Kunden aus Actvie Directory

[Faenerk]

hallo,

ich habe schon mehrere Beiträge und Threats dazu gelesen, werde aber nicht wirklich schlau daraus.

ich habe OTRS 2.4.7 und will alle Domain-User als Kunden im OTRS haben.

ich habe schon die Beispiel konfiguration in der Dokumentation gesehen, weiß aber nicht, was ich dadrin alles noch auf meine Domain anpassen muss und vorallem wo genau die in der conf.pn eingefügt werden muss...

evtl könnt ihr mir dabei etwas helfen...

hier mal die Beispiel Konfiguration aus der OTRS Doku:

Code: Select all

# CustomerUser
    # (customer user ldap backend and settings)
    $Self->{CustomerUser} = {
        Name => 'LDAP Datenquelle',
        Module => 'Kernel::System::CustomerUser::LDAP',
        Params => {
            # ldap host
            Host => 'bay.csuhayward.edu',
            # ldap base dn
            BaseDN => 'ou=seas,o=csuh',
            # search scope (one|sub)
            SSCOPE => 'sub',
#            # The following is valid but would only be necessary if the
#            # anonymous user does NOT have permission to read from the LDAP tree
            UserDN => '',
            UserPw => '',
            # in case you want to add always one filter to each ldap query, use
            # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
            AlwaysFilter => '',
            # if your frontend is e. g. iso-8859-1 and the charset of your
            # ldap server is utf-8, use this options (if not, ignore it)
#            SourceCharset => 'utf-8',
#            DestCharset => 'iso-8859-1',
            # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
            Params => {
                port => 389,
                timeout => 120,
                async => 0,
                version => 3,
            },
        },
        # customer uniq id
        CustomerKey => 'uid',
        # customer #
        CustomerID => 'mail',
        CustomerUserListFields => ['cn', 'mail'],
        CustomerUserSearchFields => ['uid', 'cn', 'mail'],
        CustomerUserSearchPrefix => '',
        CustomerUserSearchSuffix => '*',
        CustomerUserSearchListLimit => 250,
        CustomerUserPostMasterSearchFields => ['mail'],
        CustomerUserNameFields => ['givenname', 'sn'],
        # show not own tickets in customer panel, CompanyTickets
        CustomerUserExcludePrimaryCustomerID => 0,
        # add a ldap filter for valid users (expert setting)
#       CustomerUserValidFilter => '(!(description=gesperrt))',
        # admin can't change customer preferences
        AdminSetPreferences => 0,
#        # cache time to life in sec. - cache any database queris
#        CacheTTL => 0,
        Map => [
            # note: Login, Email and CustomerID needed!
            # var, frontend, storage, shown (1=always,2=lite), required, storage-type, http-link, readonly
            [ 'UserSalutation', 'Title',      'title',           1, 0, 'var', '', 0 ],
            [ 'UserFirstname',  'Firstname',  'givenname',       1, 1, 'var', '', 0 ],
            [ 'UserLastname',   'Lastname',   'sn',              1, 1, 'var', '', 0 ],
            [ 'UserLogin',      'Username',   'uid',             1, 1, 'var', '', 0 ],
            [ 'UserEmail',      'Email',      'mail',            1, 1, 'var', '', 0 ],
            [ 'UserCustomerID', 'CustomerID', 'mail',            0, 1, 'var', '', 0 ],
#            [ 'UserCustomerIDs', 'CustomerIDs', 'second_customer_ids', 1, 0, 'var', '', 0 ],
            [ 'UserPhone',      'Phone',      'telephonenumber', 1, 0, 'var', '', 0 ],
            [ 'UserAddress',    'Address',    'postaladdress',   1, 0, 'var', '', 0 ],
            [ 'UserComment',    'Comment',    'description',     1, 0, 'var', '', 0 ],
        ],
    };

welche stellen muss ich anpassen?
und wo muss das in der config.pn rein kopiert werden?

mfg

[Dizzy]

In der Config.pm gibt es eine Überschrift "Start your own configuration here", darunter kannst du das Beispiel einfügen.
Falls dieser Eintrag nicht vorhanden ist kannst du ihn aber glaube ich auch irgendwo anders reinkopieren (Mitte der Datei), soweit ich weiss stört das nicht weiter

Auf jeden Fall angepasst werden muss:

Host => 'bay.csuhayward.edu',
BaseDN => 'ou=seas,o=csuh',

Je nachdem wie eure ADS aufgebaut ist wird auch
CustomerKey => 'uid',
interessant sein!

