Kunden/Customer aus zwei AD´s [closed]

thomas91 · Post by **thomas91** » 23 Dec 2010, 23:11

Hey OTRS-Gemeinschaft,
ich habe jetzt innerhalb einer Woche ein OTRS aufgesetzt und folgendes Problem.
Ich möchte die Kunden (Mitarbeiter der Firma) aus der Domäne und Unterdomäne auslesen.
Doch leider habe ich im Kundenbereich nur die Benutzer mit allen Infos aus der Domäne und nicht aus der Unterdomäne.
Hat wer Rat?

Danke für die Antworten im vorraus =)
ciao Thomas

PS. hab mich beim ändern der config.pm an das Handbuch für OTRS 3.0 gehalten

garwen · Post by **garwen** » 24 Dec 2010, 08:23

Das ist recht einfach gestaltet. Du musst nur in der Config.pm den Bereich für die Kundensuche mehrfach einfügen und nach Priorität (1 = am höchsten) nummerieren.

Entsprechend der Doku hier: http://doc.otrs.org/3.0/de/html/x2239.h ... r-backends

In Deinem Fall also:

Code: Select all

# 1. Customer user backend: Hauptdomäne
$Self->{CustomerUser1} = {
    Name => 'LDAP Subdomain',
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => { <...>
};

# 2. Customer user backend: Subdomain
# (customer ldap backend and settings)
$Self->{CustomerUser2} = { 
    Name => 'LDAP Subdomain',
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => { <...>
};

thomas91 · Post by **thomas91** » 24 Dec 2010, 16:54

Hi Garwen,
Kurze Frage zum Verständnis für mich.
Kann ich aus dem Link gerade den ldap Abschnitt, zweimal hinter einander kopieren?
1 Abschnitt Hauptdomäne & 2 Abschnitt Sub?

Ich hab gerade 2mal hintereinander das Beispiel für 1 ldap Anbindung!
Wenn das so wäre wie gerade gefragt Spar ich mir ja viele Abschnitte!

Danke für die ersten Infos
Frohe Weihnachten

thomas91 · Post by **thomas91** » 25 Dec 2010, 20:06

Ich hab mal die Logs angeschaut und die sagen:

"Can´t connect to 192.168.xxx.xxx: IO::Socket::INET: connect timeout"

Unter diesem Log steht noch:

"CostumerUser: mustermann authentication faild, no LDAP entry found!BaseDN='DC=beispieldomäne,DC=intra',Filter='sAMAccountname=mustermann',(REMOTE_ADDR:192.168.xxx.xxx)

Bringt das vllt noch ne Idee bei jemand, die er gerne mit mir Teilen möchte?

thomas91 · Post by **thomas91** » 26 Dec 2010, 14:07

Ich bins nochmal

Ich hab es jetzt soweit das es funktioniert!
erstmal sind es 2 Abfragen aus der Domäne, heißt das man wie garwen gesagt hat zwei mal die LDAP Abfrage macht:

garwen wrote:Das ist recht einfach gestaltet. Du musst nur in der Config.pm den Bereich für die Kundensuche mehrfach einfügen und nach Priorität (1 = am höchsten) nummerieren.

Entsprechend der Doku hier: http://doc.otrs.org/3.0/de/html/x2239.h ... r-backends

In Deinem Fall also:
Code: Select all
# 1. Customer user backend: Hauptdomäne
$Self->{CustomerUser1} = {
    Name => 'LDAP Subdomain',
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => { <...>
};

# 2. Customer user backend: Subdomain
# (customer ldap backend and settings)
$Self->{CustomerUser2} = { 
    Name => 'LDAP Subdomain',
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => { <...>
};

Und zum Schluss waren von mir noch paar LDAP-Einträge in der Config.pm falsch, nach dem ich diese verbessert habe funktioniert alles Perfekt =)
Hat jetzt auch an geschwinidgkeit zugenommen die Abfrage, da die eine nicht ins "Leere" läuft.

