[SOLVED] ADS LDAP Synch Frage

[derb3r]

Hallo zusammen,

irgendwie schnorchle ich jetzt seit 2 Tagen hier in dem Forum aber find noch keine Aussage wie das ganze mit einem ADS LDAP Auth funktioniert für die Agenten.

Ich dachte ich mache die Anbindung an den ADS LDAP und synchronisiere die Leute aus einer Gruppe auf dem ADS in den OTRS so, dass sich alle am OTRS anmelden können.

So langsam beschleicht mich aber das Gefühl das ich jeden User der in der OTRS Gruppe auf dem ADS LDAP existiert auch nochmals händisch in die users Tabelle auf dem OTRS eingetragen werden muss, damit diese sich erfolgreich authentifizieren können.

Wat stimmt den nu, ich hoffe Ihr könnt mal kurz Licht ins dunkle bringen?

Konfig sieht zur zeit so aus

Code: Select all

    # ---------------------------------------#
    # Anmeldung an Frontend via LDAP #
    # ----------------------------------------#    
    # This is an example configuration for an LDAP auth. backend.
    # (Make sure Net::LDAP is installed!)
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = '172.16.32.143';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=subdomain,dc=domain,dc=de';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group xyz to use otrs)
    $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=otrs_allow,cn=Users,dc=subdomain,dc=domain,dc=de';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    # for ldap posixGroups objectclass (just uid)
#    $Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
    # for non ldap posixGroups objectclass (with full user dn)
#    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    # The following is valid but would only be necessary if the
    # anonymous user do NOT have permission to read from the LDAP tree
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrs';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'password';

    # in case you want to add always one filter to each ldap query, use
    # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
    #$Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

    # in case you want to add a suffix to each login name, then
    # you can use this option. e. g. user just want to use user but
    # in your ldap directory exists user@domain.
#    $Self->{'AuthModule::LDAP::UserSuffix'} = '@domain.com';

    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    };

     # agent data sync against ldap
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = '172.16.32.143';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=subdomain,dc=domain,dc=de';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'otrs';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'password';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };

    # AuthSyncModule::LDAP::UserSyncInitialGroups
    # (sync following group with rw permission after initial create of first agent
    # login)
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];

Admin Agent im OTRS bzw eintrag in der users tabelle: otrs
Search User auf dem ADS: otrs
OTRS Gruppe: otrs_allow
weitere User in der Gruppe otrs_allow: erster

Versuch ich mich nun mit dem User "erster" anzumelden kommt der Fehler das dieser nicht in der DB steht.

Danke schonmal für die Lampe

[garwen]

Code: Select all

    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrs';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'password';

Da muss der LDAP User aus Deiner AD mit Fulldistinguishedname rein.
Ich gehe mal davon aus, dass der Anonymous User in Eurer AD kein Browsing Recht hat, drum muss OTRS sich an der AD anmelden.

[derb3r]

Code: Select all

    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrs';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'password';

Da muss der LDAP User aus Deiner AD mit Fulldistinguishedname rein.
Ich gehe mal davon aus, dass der Anonymous User in Eurer AD kein Browsing Recht hat, drum muss OTRS sich an der AD anmelden.

nö also die Anmeldung geht auch so bzw geht beides. Aber ich hab in dem SSO Thread glaub ich die Antwort auf die Frage bekommen.

Es muss jeder User nochmal in der DB angelegt werden. Bei 50 Usern wird das natürlich ein Spaß. Oder gibt es doch noch eine Mögichkeit alle 50 User in der "otrs_allow" Gruppe auf einen Schlag hinzu zu fügen?

[jojo]

Das Anlegen des Users erfolgt durch den LDAP Snyc, das musst Du also nicht manuell machen

[derb3r]

Das Anlegen des Users erfolgt durch den LDAP Snyc, das musst Du also nicht manuell machen

mhmm dann scheint etwas nicht zu funktionieren. Wann sollte der User bzw die User erstellt werden? Nach dem Einloggen von dem User mit der ID 1 ? Dann sollten aber meine Testuser aus der Gruppe "otrs_allow" doch auch in er DB stehen oder? Bzw. wo muss ich denn dann nach dem Fehler suchen? Weil Fehler in den Logs krieg ich keine

[jojo]

Wenn sich der entsprechende User anmeldet erfolgt der Sync für diesen User. Es werden nicht alle User automatisch gefetcht

[derb3r]

Wenn sich der entsprechende User anmeldet erfolgt der Sync für diesen User. Es werden nicht alle User automatisch gefetcht

Mhmm komisch dann krieg ich immer den Fehler:

Code: Select all

Panic, user authenticated but no user data can be found in OTRS DB!! Perhaps the user is invalid.

Wenn ich den User dann in die DB eintrage gehts und er synchronisiert den Namen, Nachnamen, Emailadresse aber leider nur dann

EDIT:

Ok hab den Fehler gefunden saß vor dem Bildschirm. Die User müssen einen Nachnamen haben und eine valide Emailadresse dann funktioniert das ganze