Hilfreich ist z.B. noch der LDAP Browser von Softerra um dir bestimmte Attribute einfacher anzeigen zu lassen:
http://www.ldapbrowser.com/download.htm

Ansonsten würd ich (am besten in einem Testsystem) einfach mal mit der Config.pm rumspielen und (nach dem Neustarten der Dienste) gucken was passiert

[Faenerk]

ich arbeite eh zum 1. mal mit otrs und habe mir eben eine kopie der config.pn gemacht

ich werde es ausprobieren, nur noch die frage, was genau daran geändert werden muss, stehe da gerade etwas auf dem schlach

bei host muss dann unser ad?!
und bei BaseDN?

edit: googlen hilft habe es schon gefunden...

[jojo]

Bitte nutz die Forensuche und die Beispiele die Du dort findest.

Ein wenig Grundahnung von LDAP solltest Du schon haben, damit Du eine solche Konfiguration vornehmen kannst.

[Faenerk]

aber nochmal wegen der postition in der config.pn

wie mache ich das da rein?
ich habe jetzt testweise den code (wie oben nur angepasst die beiden sachen) zwischen

...
}

sub ...

kopiert, dann bekomme ich im admin bereich aber einen Fehler angezeigt und es klappt so auch nicht...

[jojo]

Pack es direkt unter: "Start your own configuration here"

[Faenerk]

steht bei mir nicht drin.
habe nach Start in der config.pn gesucht, aebr es gibt dort dieses wörtchen nciht

[jojo]

Dann pack es irgendwo zwischen

Code: Select all

sub Load {
    my $Self = shift;

und

Code: Select all

}

[Faenerk]

jetzt kommt keine Fehlermeldung mehr, aber es funktioniert noch nicht.
ich habe jetzt bei Kunden nur den von mir angelegten Test User

[jojo]

was sagt das OTRS Logfile?

Eine vernünftige Fehlerdiagnose musst Du schon machen....!

[Faenerk]

Code: Select all

[Thu Jun 17 13:01:39 2010][Notice][Kernel::System::AuthSession::DB::RemoveSessionID] Removed SessionID 102404e5e4eb6ddb23894e9a2aa83710e0.
[Thu Jun 17 13:01:48 2010][Notice][Kernel::System::Auth::DB::Auth] User: admin authentication ok (REMOTE_ADDR: xx.xx.xx.xx).
[Thu Jun 17 16:20:02 2010][Notice][Kernel::System::PID::PIDCreate] Can't create PID GenericAgent, because it's already running (domain.lokal/3480)!
[Thu Jun 17 20:55:00 2010][Notice][Kernel::System::AuthSession::DB::RemoveSessionID] Removed SessionID 10618f487786908266c16169da6c4a6c8a.
[Fri Jun 18 00:20:02 2010][Notice][Kernel::System::PID::PIDCreate] Can't create PID GenericAgent, because it's already running (domain.lokal/2400)!

das ist der Log, nachdem ich gestern die Einstellungen vorgenommen habe.

edit:
ich habe mir gerade nochmal die doku genau durch gelesen.
da steht ja, dass man zwischen LDAP und DB wählen kann.
muss man dafür noch irgendwo einstellen, dass LDAP aktiviert sein soll, oder das LDAP benutzt werden soll?
ich habe jetzt nämlich nur den Code angepasst und in die config.pn gespeichert.

wenn ich in admininterface bin und auf Kunden gehe, habe ich als Quelle nur Datenbank.

edit2:
ich glaube, dass ich meinen Fehler gefunden habe.
ich habe die config.pm unter Kernel/System bearbeitet.
als ich eben die config.pm suchte, bin ich auf die richtige unter Kernel gestoßen

ich habe das gerade in die kopiert, Dienste neugestartet und jetzt geht das Interface nicht mehr...