Tip von mir an andere die das Problem haben:
Wenn eine Abfrage funktioniert, witmet euch mal nur der anderen und sucht dort nach Fehlern, so bin ich auch weiter gekommen! =)

ciao und danke noch mal garwen für die "Inspiration"
THX!

garwen · Post by **garwen** » 27 Dec 2010, 09:16

Sorry, hatte am Freitag früh Feierabend gemacht.
Gut hast Du's trotzdem geschafft und gerne

thomas91 · Post by **thomas91** » 27 Dec 2010, 14:44

Irgendwie kann sich jetzt die Hauptdomäne nicht anmelden

gestern ging es noch!
die Subdomäne geht noch und die Benutzer sind noch in der Kundenliste vorhanden.
Irgendwas geht mit der Abfrage der Passwörter nicht...

garwen · Post by **garwen** » 28 Dec 2010, 09:07

Hast Du denn das Agent Login für LDAP konfiguriert ?
Das da oben im Thread ist für die Kunden, nicht für die Agenten.

Guck mal hier: http://doc.otrs.org/3.0/de/html/x2321.html

thomas91 · Post by **thomas91** » 28 Dec 2010, 13:37

Also das hier hab ich im Forum aufgegabelt, und ich konnte mich auch mit dem Domänen Passwort anmelden!
jetzt geht aber garnix mehr...

Code: Select all

#-------------------------------------------------------------#
    #  Authentifizierung Agenten via LDAP (AD) [i]XYZ[/i] #
    #-------------------------------------------------------------#
 
 
    $Self->{'AuthModule10'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host1'} = 'IP';
    $Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=xyz,dc=intra';
    $Self->{'AuthModule::LDAP::UID1'} = 'samaccountname';
    $Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=GS_OTRS_Agenten,OU=Gruppen_XYZ,DC=xyz,DC=intra';
    $Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
    $Self->{'AuthModule::LDAP::SearchUserDN1'} = 'OTRS@xyz.intra'; #-----hier hatten wir anfangs auch eine DN stehen... ist falsch:-)
    $Self->{'AuthModule::LDAP::SearchUserPw1'} = 'Secret';
 
 
     $Self->{'UserSyncLDAPMap1'} =  {
     'UserEmail' => 'mail',
     'UserFirstname' => 'givenName',
     'UserLastname' => 'sn',
     'UserLogin' => 'sAMAccountName'
      };

garwen · Post by **garwen** » 28 Dec 2010, 14:14

Du hast da ein bissi Chaos mit den Nummerierungen. Du steuerst da AuthModule10 an, aber unten hast Du keine Nummerierung.
Sind die Agenten alle in einer Domain, oder habt ihr Agenten aus der Main- wie auch der Subdomain ?
Wenn die Agenten alle in einer Domain sind, würde ich nur die Konfigurieren. Agenten aus mehreren Backends hab ich noch nie versucht, aber wenn dann vermutlich eher so:

$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule1::LDAP::Host'} = 'IP';
$Self->{'AuthModule1::LDAP::BaseDN'} = 'dc=maindomain,dc=intra';
$Self->{'AuthModule1::LDAP::UID'} = 'sAMAccountName';
<etc>

$Self->{'AuthModule2'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule2::LDAP::Host'} = 'IP';
$Self->{'AuthModule2::LDAP::BaseDN'} = 'dc=subdomain,dc=intra';
$Self->{'AuthModule2::LDAP::UID'} = 'sAMAccountName';
<etc>

Aber die Angaben ohne Gewähr

thomas91 · Post by **thomas91** » 28 Dec 2010, 14:22

Nein die Agenten sind nur aus der Main.
Könntest du mich mal aufklären was des mit den zahlen aufsich hat hab da überall so ein Chaos

garwen · Post by **garwen** » 28 Dec 2010, 14:37

Das ist die Nummerierung des Modules, damit das System weiss, welche Daten zu welchem Modul gehören. z.B. könnte es ja sein, dass ihr in der Maindomain ein anderes LDAP Login habt, wie in der Subdomain.

