you can specify
# initial user groups for first login.)
$Self->{UserSyncLDAPGroups} = [
'users',
];

# UserTable
$Self->{DatabaseUserTable} = 'users';
$Self->{DatabaseUserTableUserID} = 'id';
$Self->{DatabaseUserTableUserPW} = 'pw';
$Self->{DatabaseUserTableUser} = 'login';

##ende agent
##customer
#Enable LDAP authentication for Customers / Users
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'server.domain.lokal';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=lokal';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';

#The following is valid but would only be necessary if the
#anonymous user do NOT have permission to read from the LDAP tree
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'cn=admin,ou=Admins,dc=domain,dc=lokal';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'zyx';

#CustomerUser
#(customer user database backend and settings)
$Self->{CustomerUser} = {
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => 'server.domain.lokal',
BaseDN => 'DC=domain,DC=lokal',
SSCOPE => 'sub',
UserDN =>'cn=admin,ou=Admins,dc=domain,dc=lokal',
UserPw => 'xyz',
},
# customer unique id
CustomerKey => 'sAMAccountName',
# customer #
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
# var, frontend, storage, shown, required, storage-type
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
],
};
##ende customer

##ende

in dem threat stand zwar, das mit der config egtl der agent sich anmelden können sollte, aber als ich die mir angepasst hatte, konnten sich meine customer anmelden
evtl hat die person sich da auch nur vertan und wollte customer sagen...

versuch die mal, evtl geht die bei dir ja auch...