[Faenerk]

will nicht nochmal editieren

also:

es geht wieder und ich bekomme auch angezeigt, dass er jetzt ein LDAP Verzeichnis da hat.
Aber dort sind keine Kunden enthalten.

[Wolfgangf]

Hier sind meine settings: die funktionieren perfekt:
...
#--> activate LDAP
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = '<der_ad_server>:3268';
$Self->{'AuthModule::LDAP::BaseDN'} = 'DC=deine,DC=firma';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=einuser,OU=in,DC=deiner,DC=firma';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'Ein_Super_Password';
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(&(objectclass=user)(mail=*))';
$Self->{'AuthModule::LDAP::Charset'} = 'utf-8';
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
# UserSyncLDAPGroups
# (If "LDAP" was selected for AuthModule, you can specify initial
# user groups for first login.)

#--> activate LDAP
$Self->{UserSyncLDAPGroups} = ['user',];
# ===================================================
# LDAP Customer User Authentication [WF]
# ===================================================

$Self->{CustomerUser1} = {
Name => 'Active Directory <holding.ah>',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '<der_ad_server',
BaseDN => 'DC=dein,DC=fimra',
SSCOPE => 'sub',
UserDN => 'CCN=einuser,OU=in,DC=deiner,DC=firma'',
UserPw => 'ein_super_password',
AlwaysFilter => '(&(objectclass=user)(mail=*))',
DestCharset => 'utf-8',
SourceCharset => 'utf-8',
Params => {
port => 3268,
timeout => 10,
async => 0,
version => 3,
},
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserExcludePrimaryCustomerID => 0,
AdminSetPreferences => 0,
Map => [
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var', '', 0 ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1,'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1,'var', '', 0 ],
[ 'UserLogin', 'Username', 'sAMAccountName', 1, 1,'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1,'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1,'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephoneNumber', 1, 0,'var', '', 0 ],
[ 'UserMobile', 'Mobile', 'mobile', 1, 0,'var', '', 0 ],
],
};

[Faenerk]

danke schonmal, kannst du mir noch sagen, welche daten ich davon jetzt noch editieren muss?
sehe zwar schon, wo, aber z.B. bei dem User [CN=einuser,OU=in,DC=deiner,DC=firma] was muss ich da genau wo eintrage, bei einuser z.B. admin? und was muss für "in" eingetragen werden?

[jojo]

Ich erinnere noch mal an den Tipp von Dizzy:

Hilfreich ist z.B. noch der LDAP Browser von Softerra um dir bestimmte Attribute einfacher anzeigen zu lassen:
http://www.ldapbrowser.com/download.htm

[Faenerk]

oh ja, sry, vergessen^^

werde mir den jetzt direkt mal anschauen, bevor wieder was anderes da zwischen kommt...

[Faenerk]

so, ich habe jetzt (hatte gestern schule) das gemacht.

in der Konf von oben, steht ja 2x "DC=" drin, bei uns haben wir aber nur einmal DC, was auf die Firma verweißt, die andere beiden sind "DC=DomainDnsZones" und "DC=ForestDnsZones" und ich muss doch nur das angeben, was sich auf die Firma bezieht, was als 3. dadrunter (ich nenne meine Firma jetzt einfach Beispiel-Firma) steht "DC=Beispiel-Firma"
dort haben wir dann selbst angelget "OU=BeispielFirma User" als User Verzeichnis, natürlich gibt es noch den standard "CN=Users", aber dieses Verzeichnis nutzen wir nicht.

ich poste einfach mal die Konfig, mit Folgenden annahmen:
Firmenname: "Beispiel-Firma"
Verzeichnisname der User in der AD: "Firma User"
AD-Server: "Firma-ADs1"
Adminpasswort: "123"

dann muss die konfig doch so aussehen, oder?? :

Code: Select all

#--> activate LDAP
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = '<Firma-ADS1>:3268';
$Self->{'AuthModule::LDAP::BaseDN'} = 'DC=Beispiel-Firma';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'OU=Firma User,DC=Beispiel-Firma';
$Self->{'AuthModule::LDAP::SearchUserPw'} = '123';
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(&(objectclass=user)(mail=*))';
$Self->{'AuthModule::LDAP::Charset'} = 'utf-8';
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
# UserSyncLDAPGroups
# (If "LDAP" was selected for AuthModule, you can specify initial
# user groups for first login.)