So müsste es eigentlich klappen:

Code: Select all

#-------------------------------------------------------------#
#      Authentifizierung Agenten via LDAP (AD) [i]XYZ[/i]     #
#-------------------------------------------------------------#

    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'IP';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=xyz,dc=intra';
    $Self->{'AuthModule::LDAP::Charset'} = 'utf-8';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'OTRS@xyz.intra';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'Secret';

#Prüfen ob der User Mitglied der Gruppe GS_OTRS_Agenten ist.
    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=GS_OTRS_Agenten,OU=Gruppen_XYZ,DC=xyz,DC=intra';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';

#---------------------------------------#
# LDAP Konfiguration / Agent Sync to DB #
#---------------------------------------#

    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'IP';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=xyz,dc=intra';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'OTRS@xyz.intra';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Secret';
    $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {    
        'UserEmail' => 'mail',
        'UserFirstname' => 'givenName',
        'UserLastname' => 'sn',
        'UserLogin' => 'sAMAccountName'
    };

thomas91 · Post by **thomas91** » 29 Dec 2010, 13:53

Hi,
also funktionieren tut die Agenten Authentifizierung nicht. Es einzige was passiert ist, ich zweifel jetzt an dem was ich zusammen gestellt habe und denke das da sehr viel müll drin ist

garwen · Post by **garwen** » 29 Dec 2010, 13:57

Was sagt denn das Logfile ?

thomas91 · Post by **thomas91** » 29 Dec 2010, 14:19

Wed Dec 29 12:57:33 2010 notice OTRS-CGI-10 User: Benutzername authentication ok (REMOTE_ADDR: 192.168.xxx.xxx).
Wed Dec 29 12:57:33 2010 error OTRS-CGI-10 Need AuthSyncModule::LDAP::Host1 in Kernel/Config.pm
Wed Dec 29 12:57:33 2010 error OTRS-CGI-10 Need AuthModule::LDAP::Host2 in Kernel/Config.pm
Wed Dec 29 12:57:33 2010 error OTRS-CGI-10 Need AuthModule::LDAP::Host1 in Kernel/Config.pm

thomas91 · Post by **thomas91** » 30 Dec 2010, 15:46

Hey Forum,
Garwen hat mir geholfen das ganze zu ordnen und das ist das Ergebnis! DANKE Garwen

Ich hoffe es hilft jemand anderem weiter.
Benutzer im AD ist: OTRS
PW von OTRS: SECRET
Main Domäne: xyz.intra
Sub Donmäne: sub.xyz.intra

Die Agentnen werden über eine Gruppe: GS_OTRS_Agenten, die in der OU: Gruppen_Firma liegt authentifiziert.
Hierzu müssen die Agenten natürlich Mitglied der Gruppe sein!
Bei dieser Config.pm werden die Agenten nur aus dem AD gelesen und nicht in eine DB geschrieben, Customer werden aber aus dem AD ind die DB gelesen und geschrieben.

Viel Erfolg mit dem Ausschnitt der Config.pm:

Code: Select all


##----------------------------------------------------------#

##               Authentifizierung Agenten                  #

##----------------------------------------------------------#



    # Agenten Authentifizierung DB

    # Backend DB fuer Agenten

## Wird bei LDAP Auth nicht mehr benoetigt.

## Wenn LDAP nicht funktioniert, kann durch entfernen der Kommentarzeichen wieder mit root@localhost sich angemeldet werden

##    $Self->{'AuthModule1'} = 'Kernel::System::Auth::DB';

##    $Self->{'AuthModule1::DB::CryptType'} = 'crypt';



##-------------------------------------------------------------#

##  Authentifizierung Agenten via LDAP (AD) XYZ      #

##-------------------------------------------------------------#

 

    #-------------------------------------------------------------#

    #  Authentifizierung Agenten via LDAP (AD) XYZ     #

    #-------------------------------------------------------------#



## Da die Agenten nur ¸ über die Hauptdomaene einloggen, ist es nicht nötig, das AuthModule zu nummerieren

    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';

    $Self->{'AuthModule::LDAP::Host'} = 'IP';

    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=XYZ,dc=intra';

    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'OTRS@XYZ.intra'; # hier könnte auch eine DN stehen!

