Kunden an Customer.pl anmeldung nicht möglich

[fossil]

Hallo zusammen,

als erstes einmal hallo und danke für das SUPER Forum und OTRS ist der Wahnsinn!!!!

Dennoch bin ich nun an meine Grenzen gestoßen, ich habe es geschaft via LDAP-Abfrage die Kunden im Admin Bereich zu syncronisieren. Der "Test"- Kunde kann sich leider nicht am Kundenportal anmelden.
Es kommt die klassische Meldung: "Anmeldung fehlgeschlagen! Benutzername oder Passwort wurden falsch eingegeben." Benutzer wie auch das PW sind richtig.
Im Apache-Log finde ich keine Meldung zum Anmeldeversuch.

Hier mal das Schnippsel das mich 5 Jahre meines Lebens gekostet hat

Code: Select all

   # ---------------------------------------------------- #
    # Agents  Active Directory Login                       #
    # ---------------------------------------------------- #
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'xxx.xxx.xxx.de';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=xxx,dc=xxx,dc=de';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    $Self->{'AuthModule::LDAP::GroupDN'} = 'ou=xxx,dc=xxx,dc=xxx,dc=de';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'xxxxx\xxxxxx';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'xxxxxxxx';

    $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

    $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    };

    # Now sync data with OTRS DB
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'xxx.xxx.xxx.de';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=xxx,dc=xxx,dc=de';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'xxxxxx\xxxxxx';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'xxxxxx';

    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };

    # AuthSyncModule::LDAP::UserSyncInitialGroups
    # (sync following group with rw permission after initial create of first agent
    # login)
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];

## Der gehoert zum Agent login und definiert, dass eine LDAP Abfrage
## abgebrochen wird, wenn der Server nicht antwortet.

    $Self->{'AuthModule::LDAP::Die'} = 1;

					##----------------------------------#
					##   Ende Authentifizierung Agenten #
					##----------------------------------#

    #-----------------------------------------------------------#
    #  Auth Kunden via LDAP                                        #
    #-----------------------------------------------------------#

    # LDAP Customer #
        $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
        $Self->{'Customer::AuthModule::LDAP::Host'} = 'xxxxxx';
        $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'DC=xxxxxx,DC=xxxxxx,DC=de';
        $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
		$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'OU=xxxxxx,DC=xxxxxx,DC=xxxxxx,DC=de';
		$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';
        $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'xxxxxx\xxxxxx';
        $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'xxxxxx';
        $Self->{'Customer::AuthModule::LDAP::Params'} = {
            port => 389,
            timeout => 120,
            async => 0,
            version => 3,
    };

    #----------------------------------------------------------#
    # UserSyncLDAPMap DE                                       #
    #----------------------------------------------------------#   
  
## Sync macht man nur fuer Agenten. Die Customer werden aktiv aus dem LDAP gelesen.
##    $Self->{'UserSyncLDAPMap'} =  {
##      'UserEmail' => 'mail',
##      'UserFirstname' => 'givenName',
##      'UserLastname' => 'sn',
##      'UserLogin' => 'sAMAccountName'
##    };     

    $Self->{CustomerUser} = {
       Name => 'Active Directory',
       Module => 'Kernel::System::CustomerUser::LDAP',
       Params => {
          Host => 'xxxxxx',
          BaseDN => 'ou=xxxxxx,dc=xxxxxx,dc=xxxxxx,dc=de',
          SSCOPE => 'sub',
          UserDN => 'xxxxxx\xxxxxx',
          UserPw => 'xxxxxx',
       },

       CustomerKey => 'sAMAccountName',
       CustomerID => 'mail',
       CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
       CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
       CustomerUserPostMasterSearchFields => ['mail'],
       CustomerUserNameFields => ['givenname', 'sn'],
       Map => [
          # note: Login, Email and CustomerID needed!
          # var, frontend, storage, shown, required, storage-type
          [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
          [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
          [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
          [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
          [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
          [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
          [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
          # [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
          # [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
       ],

    };

Aus dem Admin-Buch habe ich entnommen, dass der Kunde der in der Übersicht liegt, sich eigentlich auch dann am Customer-Site anmelden. Zur Info: Ich habe keine Gruppen oder Rollen bisher angelegt.
Könntet Ihr mir hier etwas unterstützen und aufklären wie hier die Abhängikeiten sind!? Wäre SUPER!!!