#--> activate LDAP
$Self->{UserSyncLDAPGroups} = ['user',];
# ===================================================
# LDAP Customer User Authentication [WF]
# ===================================================

$Self->{CustomerUser1} = {
Name => 'Active Directory <holding.ah>',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '<Firma-ADS1>:3268',
BaseDN => 'DC=Beispiel-Firma',
SSCOPE => 'sub',
UserDN => 'OU=Firma User,DC=Beispiel-Firma',
UserPw => '123',
AlwaysFilter => '(&(objectclass=user)(mail=*))',
DestCharset => 'utf-8',
SourceCharset => 'utf-8',
Params => {
port => 3268,
timeout => 10,
async => 0,
version => 3,
},
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserExcludePrimaryCustomerID => 0,
AdminSetPreferences => 0,
Map => [
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var', '', 0 ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1,'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1,'var', '', 0 ],
[ 'UserLogin', 'Username', 'sAMAccountName', 1, 1,'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1,'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1,'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephoneNumber', 1, 0,'var', '', 0 ],
[ 'UserMobile', 'Mobile', 'mobile', 1, 0,'var', '', 0 ],
],
};

wenn es wichtig sein sollte: der admin, ist nicht im "Firma User" Verzeichnis, sonder im "Firma Admins" Verzeichnis, muss ich dass dann auch mit angeben?

und ich habe gerade nochwas gesehen, dass "DC=Local" angegeben werden kann/muss, das werde ich noch ausprobieren, bei der Zeile "BaseDN => 'DC=Beispiel-Firma',", werde mich melden, wenn es das war, wenn nicht, dann bitte ich um hilfe!


EDIT:

ich habe das jetzt nochmal angepasst.
bei der obrigen konfig geht garnichts. ich komme auf keine Seite.
jetzt mit der hier drüber gesagten änderung komme ich zumindest schonmal auf die index.pl, kann mich aber nicht einloggen und auf eine der anderen beiden seiten komme ich auch nicht.

werde weiter suchen, bin für jeden hinweis/hilfe dankbar!
brauche bitte hilfe...

[Faenerk]

so, ich habe es jetzt so gut wie geschaft *freu*

ich bekomme die AD-User nun unter Kunden im Admin Frontend angezeigt.

aber jetzt lässt sich das Customer Frontend nicht mehr öffnen ?!?!

Code: Select all

Die Website kann diese Seite nicht anzeigen. 
 HTTP 500  
   Wahrscheinlichste Ursachen:
•Die Website wird momentan gewartet.
•Die Website enthält einen Programmierfehler. 

Das bekomme ich angezeigt.
Ich werde morgen die config nochmal auf schreibfehler Überprüfen, falls dort irgendwas falsch ist.
aber wenn hier noch/schon tipps bestehen, bitte melden...

ich freue mich gerade nur tierisch, dass die User schonmal drin sind und ich jetzt Feierabend habe

[Faenerk]

es fehlte "Customer::AuthModule::LDAP::UID" in der config, jetzt geht es.
ich kann mich aber noch nicht anmelden, wie sieht das dabei aus mit dem passwort, das wird doch auch mit abgefragt, oder etwa nicht?

[Wolfgangf]

passwort kommt auch aus dem AD
leg den Agenten auch als user im OTRS an, dann sollte es gehen

[Faenerk]

wie mache ich das? habe danach gerade gegooglt, aber noch nichts gefunden...

[Wolfgangf]

Im OTRS -> Admin -> Users -> neuen User anlegen

[FiL]

Könntest du vielleicht deine fertige Config posten?
Natürlich wieder mit Platzhaltern.
Wäre sehr freundlich

Liebe Grüße Philipp

[ccamel]

ja würde mich auch interessieren! bitte poste mal dein code!