    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'SECRET';

    # Pruefen ob der User/Agent Mitglied der Gruppe GS_OTRS_Agenten

    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=GS_OTRS_Agenten,OU=Gruppen_Firma,DC=XYZ,DC=intra';

    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';



## Beim Sync gilt gleiches wie oben

    #---------------------------------------#

    # LDAP Konfiguration / Agent Sync to DB #

    #---------------------------------------#



    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';

    $Self->{'AuthSyncModule::LDAP::Host'} = 'IP';

    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=XYZ,dc=intra';

    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';

    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'OTRS@XYZ.intra';

    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'SECRET';

    $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '';

    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {    

        'UserEmail' => 'mail',

        'UserFirstname' => 'givenName',

        'UserLastname' => 'sn',

        'UserLogin' => 'sAMAccountName'

    };

    

##  #--------------------------------------------#

##  # LDAP Konfiguration / Agenten Default Group #

##  #--------------------------------------------#

##  # Da bei reinem LDAP Login mit Sync der User in der DB nat¸rlich

##  # vorhanden ist, koennten wir hier definieren, welcher Gruppe er

##  # standardmaessig hinzugefuegt wird.

    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [

        'users',

    ];



## Der gehoert zum Agent login und definiert, dass eine LDAP Abfrage

## abgebrochen wird, wenn der Server nicht antwortet.

    $Self->{'AuthModule::LDAP::Die'} = 1;



##----------------------------------#

##   Ende Authentifizierung Agenten #

##----------------------------------#





##----------------------------------------------------------#

##            LDAP Anbindung fuer die Kunden                 #

##----------------------------------------------------------#



    #-----------------------------------------------------------#

    #  Auth Kunden via LDAP XYZ   			        #

    #-----------------------------------------------------------#



    # LDAP Customer #

        $Self->{'Customer::AuthModule1'} = 'Kernel::System::CustomerAuth::LDAP';

        $Self->{'Customer::AuthModule::LDAP::Host1'} = 'IP';

        $Self->{'Customer::AuthModule::LDAP::BaseDN1'} = 'DC=XYZ,DC=intra';

        $Self->{'Customer::AuthModule::LDAP::UID1'} = 'sAMAccountName';

        $Self->{'Customer::AuthModule::LDAP::SearchUserDN1'} = 'OTRS@XYZ.intra';

        $Self->{'Customer::AuthModule::LDAP::SearchUserPw1'} = 'SECRET';

        $Self->{'Customer::AuthModule::LDAP::Params1'} = {

            port => 389,

            timeout => 120,

            async => 0,

            version => 3,

    };




    #----------------------------------------------------------#

    # UserSyncLDAPMap XYZ                                    #

    #----------------------------------------------------------#   

   

## Sync macht man nur fuer Agenten. Die Customer werden aktiv aus dem LDAP gelesen.

##    $Self->{'UserSyncLDAPMap'} =  {

##      'UserEmail' => 'mail',

##      'UserFirstname' => 'givenName',

##      'UserLastname' => 'sn',

##      'UserLogin' => 'sAMAccountName'

##    };     



    $Self->{CustomerUser1} = {

    	Name => 'FIRMENNAME',

    	Module => 'Kernel::System::CustomerUser::LDAP',

    		Params => {

    		Host => 'IP',

    		BaseDN => 'dc=XYZ,dc=intra',

    		SSCOPE => 'sub',

    		UserDN => 'OTRS@XYZ.intra',

    		UserPw => 'SECRET',

    	},

    	CustomerKey => 'sAMAccountName',

    	CustomerID => 'mail',

    	CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],

    	CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],

    	CustomerUserPostMasterSearchFields => ['mail'],

    	CustomerUserNameFields => ['givenname', 'sn'],

    	Map => [

    		# note: Login, Email and CustomerID needed!

    		# var, frontend, storage, shown, required, storage-type

    		[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],

    		[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],

    		[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],

    		[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],

    		[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],

    		[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],

    		[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],

    		# [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],

    		# [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],

    	],

    };

