$Self->{'AuthModule::LDAP::GroupDN'} - Problemchen

[boris]

Hi,

ich würde meine LDAP Anbindung gerne ein bißchen "tunen".

Das hier habe ich als Anleitun genommen:
http://forums.otrs.org/viewtopic.php?f= ... den#p28812

So sieht meine Config aus.

Code: Select all

        $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';

        $Self->{'AuthModule::LDAP::Host'} = 'IP';

        $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domäne,dc=local';

        $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

        $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

        $Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrsldap@domäne.local'; # hier könnte auch eine DN stehen!

        $Self->{'AuthModule::LDAP::SearchUserPw'} = 'Passwort123';

        # Pruefen ob der User/Agent Mitglied der Gruppe GS_OTRS_Agenten

        $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS_AGENTS,OU=domäne,OU=local';

        $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';



    ## Beim Sync gilt gleiches wie oben

        #---------------------------------------#

        # LDAP Konfiguration / Agent Sync to DB #

        #---------------------------------------#



        $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';

        $Self->{'AuthSyncModule::LDAP::Host'} = 'IP';

        $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=domäne,dc=local';

        $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';

        $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'otrsldap@domäne.local';

        $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Passwort123';

        $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '';

        $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {   

            'UserEmail' => 'mail',

            'UserFirstname' => 'givenName',

            'UserLastname' => 'sn',

            'UserLogin' => 'sAMAccountName'

        };

Das steht im log:

Code: Select all

[Thu Jan  6 10:54:16 2011][Error][Kernel::System::Auth::LDAP::Auth][276] Search failed! base='CN=OTRS_AGENTS,OU=domäne,OU=local', filter='(member=CN=Wagener\\, Boris,OU=Benutzer,OU=Administrative CPP Gruppe,DC=domäne,DC=local)', Success

Der User bin ich selber:-)
Ich bin in der OU und auch Mitglied der Gruppe OTRS_AGENTS

Kann mir einer sagen wo ich mich zu blöd stelle?

Edit:
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS_AGENTS,OU=domäne,OU=local';

ist die Reihenfolge von CN=* DC=* usw wichtig?
Hier passieren seltsame Dinge:-)

Und mal für mich zum entgültigen kapieren: Müssen die Agenten jetzt in der Datenbank stehen oder geht es komplett über ldap?

[boris]

nach vielen erfolglosen Teststunden sieht es so aus;
$Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=OTRS_AGENTS,OU=Administrative CPP Gruppe,DC=domäne,DC=local';

ich habe zwei Kollegen in die Datenbank eingetragen.
Einer ist in der Gruppe OTRS_AGENTS, der andere nicht.


# $Self->{'AuthModule'} = 'Kernel::System::Auth::DB';
# $Self->{'AuthModule::DB::CryptType'} = 'crypt';

ist auskommentiert.
Und es können sich beide anmelden.
Aber eigentlich sollte sich doch nur der anmelden können der in der Gruppe OTRS_AGENTS ist oder?

[garwen]

Die Zeile hast Du schon noch drin, oder ?

$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';

Die definiert nämlich, dass man Gruppenmember sein muss.

[boris]

ja ist drin.

$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host1'} = 'IP';
$Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=domäne,dc=local';
$Self->{'AuthModule::LDAP::UID1'} = 'samaccountname';
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
$Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=OTRS_AGENTS,OU=Administrative CPP Gruppe,DC=domäne,DC=local';
$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'otrsldap@domäne.local';
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'Passwort123';


$Self->{'UserSyncLDAPMap1'} = {
'UserEmail' => 'mail',
'UserFirstname' => 'givenName',
'UserLastname' => 'sn',
'UserLogin' => 'sAMAccountName'
};

ich hatte eben schon den Geistblitz dass
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
über
$Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=OTRS_AGENTS,OU=Administrative CPP Gruppe,DC=domäne,DC=local';
muss aber der kann sich trotzdem noch anmelden.

[garwen]

$Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=OTRS_AGENTS,OU=Administrative CPP Gruppe,DC=domäne,DC=local';

Hat es da wirklich Leerzeichen und Umlaute drin ? Das hat LDAP nämlich gar nicht gerne. Versuche es mal ohne Umlaute und ohne Leerzeichen.

[boris]

Leerzeichen ja, umlaute nein:-)
domäne is nur anonymisiert.

Muss die OU denn mit rein? Oder würde auch die Gruppe reichen?

[garwen]

Die muss mit rein. Sonst weiss LDAP ja nicht, wo schauen.
Verschieb die Gruppe mal in eine OU ohne Leerzeichen. Trau mich fast wetten, dass es dann funktioniert

[boris]

hmm geht nicht.
aber ich glaube dass ist ein Verständnis Problem bei mir...

Wenn ich beispielsweise als OU=Administrative CPP Gruppe nehme. Abgesehen von den Leerzeichen (ich bin nicht der AD Admin hier:-))
Dann werden doch alle OUs darunter mit abgefragt oder?
bei uns gibt es da drin dann noch Benutzer Gruppen und Serviceaccounts.