[Faenerk]

hallo,

war letzte woche im urlaub, daher melde ich mich erst jetzt wieder...

so der code bis jetzt:

Code: Select all

#--> activate LDAP
$Self->{UserSyncLDAPGroups} = ['user',];
# ===================================================
# LDAP Customer User Authentication [WF]
# ===================================================

$Self->{CustomerUser1} = {
Name => 'LDAP',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => 'Server.Firma.Lokal',
BaseDN => 'DC=Firma,DC=LOKAL',
SSCOPE => 'sub',
UserDN => 'CN=Admin,OU=Admins,DC=Firma,DC=LOKAL',
UserPw => 'yyy',
AlwaysFilter => '(&(objectclass=user)(mail=*))',
DestCharset => 'utf-8',
SourceCharset => 'utf-8',
Params => {
port => 389,
timeout => 10,
async => 0,
version => 3,
},
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserExcludePrimaryCustomerID => 0,
AdminSetPreferences => 0,
Map => [
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var', '', 0 ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1,'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1,'var', '', 0 ],
[ 'UserLogin', 'Username', 'sAMAccountName', 1, 1,'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1,'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1,'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephoneNumber', 1, 0,'var', '', 0 ],
[ 'UserMobile', 'Mobile', 'mobile', 1, 0,'var', '', 0 ],
],
};


# This is an example configuration for an LDAP auth. backend.
    # (take care that Net::LDAP is installed!)
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'Server.Firma.LOKAL';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=Firma,dc=LOKAL';
    $Self->{'AuthModule::LDAP::UID'} = 'uid';

    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group xyz to use otrs)
    $Self->{'AuthModule::LDAP::GroupDN'} = 'OU=User,DC=Firma,DC=LOKAL';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=Admin,OU=Admins,DC=Firma,DC=LOKAL';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'xxxx';
    $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';
    $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    };

bei dem Code bekomme ich nun die Benutzer aus der AD im OTRS angezeigt, aber diese können sich nicht anmelden.
wenn ich im Kunden Backend bin und mich mit "yxz" & Passwort der AD anmelde, dann bekomme ich den Fehler "Benutzername oder Passwort falsch"

@Wikfgangf
habe ich das jetzt richtig verstanden, dass wenn ich die Agenten (also uns 4 EDV Leute in der Firma) anlege, dass dann auch die Passwörter bei den Kunden aus der AD gehe?
oder haben wir uns beide da mißverstanden?

das Problem ist jetzt halt noch, dass ich zwar die Kunden (AD Benutzer) aufgelistet bekomme im Admin Backend, ich mich aber nicht im Kunden Backend anmelden kann.
zudem ist bei den LDAP Kunden bei Gültig/Ungültig ein "-", muss ich die erst irgendwo als gültig angeben? und wenn ja, wo?

[Faenerk]

ich habe jetzt nochmal die config von oben genommen, also von Wolfgangf

wenn ich meine Werte alle anpasse, dann habe ich bei der Adminanmeldung nicht mehr die Funktion auf "Kennwort vergessen" (geht die anmeldung dann über LDAP beim Adminbereich???)
auch die anmeldung bei Kunden ändert sich, dort habe ich nur noch "Name, Passwort & Sprache"

die Kunden sind alle vorhanden, wenn ich im Adminbereich auf "kunden" gehe.
Wenn ich mich am Kunden Frontend anmelde, bekomme ich aber die Meldung "Benutzername oder Passwort falsch"

hier die konfig (alles, was ich angepasst habe, habe ich fett gemacht):

#--> activate LDAP
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'IP des AD Servers';
$Self->{'AuthModule::LDAP::BaseDN'} = 'DC=xyz,DC=LOKAL';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=Admin,OU=SVUA Admins,DC=xyz,DC=Lokal';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort des admins';
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(&(objectclass=user)(mail=*))';
$Self->{'AuthModule::LDAP::Charset'} = 'utf-8';
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
# UserSyncLDAPGroups
# (If "LDAP" was selected for AuthModule, you can specify initial
# user groups for first login.)