MfG, fossil

[boris]

Im OTRS log steht woran es liegt.
Der Fehler kommt auch wenn das nicht stimmt:

Code: Select all

$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'OU=xxxxxx,DC=xxxxxx,DC=xxxxxx,DC=de';

so auf den ersten Blick würde ich sagen es muss so aussehen

Code: Select all

$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'CN=wasauchimmer,OU=xxxxxx,DC=xxxxxx,DC=xxxxxx,DC=de';

Also der DN der Gruppe in der die User sein müssen.

Ansonsten guck mal hier:

http://forums.otrs.org/viewtopic.php?f=17&t=7558

[fossil]

Super, danke...

werde mir dass mal ansehen. Aber noch eine Frage zu der "CN=" $Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=otrsagents ist "OTRSAGENT" nur ein "Benutzer" im AD oder soll das als SicherheitsGruppe angelegt und mit den entsprechenden Usern als Mitglied angeheftet werden, die dann auch als Agents im OTRS geführt werden?

MfG, fossil

[boris]

Oh hab was übersehen:
$Self->{'AuthModule::LDAP::GroupDN1'}
die 1 hinter GroupDN muss weg.

CN=otrsagents ist "OTRSAGENT"

Wirf nicht customer und Agents durcheinander;-)

Bei mir ist es eine Globale Verteilungs Gruppe, also ja, es soll eine Gruppe angelegt werden.

Guck mal hier:

http://www.selfadsi.de/ldap-path.htm#DNs
http://www.selfadsi.de/bind.htm
http://www.selfadsi.de/search.htm

Da wird klarer was gemeint ist

[fossil]

Oki,

hab nun diese Vorlage verwendet. Nun ist es so, dass ich mich jetzt als Agent (bisher nur der root@localhost nach neuinstallation hinterlegt) mit anmelden kann, obwohl ich in der OTRS-AGENTS Gruppe hinterlegt bin (Fehlermeldung: Panic, user authenticated but no user data can be found in OTRS DB!! Perhaps the user is invalid.)
ApacheLog:

Code: Select all

 Message: No UserID found for 'Domain-UserX'!

 Traceback (2508): 
   Module: Kernel::System::User::UserLookup (v1.111) Line: 746
   Module: Kernel::System::Auth::Auth (v1.49) Line: 258
   Module: Kernel::System::Web::InterfaceAgent::Run (v1.58) Line: 201
   Module: ModPerl::ROOT::ModPerl::Registry::D_3a_OTRS_OTRS_bin_cgi_2dbin_index_2epl::handler (unknown version) Line: 48
   Module: (eval) (v1.88) Line: 204
   Module: ModPerl::RegistryCooker::run (v1.88) Line: 204
   Module: ModPerl::RegistryCooker::default_handler (v1.88) Line: 170
   Module: ModPerl::Registry::handler (v1.99) Line: 31

Die Meldung ist zwar klar, da ich noch garnicht in der DB hinterlegt bin Aber das sollte doch über die LDAP-Gruppe auth. werden?!

Das mit der Kunden-Anmeldung funktioniert!!! VIELEN DANK!!!

Wäre um einen kleinen Tipp sehr dankbar!

[boris]

Soweit ich weiss müssen Agents in der Datenbank hinterlegt sein.
Oder sagen wir mal so... ich hab es noch nicht so hinbekommen dass die Agents nicht in der DB sein müssen.