Die Gruppe "OTRS_AGENTS" und der Benutzer müssen doch nicht in der selben OU sein oder?

Da selbe will ich ja nachher auch für die Customer machen. Das sind bei uns Außendienstler in ganz Deutschland und pro Reginalbüro gibt es eine OU.

[garwen]

Du gibst hier eine spezifische Gruppe an, die abgefragt werden soll. LDAP sucht nach genau der Gruppe, die Du angibst.

CN=OTRS_Agent,OU=Helpdesk,DC=domainDC=local
ist nicht dasselbe wie
CN=OTRS_Agent,OU=Helpdesk,OU=Groups,OU=Standort,dc=domain,DC=local

Du musst den kompletten "distinguishedName" angeben. Wenn Du den nicht kennst, frag Deinen AD Admin oder lad dir einen LDAP Browser (z.B. LDAP Browser 2.6 von Softerra) und guck selber nach

[boris]

den hab ich schon:-)
Admin Zugriff auf AD hab ich auch, aber ich will da nichts ändern ohne das abzuprechen. Sowas wie Leerzeichen:-)

Also wenn ich es jetzt richtig verstanden habe muss ich es bis auf die letzte OU runterbrechen?
In meinem Fall dann:
CN=OTRS_Agent,OU=Administrative CPP Gruppe,OU=Benutzer,dc=domain,DC=local

oder würde
CN=OTRS_Agent,OU=Administrative CPP Gruppe,dc=domain,DC=local
die
CN=OTRS_Agent,OU=Administrative CPP Gruppe,OU=Benutzer,dc=domain,DC=local
mit einbeziehen weil "OU=Benutzer" der "OU=Administrative CPP Gruppe" untergeordnet ist?

Und die Gruppe selber kann in einer anderen OU liegen oder?

[jojo]

LDAP Gruppen werden von Rechts nach links gelesen. d.h. Untergruppen sollten im DN weiter links stehen.

Der Filter: GroupDN im OTRS kann nur genau eine Gruppe und dient dazu, das nur bestimmte User sich anmelden dürfen. Der Suchpfad wird über die BaseDN angegeben

[boris]

So siehts jetzt aus:

Code: Select all

$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host1'} = 'IPAdresse';
$Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=Domäne,dc=local';
$Self->{'AuthModule::LDAP::UID1'} = 'samaccountname';
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
$Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=OTRS_AGENTS,OU=Benutzer,OU=Administrative CPP Gruppe,DC=COMPASS,DC=local';
$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'otrsldap@domäne.local';
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'Passwort123';

Ein Kollege ist mein Versuchskaninchen. Der ist mit seinem Konto in der OU "OU=Benutzer,OU=Administrative CPP Gruppe" aber nicht in der Gruppe "CN=OTRS_AGENTS" und nicht in der DB. Und er kann sich anmelden:-(
Hab ich irgendwo noch einen Fehler eingebaut oder es immer noch nicht gerafft?
Services sind neu gestartet und RebuildConfig ist auch mal gelaufen.

[jojo]

Ich sehe Du hast das als Auth Module 1 konfiguriert, warum? Solltest Du kein anderes Auth Modul konfiguriert haben, so ist automatisch die DB ebenfalls Auth Modul. Wenn Dein Kollege bereits in der Datenbank ist, kann er sich anmelden.

[boris]

es gibt mehrere Module, wir haben 4 Firmen.
DB Authentifizerung hab ich auskommentiert,

Code: Select all

#   $Self->{'AuthModule10'} = 'Kernel::System::Auth::DB';
#   $Self->{'AuthModule::DB::CryptType10'} = 'crypt';

aber er steht auch mittlerweile in der DB.
Wenn ich nicht ganz verpeilt bin ja wegen:

Code: Select all

     $Self->{'UserSyncLDAPMap1'} =  {
     'UserEmail' => 'mail',
     'UserFirstname' => 'givenName',
     'UserLastname' => 'sn',
     'UserLogin' => 'sAMAccountName'
    };

Aber wenn die DB Authentifizerung doch auskommentiert ist dürfte er sich doch trotzdem nicht anmelden können oder?

Im Anhang ist die komplette LDAP Anbindung aller 4 Firmen


Update: Ich hab eben mal einen anderen Kollegen zwangsverpflichtet. der ist in der "CN=OTRS_AGENTS" aber nicht id der DB.
Der kann sich jetzt nicht anmelden:
[Thu Jan 6 16:22:01 2011][Notice][Kernel::System::User::GetUserData] Panic! No UserData for user: 'name'

Ode rleigt da da dran dass die Gruppe "OTRS_AGENTS" nicht in der selben OU leigt wie die User selber?

[jojo]

konfiguriere bitte AuthModule1 um in AuthModule (also überall die 1 entfernen). Die Datenbank ist in der Defaults.pm als AuthModule konfiguriert, von daher aktiv.

[boris]

wir kommen der Sache näher.