#--> activate LDAP
$Self->{UserSyncLDAPGroups} = ['user',];
# ===================================================
# LDAP Customer User Authentication [WF]
# ===================================================

$Self->{CustomerUser1} = {
Name => 'Active Directory',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => 'IP des AD Servers',
BaseDN => 'DC=xyz,DC=LOKAL',
SSCOPE => 'sub',
UserDN => 'CN=Admin,OU=SVUA Admins,DC=xyz,DC=Lokal',
UserPw => 'passwort des admins',
AlwaysFilter => '(&(objectclass=user)(mail=*))',
DestCharset => 'utf-8',
SourceCharset => 'utf-8',
Params => {
port => 389,
timeout => 10,
async => 0,
version => 3,
},
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserExcludePrimaryCustomerID => 0,
AdminSetPreferences => 0,
Map => [
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var', '', 0 ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1,'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1,'var', '', 0 ],
[ 'UserLogin', 'Username', 'sAMAccountName', 1, 1,'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1,'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1,'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephoneNumber', 1, 0,'var', '', 0 ],
[ 'UserMobile', 'Mobile', 'mobile', 1, 0,'var', '', 0 ],
],
};

[Faenerk]

ich habe jetzt nochmal was ausprobiert:

ich kann ein neues passwort für einen kunden anfordern, dann bekomme ich auch eins, aber wenn ich das eingebe, geht das auch nciht....

bitte um hilfe...

[Faenerk]

weiß denn keiner, was bei mir noch fehlt, oder wodran das scheitert?

nochmal die aktuelle situation:

ich habe die Benutzer aus der AD alle unter Kunden eingefügt (über das Skript, nicht händisch!!)
die kunden stehen dort alle mit name/vorname/e-mail/gültig drin. wobei bei Gültig alle ein "-" haben. (ich habe auch nirgends gefunden, dass ich einen LDAP Kunden gültig stellen kann.)

wenn ich mich im Kunden Frontend anmelden will, erhalte ich die meldung:
Kundenname oder Passwort falsch.

egal mit welchem user ich das mache, also administraotr, normaler user oder anderes.
egal was ich eingebe, mit passwort oder ohne passwort.

ich kann ein neues passwort anfodern, ich erhalte auch die e-mail mit dem passwort, aber wenn ich das passwort verwende erhalte ich auch die nachricht:
Kundenname oder Passwort falsch.

ich habe die LDAP mit hilfe des LDAP Administrators ausgelesen und dadrüber die Wege bekommen.
ich mache jetzt eine beispiel konfig:

AD Server= AD
Domain= Firma.Lokal
User= Admin unterordner in der AD Admins
passwort= xyz

hier die beispiel konfig:

Code: Select all

 #--> activate LDAP
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'AD.Firma.Lokal';
$Self->{'AuthModule::LDAP::BaseDN'} = 'DC=Firma,DC=LOKAL';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::DIE'} = 1;
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=Admin,OU=Admins,DC=Firma,DC=LOKAL';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'xyz';
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(&(objectclass=user)(mail=*))';
$Self->{'AuthModule::LDAP::Charset'} = 'utf-8';
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
# UserSyncLDAPGroups
# (If "LDAP" was selected for AuthModule, you can specify initial
# user groups for first login.)

#--> activate LDAP
$Self->{UserSyncLDAPGroups} = ['user',];
# ===================================================
# LDAP Customer User Authentication [WF]
# ===================================================

$Self->{CustomerUser1} = {
Name => 'LDAP',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => 'Ad.Firma.Lokal',
BaseDN => 'DC=Firma,DC=LOKAL',
SSCOPE => 'sub',
UserDN => 'CN=Admin,OU=Admins,DC=Firma,DC=LOKAL',
UserPw => 'xyz',
AlwaysFilter => '(&(objectclass=user)(mail=*))',
DestCharset => 'utf-8',
SourceCharset => 'utf-8',
Params => {
port => 389,
timeout => 10,
async => 0,
version => 3,
},
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserExcludePrimaryCustomerID => 0,
AdminSetPreferences => 0,
Map => [
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var', '', 0 ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1,'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1,'var', '', 0 ],
[ 'UserLogin', 'Username', 'sAMAccountName', 1, 1,'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1,'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1,'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephoneNumber', 1, 0,'var', '', 0 ],
[ 'UserMobile', 'Mobile', 'mobile', 1, 0,'var', '', 0 ],
],
};

bitte um hilfe, fahre nächste woche in urlaub und will das egtl vorher fertig haben!!
ich habe schon verschiedene konfigs getestet, welche hier in den verschiedenen LDAP Threats enthalten sind, die bei den Leuten angeblich funktionieren sollen, aber nichts bringt etwas.
ich habe sogar den Server nochmal komplett neu aufgesetzt und OTRS neu installiert, aber immer noch hänge ich an der gleichen stelle...

mfg

[jojo]

Du brauchst keine User Importieren.