Man möge mich korrigieren:-)

[fossil]

Hallo Boris,
okay danke für den Tipp, fand bisher auch nichts dazu.
Für die zwei AgentUser habe ich es nun manuell angelegt, dies funktioniert nun auch.

Ich hätte aber noch ein weiteres Problem mit dem AlwaysFilter. Da ich am liebsten nicht AlwaysFilter => '', verwenden möchte, zuviele Members in der Customerübersicht die nicht dort hinein gehören, wollte ich es so auslegen:
BaseDN => 'DC=xxxxxx,DC=xxxxxx,DC=de',
SSCOPE => 'sub',
AlwaysFilter => '(&(objectCategory=person)(objectClass=user)(memberOf=CN=OTRS-Customers,OU=xxxxxx,DC=xxxxxx,DC=xxxxxx,DC=de))',

Nur ist hier das Ergebnis Null Diese Suchfunktion ist eigentlich auch möglich, aus der obersten Ebene, mit LDAPAdmin schon getestet, hier gibt er mir die entsprechenden User zurück die in der Gruppe OTRS-Customers sind.
Mir kommt es so vor als wenn der SSCOPE: 'sub' nicht in den Tree suchen kann, warum acuh immer!? Dies sollte er doch aber mit sub.

Im Forum habe ich dazu kein wirkliches Ergebnis finden können. Hat jemand einen brauchbaren Filter schon mal gesetzt der die Gruppe mit "memberOf" ausliest? Oder wie habt Ihr das besser gelöst?

MfG, fossil

[boris]

ich glaub eher so

AlwaysFilter => '(&(objectCategory=person)(objectClass=user)(memberOf=(CN=OTRS-Customers,OU=xxxxxx,DC=xxxxxx,DC=xxxxxx,DC=de)))',

käm aber auf eine Versuch an

[fossil]

Hi Boris,

danke für den Denkanstoß, leider auch ohne Erfolg...
Vielleicht mal noch als Zusatzinfo: Ich habe hier 3 OUs in denen Benutzer abgelegt sind, daher dachte ich mir um den Schreibaufwand etwas geringer zu halten, wollte ich eben diese Groupe verwenden als Attribut für die berechtigten Kunden.

Wenn es über den Filter nicht geht, gibt es eine andere elgante Lösung?
Denn ein (objectCategory=person)(objectClass=user) sollte eigentlich nur User zurückgeben und keine Verteiler, was aber auch nicht funktionierte... Planlos im PERL & OTRS

MfG, fossil

[boris]

(objectCategory=person) hab ich bei mir auch drin. Das funktioniert auch.

[fossil]

Hi,
ich habe nun so einiges probiert, aber es will mit dieser Einstellung einfach nicht.
Die OU des OTRS-Customers lautet anders als die der Customers so in etwa:

Code: Select all

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
        $Self->{'Customer::AuthModule::LDAP::Host'} = 'xxxxxx';
        $Self->{'Customer::AuthModule::LDAP::BaseDN'} ='OU=BenutzerGruppeA,DC=xxxxxx,DC=xxxxxx,DC=de'; 
        $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
		$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'CN=OTRS-Customers,OU=Verwaltungsbereich,DC=xxxxxx,DC=xxxxxx,DC=de';
		$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member'; 
        $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'CN=OTRS-Searcher,OU=Verwaltungsbereich,DC=xxxxxx,DC=xxxxxx,DC=de';
        $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'xxxxxx';
		$Self->{'Customer::AuthModule::LDAP::Params'} = {
            port => 389,
            timeout => 120,
            async => 0,
            version => 3,
			};

Hab so eingestellt für UserSyncLDAPMap :

Code: Select all

    $Self->{CustomerUser} = {
    Name => 'MEINS',
    Module => 'Kernel::System::CustomerUser::LDAP',
	Params => {
    Host => '192.168.113.1',
    BaseDN => 'DC=xxxxxx,DC=xxxxxx,DC=de',
    SSCOPE => 'sub',
    UserDN => 'CN=OTRS-Searcher,OU=Verwaltungsbereich,DC=xxxxxx,DC=xxxxxx,DC=de',
    UserPw => 'xxxxxx',