Kollege ist in der OU in der CN aber nicht in der DB.
Kann sich aber auch nicht anmelden:

[Thu Jan 6 16:47:20 2011][Error][Kernel::System::User::UserLookup][763] No UserID found for 'name'!
[Thu Jan 6 16:47:20 2011][Error][Kernel::System::User::UserLookup][763] No UserID found for 'name'!
[Thu Jan 6 16:47:20 2011][Notice][Kernel::System::User::GetUserData] Panic! No UserData for user: 'name'!!!

[garwen]

Ergänze mal die Domäne, in der Dein Kollege einloggen soll mit folgendem

Code: Select all

$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = 'otrsserver1';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=domain, dc=local';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=ldapuser,cn=users,dc=domain,dc=local';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'password';
$Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '';
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };
$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];

[boris]

Hab ich gemacht hat auch nicht geholfen.
Ich hab mir einen Testuser angelegt, der ist in der OU und in der CN aber nicht in der OTRS DB und der kann sich auch nicht einloggen.

konfiguriere bitte AuthModule1 um in AuthModule (also überall die 1 entfernen). Die Datenbank ist in der Defaults.pm als AuthModule konfiguriert, von daher aktiv.

Das hab ich auch gemacht.
Müssen die Agenten in der DB stehen oder nicht?
Die Authentifizierung über die DB ist ja dann mit entfernen der 1 "ausgeschaltet".
Kann sich mein Testuser nicht anmelden weil er nicht in der DB ist?

[boris]

Hi,

ich schon wieder,

Das steht im log:
[Mon Jan 10 13:23:23 2011][Error][Kernel::System::Auth::LDAP::Auth][276] Search failed! base='CN=OTRS_AGENTS,OU=Benutzer,OU=Administrative CPP Gruppe,DC=Domain,DC=local', filter='(member=CN=Test User,OU=Benutzer,OU=Administrative CPP Gruppe,DC=Domain,DC=local)', Success

Der User ist in unserer Admin OU.

Kann mir mal jemand die Fehlermeldung erklären?
Auch von wegen Success.

[boris]

So ich hab mein Testsystem nochmal neu aufgesetzt, um auszuschleissen dass ich bei der ganzen batselei was kaputt gemacht hab.

Config.pm sieht so aus (aus dem Handbuch):

Code: Select all

    
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = '10.1.8.16';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=Domain,dc=local';
$Self->{'AuthModule::LDAP::UID'} = 'samaccountname';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS_AGENTS,OU=Benutzer,OU=Administrative CPP Gruppe,DC=COMPASS,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrsldap@domain.local';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'Passwort123';

$Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

$Self->{'AuthModule::LDAP::Params'} = {
    port => 389,
    timeout => 120,
    async => 0,
    version => 3,
};

    $Self->{AuthSyncModule} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = '10.1.8.16';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=Compass,dc=local';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';

Log:
[Mon Jan 10 14:58:48 2011][Error][Kernel::System::Auth::LDAP::Auth][276] Search failed! base='CN=OTRS_AGENTS,OU=Benutzer,OU="Administrative CPP Gruppe",DC=Domain,DC=local', filter='(member=CN=Wagener\\, Boris,OU=Benutzer,OU=Administrative CPP Gruppe,DC=Domain,DC=local)', Success
[Mon Jan 10 14:58:48 2011][Error][Kernel::System::User::UserLookup][746] No UserID found for 'b.wagener'!


Der User bin ich selbst:-)
Ich bin in den OUs und in der CN.

Mich irritiert das "Success" ein bißchen was will es von mir?

[boris]

Sind euch die Ideen genauso ausgegangen wie mir?

[boris]

Ich hab nochmal ein bißchen rumprobiert.
Mein Fehler liegt definitiv in der Zeile:
$Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=IT-Abteilung,CN=Users,DC=COMPASS,DC=local';

Wenn ich die auskommentiere geht es. Also hab ich doch wahrscheinlich den String falsch aufgebaut.
Wenn ich mit dem LDAP-Browser meinen Benutzer angucke steht unter inem der memberOf:
CN=IT-Abteilung,CN=Users,DC=COMPASS,DC=local

ich hab mich selbst auch als Agent im OTRS angelegt.
Wenn ich mich mit dem da vergebenen Passwort einlogge gehts.
Wenn ich mein AD Passwort eingebe sagt das log:
[Tue Jan 11 11:11:31 2011][Notice][Kernel::System::Auth::DB::Auth] User: b.wagener authentication with wrong Pw!!!

Wenn ich die GROUPDN Zeile auskommentiere gehts auch mit AD Passwort...

[boris]

Boah wie doof.

Vergesst alles. War ja klar dass ich mich nur zu doof gestellt hab.
$Self->{'AuthModule::LDAP::GroupDN1'} muss man ja nur wörtlich nehmen.... die DN der Gruppe nehmen und nicht die des Users.

[KhaledBlah]

Danke für diese Anleitung! Ohne den "LDAP to DB sync" Teil bekam ich diese Fehlermeldung:

Code: Select all

Panic, user authenticated but no user data can be found in OTRS DB!! Perhaps the user is invalid

HTH

[boris]

Agenten müssen in den der Datenbank eingetragen werden.