Es gibt im OTRS einen Unterschied zwischen Kundendaten und Kundenauthentifizierung. SInnvollerweise sollte beides in Deinem Fall LDAP sein.

Benutz am besten die Forensuche, es gibt mehr als genug funktionierende Active Directory Beispiele hier. Ebenso in der Doku.

Hast Du Zeitrdruck empfehle ich professionelle Hilfe, z.B. durch einen Supportvertrag oder Consulting. enjoy@otrs.com ist hier ein geeigneter Ansprechpartner

[Faenerk]

den zeitdruck mache ich mir ja nur, weil ich es fertig haben will...
und wie gesagt, ich habe schon mehrere ausprobiert, welche aber nicht geholfen habe, werde mir aber nocheinmal ein paar zu gemüte führen..

[jojo]

Hast Du schon mal in die Defaults.pm geschaut, dort ist schonmal das gesamte LDAP Konstrukt für Deine Version drin

[Faenerk]

ne hatte ich nicht.. davon höre ich gerade auch zum ersten mal

danke für dne tipp, werde ich mir sofort angucken

[Faenerk]

ich finde es mitlerweile sehr lustig

mich hat direkt am anfang schon gewundert, dass jeder eine andere config hat, obwohl ja egtl alle gleich sein müssten und nur die Variabeln anders, also LDAP Server, Domain Name usw.

ich habe jeztt eine config versucht, wo laut des Posters die Agent integration klappt, aber die LDAP integration noch nicht.
habe diese auf meine Domain angepasst und jetzt geht bei mir die Kunden authentifikation, aber die Agent authentifikation nicht, was aber nicht tragisch ist, da wir in der EDV 4 Personen sind und diese noch gerade so in die DB einzugeben sind

hier noch die konfig, welche bei mir dann jetzt funktioniert:

Code: Select all

##ldaptest
##agent

#Enable LDAP authentication for Customers / Users
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'host.netz.local';
$Self->{'AuthModule::LDAP::BaseDN'} = 'ou=gruppe,dc=netz,dc=local';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

#The following is valid but would only be necessary if the
#anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrs';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'pw';

# UserSyncLDAPMap
# (map if agent should create/synced from LDAP to DB after login)
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};

# UserSyncLDAPGroups
# (If "LDAP" was selected="selected" for AuthModule, you can specify
# initial user groups for first login.)
$Self->{UserSyncLDAPGroups} = [
'users',
];

# UserTable
$Self->{DatabaseUserTable} = 'users';
$Self->{DatabaseUserTableUserID} = 'id';
$Self->{DatabaseUserTableUserPW} = 'pw';
$Self->{DatabaseUserTableUser} = 'login';

##ende agent
##customer
#Enable LDAP authentication for Customers / Users
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'host.netz.local';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'ou=Gruppe,dc=kvtr,dc=local';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';

#The following is valid but would only be necessary if the
#anonymous user do NOT have permission to read from the LDAP tree
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'otrs';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'pw';

#CustomerUser
#(customer user database backend and settings)
$Self->{CustomerUser} = {
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => 'host.netz.local',
BaseDN => 'OU=Gruppe,DC=kvtr,DC=local',
SSCOPE => 'sub',
UserDN =>'otrs',
UserPw => 'pw',
},
# customer unique id
CustomerKey => 'sAMAccountName',
# customer #
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
# var, frontend, storage, shown, required, storage-type
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
],
};
##ende customer

##ende

was mich an der nur wundert ist, dass im 1. Abschnitt die Variablen in " und nicht in ' geklammert sind, das werde ich mal spaß weise ändern, evtl geht dann auch die Agent authentifikation

danke an euch, jetzt klappt es endlich bei mir und ich kann beruhigt meinen Urlaub anstreben

[ccamel]

Noch ein kleiner Tipp. Du hast geschrieben

dann habe ich bei der Adminanmeldung nicht mehr die Funktion auf "Kennwort vergessen" (geht die anmeldung dann über LDAP beim Adminbereich???)