KEINE OUTPUT

Versuch1	AlwaysFilter =>  '(&(objectCategory=person)(objetClass=user)(memberof=CN=OTRS-Customers,OU=Verwaltungsbereich,DC=xxxxxx,DC=xxxxxx,DC=de))',
Versuch2	AlwaysFilter =>  '(&(objectCategory=person)(objetClass=user)(memberOf=CN=OTRS-Customers,OU=Verwaltungsbereich,DC=xxxxxx,DC=xxxxxx,DC=de))',
Versuch3	AlwaysFilter =>  '(&(objectCategory=person)(objetClass=user)(memberof=(CN=OTRS-Customers,OU=Verwaltungsbereich,DC=xxxxxx,DC=xxxxxx,DC=de)))',
Versuch4	AlwaysFilter =>  '(&(objectCategory=person)(objetClass=user)(memberOf=(CN=OTRS-Customers,OU=Verwaltungsbereich,DC=xxxxxx,DC=xxxxxx,DC=de)))',
Versuch5	AlwaysFilter =>  '(&(objectCategory=person)(objetClass=user)(memberof=CN=OTRS-Customers))',

MIT OUTPUT
Versuch6	AlwaysFilter =>  '(&(objectCategory=person)(objetClass=user))', -> hier kommen dann wieder alle rein, die ich aber nicht möchte :(
Versuch7	AlwaysFilter => '',

Im Debug-Log konnte ich nur etwas mit einer Bad filtermeldung finden, aber nicht wirklich aussagekräftig:

Code: Select all

Message: Bad filter

 Traceback (2728): 
   Module: Kernel::System::CustomerUser::LDAP::CustomerSearch (v1.60) Line: 344
   Module: Kernel::System::CustomerUser::CustomerSearch (v1.61) Line: 178
   Module: Kernel::Modules::AdminCustomerUser::_Overview (v1.87) Line: 518
   Module: Kernel::Modules::AdminCustomerUser::Run (v1.87) Line: 466
   Module: Kernel::System::Web::InterfaceAgent::Run (v1.58) Line: 838
   Module: ModPerl::ROOT::ModPerl::Registry::D_3a_OTRS_OTRS_bin_cgi_2dbin_index_2epl::handler (unknown version) Line: 48
   Module: (eval) (v1.88) Line: 204
   Module: ModPerl::RegistryCooker::run (v1.88) Line: 204
   Module: ModPerl::RegistryCooker::default_handler (v1.88) Line: 170
   Module: ModPerl::Registry::handler (v1.99) Line: 31