   

   

    #----------------------------------------------------------#

    #                       XYZ Ende     	       #

    #----------------------------------------------------------#

    

    #----------------------------------------------------------#

    #          XYZ SUB Anfang     		       #

    #----------------------------------------------------------#


    #----------------------------------------------------------#

    #      LDAP Anbindung XYZ SUB		       #

    #----------------------------------------------------------#



    # LDAP Customer #

        $Self->{'Customer::AuthModule2'} = 'Kernel::System::CustomerAuth::LDAP';

        $Self->{'Customer::AuthModule::LDAP::Host2'} = 'IP';

        $Self->{'Customer::AuthModule::LDAP::BaseDN2'} = 'DC=sub,DC=xyz,DC=intra';

        $Self->{'Customer::AuthModule::LDAP::UID2'} = 'sAMAccountName';

        $Self->{'Customer::AuthModule::LDAP::SearchUserDN2'} = 'OTRS@sub.xyz.intra';

        $Self->{'Customer::AuthModule::LDAP::SearchUserPw2'} = 'SECRET';

        $Self->{'Customer::AuthModule::LDAP::Params2'} = {

            port => 389,

            timeout => 120,

            async => 0,

            version => 3,

    };



    $Self->{'Customer::AuthModule2::LDAP::Die'} = 1;

   

   

   

    #----------------------------------------------------------#

    #      UserSyncLDAPMap SUB DOMAENE               #

    #----------------------------------------------------------#   
    


## Auf die Nummerierung der Module achten. Zu Auth2 gehoert User2

    $Self->{CustomerUser2} = {

    	Name => 'SUB DOMAENE',

    	Module => 'Kernel::System::CustomerUser::LDAP',

    	Params => {

    		Host => 'IP',

    		BaseDN => 'dc=SUB,dc=XYZ,dc=intra',

    		SSCOPE => 'sub',

    		UserDN => 'OTRS@sub.xyz.intra',

    		UserPw => 'SECRET',

    	},

    	CustomerKey => 'sAMAccountName',

    	CustomerID => 'mail',

    	CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],

    	CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],

    	CustomerUserPostMasterSearchFields => ['mail'],

    	CustomerUserNameFields => ['givenname', 'sn'],

    	Map => [

    		# note: Login, Email and CustomerID needed!

    		# var, frontend, storage, shown, required, storage-type

    		[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],

    		[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],

    		[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],

    		[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],

    		[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],

    		[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],

    		[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],

    		# [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],

    		# [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],

    	],

    };

    #----------------------------------------------------------#
	
    #           XYZ SUB Ende     			       #

    #----------------------------------------------------------#

Znuny Open Source Ticketsystem

Kunden/Customer aus zwei AD´s [closed]

Kunden/Customer aus zwei AD´s [closed]

Re: Kunden/Customer aus zwei AD´s auslesen

Re: Kunden/Customer aus zwei AD´s auslesen

Re: Kunden/Customer aus zwei AD´s auslesen

Re: Kunden/Customer aus zwei AD´s auslesen

Re: Kunden/Customer aus zwei AD´s auslesen [gelöst]

Re: Kunden/Customer aus zwei AD´s auslesen [gelöst]

Re: Kunden/Customer aus zwei AD´s [nochfragen vorhanden]

Re: Kunden/Customer aus zwei AD´s [nochfragen vorhanden]

Re: Kunden/Customer aus zwei AD´s [nochfragen vorhanden]

Re: Kunden/Customer aus zwei AD´s [nochfragen vorhanden]

Re: Kunden/Customer aus zwei AD´s [nochfragen vorhanden]

Re: Kunden/Customer aus zwei AD´s [nochfragen vorhanden]

Re: Kunden/Customer aus zwei AD´s [nochfragen vorhanden]

Re: Kunden/Customer aus zwei AD´s [nochfragen vorhanden]

Re: Kunden/Customer aus zwei AD´s [closed]