Bei jedem Modulnamen mach eine "1" hintendran. Das bewirkt nämlich das die Authentifizierung zuerst an das Backend geht und wenn fehlgeschlagen dann weiter ans AD. Somit erscheint auch wieder deine vermisste Funktion "Kennwort vergessen".

Beispiel (einfach ausgedrückt bei jedem $Self->):

Code: Select all

	$Self->{'AuthModule1'} = 					'Kernel::System::Auth::LDAP';
	$Self->{'AuthModule::LDAP::Host1'} = 			'beispiel.com';

Falls Du es immer noch nicht hingekriegt hast, dass alles so funktioniert wie du Dir es wünscht, dann kann ich dir vielleicht weiterhelfen. Bei mir tuts jetzt

[Faenerk]

bei mir ja auch.
mir war das nur aufgefallen, dass die passwort vergessen funktion weg war.
brauchen tue ich die aber nicht

andere frage:
hast du evtl sso bei dir gemacht, oder normale LDAP Anmeldung?
meine Kollegen wollen sich nämlich ungerne nochmal wo anmelden, um einen Fehler zu berichten
und ich bin am gucken, ob ich das mit sso hinbekomme...

[ccamel]

hi

nein SSO habe ich momentan nicht im einsatz. ist bei uns jedoch auch ein grosser wunsch seitens supporter.

anleitungen dazu gibts aber zu genüge. ob die was taugen?

gruss
ccamel

[xhellsingx]

Hi,
Ich habe meine Config.pm, soweit angepasst wie ich es hier gelesen habe.
Leider kann ich mich trotzdem nicht mit meinem AD-Konto bei OTRS als Kunde anmelden.

Vllt sieht ja einer von euch einen Fehler:

Code: Select all

    # ---------------------------------------------------- #
    # ---------------------------------------------------- #
    #                                                      #
    #         Start of your own config options!!!          #
    #                                                      #
    # ---------------------------------------------------- #
	#--> LDAP Start 

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = '<AD_Server_IP>:<PORT>';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=de,dc=<FIRMA>,dc=hv,ou=Hochschulverwaltung';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=<BENUTZER>,dc=de,dc=<FIRMA>,dc=hv,ou=Hochschulverwaltung';
$Self->{'AuthModule::LDAP::SearchUserPw'} = '<BENUTZER_PASSWORT>';
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(&(objectclass=user)(mail=*))';
$Self->{'AuthModule::LDAP::Charset'} = 'utf-8';
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
# UserSyncLDAPGroups
# (If "LDAP" was selected for AuthModule, you can specify initial
# user groups for first login.)

#--> activate LDAP
$Self->{UserSyncLDAPGroups} = ['user',];
# ===================================================
# LDAP Customer User Authentication [WF]
# ===================================================

$Self->{CustomerUser1} = {
Name => 'Active Directory',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '<AD_SERVER_IP>',
BaseDN => 'dc=de,dc=<FIRMA>,dc=hv,ou=Hochschulverwaltung',
SSCOPE => 'sub',
UserDN => 'CN=<BENUTZER>,dc=de,dc=<FIRMA>,dc=hv,ou=Hochschulverwaltung',
UserPw => '<BENUTZER_PW>',
AlwaysFilter => '(&(objectclass=user)(mail=*))',
DestCharset => 'utf-8',
SourceCharset => 'utf-8',
Params => {
port => 389,
timeout => 10,
async => 0,
version => 3,
},
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserExcludePrimaryCustomerID => 0,
AdminSetPreferences => 0,
Map => [
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var', '', 0 ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1,'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1,'var', '', 0 ],
[ 'UserLogin', 'Username', 'sAMAccountName', 1, 1,'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1,'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1,'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephoneNumber', 1, 0,'var', '', 0 ],
[ 'UserMobile', 'Mobile', 'mobile', 1, 0,'var', '', 0 ],
],
};

#LDAP Ende

[Schlumpf]

edit: erledigt