Debug: Config.pm ->Get('Home') --> XXXX/XXXXX/OTRS/OTRS
Debug: Config.pm ->Get('Loader::Enabled::JS') --> 1
Debug: Config.pm ->Get('Loader::Agent::CommonJS') --> HASH(0x897af9c)
Debug: Config.pm ->Get('Frontend::ToolBarModule') --> HASH(0x8b0635c)
Debug: Config.pm ->Get('Frontend::Module') --> HASH(0x8972114)
Debug: Config.pm ->Get('NewTicketInNewWindow::Enabled') --> 0
Debug: Config.pm ->Get('Secure::DisableBanner') --> <undef>
Debug: Config.pm ->Get('Product') --> OTRS
Debug: Config.pm ->Get('Product') --> OTRS
Debug: Config.pm ->Get('Version') --> 3.0.4
Debug: Config.pm ->Get('Version') --> 3.0.4
Debug: Config.pm ->Get('Frontend::JavaScriptPath') --> /otrs-web/js/
Debug: Config.pm ->Get('Frontend::JavaScriptPath') --> /otrs-web/js/
Debug: Config.pm ->Get('Frontend::JavaScriptPath') --> /otrs-web/js/
Debug: Config.pm ->Get('Frontend::JavaScriptPath') --> /otrs-web/js/
Debug: Config.pm ->Get('SessionName') --> Session
Debug: Config.pm ->Get('SessionName') --> Session
Debug: Config.pm ->Get('CustomerPanelSessionName') --> CSID
Debug: Config.pm ->Get('CustomerPanelSessionName') --> CSID
Debug: Config.pm ->Get('Frontend::ImagePath') --> /otrs-web/skins/Agent/default/img/
Debug: Config.pm ->Get('Frontend::ImagePath') --> /otrs-web/skins/Agent/default/img/
Debug: Config.pm ->Get('CheckEmailAddresses') --> 1
Debug: Config.pm ->Get('CheckEmailAddresses') --> 1
Debug: Config.pm ->Get('Frontend::AnimationEnabled') --> 1
Debug: Config.pm ->Get('Frontend::AnimationEnabled') --> 1
Debug: Config.pm ->Get('OpenMainMenuOnHover') --> 0
Debug: Config.pm ->Get('OpenMainMenuOnHover') --> 0
Debug: Config.pm ->Get('Ticket::Frontend::HTMLArticleHeightDefault') --> 100
Debug: Config.pm ->Get('Ticket::Frontend::HTMLArticleHeightDefault') --> 100
Debug: Config.pm ->Get('Ticket::Frontend::HTMLArticleHeightMax') --> 2500
Debug: Config.pm ->Get('Ticket::Frontend::HTMLArticleHeightMax') --> 2500
Debug: Config.pm ->Get('PerformanceLog') --> 0
Debug: Config.pm ->Get('TimeZone') --> <undef>

Bekomme schon graue Haare

[boris]

hab noch was gefunden:
http://technet.microsoft.com/en-us/libr ... 65%29.aspx

vielleicht hilft dir das weiter.
Ansonsten muss ich auch passen.

Oder kannst du die anderen User durch irgendein Attribut ausschliessen?
z.B.

Code: Select all

AlwaysFilter =>  '(&(objectCategory=person)(!(mail=*@xyz.de)))

Also alle die personen sind und bei denen die Mailadresse nicht *@xyz.de ist

[fossil]

Hi Boris, habs gefunden! Es lang nicht am Subtree-search oder die Perlsuchfunktion,es war der User OTRS Search,dieser konnte nicht das Attribut memberof im AD auslesen,erst mit einem anderen User konnte ich es,werde morgen sagen welche Rechte benötigt wer! Danke schon mal für deine Unterstützung!!! MfG fossil

[fossil]

Hi alle zusammen,

hier mal meine kleine Zusammenfassung für den AlwaysFilter, der für die Verwendung des UserSyncLDAPMap um nur die LDAP Benutzer mit dem OTRS zu syncronisieren, wie z.B. so:

Code: Select all

AlwaysFilter =>  '(&(objectCategory=person)(objectClass=user)(memberOf=CN=OTRS-Customers,OU=xxxxxxxxxx,DC=xxxxxxxxxx,DC=xxxxxxxxxx,DC=de))',

Benötigt der OTRS-Searcher User zwingend für das "memberOf" Attribut, dass bei jedem User hinterlegt ist, wenn dieser in der Sicherheitsgruppe "OTRS-Customers" Mitglieder ist das Recht:
"pre 2000 compatible users group" + "Domain-User" + "Windows-Autorisierungszugriffsgruppe"

Somit können alle Attribute, je nach dem was gewünscht ist gefiltert werden!

Boris,

nochmals einen großen Dank für deine Denkanstöße!

MfG, fossil

[boris]

Freut mich wenn es dir ein paar graue Haare erspart hat

[fossil]

Hi,

wie kann man diesen Beitrag schließen lassen bei Status "erledigt"?

MfG, fossil