Anbindung an 2 LDAPs

[mrm]

Ja, ich weiss, schonwieder ein Thema der Art. Forumsuche habe ich benutzt, leider nichts gefunden, was mir bei meinem "Problem" behilflich sein koennte.


Soll-Zustand:
User loggt sich ein, OTRS schaut in der DB, ob es den User gibt. Wenn nicht, frag LDAP1, wenn nicht frag LDAP2.

Ist-Zustand:
User loggt sich ein, OTRS schaut in der DB, ob es den User gibt. OTRS fragt LDAP1. OTRS fragt LDAP2. Wenn User auf LDAP1 gefunden, fragt er trotzdem noch LDAP2?

Der Zustand ist ziemlich unbefriedigend, weil LDAP Anfragen ja nicht gespart werden, obwohl die User in der DB stehen.

Rollen und Gruppen sollen via LDAP gesynct werden. Funktioniert auch prima, nur dass es ebenfalls bei jedem Login auf jeden LDAP geschieht.

Anbei mal meine (auf Grund von Wiederholungen) gekuerzte Config.pm:

Code: Select all

    $Self->{'AuthModule1'} = 'Kernel::System::Auth::DB';

    $Self->{'AuthModule2'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host2'} = '<Server>;
    $Self->{'AuthModule::LDAP::BaseDN2'} = '<BaseDN>;
    $Self->{'AuthModule::LDAP::UID2'} = '<UID>';
    $Self->{'AuthModule::LDAP::SearchUserDN2'} = '<UserDN>';
    $Self->{'AuthModule::LDAP::SearchUserPw2'} = '<PW>';
    $Self->{'AuthModule::LDAP::GroupDN2'} = '<GroupDN>;
    $Self->{'AuthModule::LDAP::AccessAttr2'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr2'} = 'DN';
    $Self->{'AuthModule::LDAP::Params2'} = { port => <port>, version => 3, scope => 'sub', };
    $Self->{'Customer::AuthModule::LDAP::Die2'} = '0';

    $Self->{'AuthModule3'} = $Self->{'AuthModule2'};
    $Self->{'AuthModule::LDAP::Host3'} = $Self->{'AuthModule::LDAP::Host2'};
    $Self->{'AuthModule::LDAP::BaseDN3'} = '<BaseDN3>';
    $Self->{'AuthModule::LDAP::UID3'} = $Self->{'AuthModule::LDAP::UID2'};
    $Self->{'AuthModule::LDAP::SearchUserDN3'} = $Self->{'AuthModule::LDAP::SearchUserDN2'};
    $Self->{'AuthModule::LDAP::SearchUserPw3'} = $Self->{'AuthModule::LDAP::SearchUserPw2'};
    $Self->{'AuthModule::LDAP::GroupDN3'} = $Self->{'AuthModule::LDAP::GroupDN2'};
    $Self->{'AuthModule::LDAP::AccessAttr3'} = $Self->{'AuthModule::LDAP::AccessAttr2'};
    $Self->{'AuthModule::LDAP::UserAttr3'} =  $Self->{'AuthModule::LDAP::UserAttr2'};
    $Self->{'AuthModule::LDAP::Params3'} = $Self->{'AuthModule::LDAP::Params2'};
    $Self->{'Customer::AuthModule::LDAP::Die3'} = '0';

    $Self->{'AuthSyncModule2'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host2'} = $Self->{'AuthModule::LDAP::Host2'};
    $Self->{'AuthSyncModule::LDAP::BaseDN2'} = $Self->{'AuthModule::LDAP::BaseDN2'};
#    $Self->{'AuthSyncModule::LDAP::BaseDN3'} = '<BaseDN3>';
    $Self->{'AuthSyncModule::LDAP::UID2'} = $Self->{'AuthModule::LDAP::UID2'};
    $Self->{'AuthSyncModule::LDAP::SearchUserDN2'} = $Self->{'AuthModule::LDAP::SearchUserDN2'};
    $Self->{'AuthSyncModule::LDAP::SearchUserPw2'} = $Self->{'AuthModule::LDAP::SearchUserPw2'};
    $Self->{'AuthSyncModule::LDAP::UserSyncMap2'} = { UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', };
    $Self->{'AuthSyncModule::LDAP::AccessAttr2'} = $Self->{'AuthModule::LDAP::AccessAttr2'};
    $Self->{'AuthSyncModule::LDAP::UserAttr2'} = $Self->{'AuthModule::LDAP::UserAttr2'};
    $Self->{'AuthSyncModule::LDAP::Params2'} = $Self->{'AuthModule::LDAP::Params2'};

    $Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition2'} = {
[...]
    $Self->{'AuthSyncModule::LDAP::UserSyncRolesDefinition2'} = {
[...]

Das ist sicher nicht so gewollt und ich hab mich sicherlich bei der Config verhaun.
Kann mir bitte jemand helfen?

MfG
M

[boris]

hilft das?
http://forums.otrs.org/viewtopic.php?f=17&t=7558

[mrm]

hallo,

nein, hilft mir hier nicht weiter. Konkret geht es mir um folgendes:

Code: Select all

Jan 26 10:59:36 otrs OTRS-CGI-10[2286]: [Notice][Kernel::System::Auth::DB::Auth] User: user authentication with wrong Pw!!! (REMOTE_ADDR: x.x.x.x)
Jan 26 10:59:36 otrs OTRS-CGI-10[2286]: [Notice][Kernel::System::Auth::LDAP::Auth] User: user (CN<domainname) authentication ok (REMOTE_ADDR: x.x.x.x).
Jan 26 10:59:36 otrs OTRS-CGI-10[2286]: [Notice][Kernel::System::User::UserUpdate] User: 'user' updated successfully (1)!
Jan 26 10:59:36 otrs OTRS-CGI-10[2286]: [Notice][Kernel::System::User::SetPassword] User: 'user' changed password successfully!
Jan 26 10:59:36 otrs OTRS-CGI-10[2286]: [Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: 'user' sync ldap groups CN=<gruppenname> to groups!
Jan 26 10:59:36 otrs OTRS-CGI-10[2286]: [Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: user not in GroupDN='<gruppenname>', Filter='<member-DN>'! (REMOTE_ADDR: x.x.x.x).
Jan 26 10:59:36 otrs OTRS-CGI-10[2286]: [Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: 'user' sync ldap groups CN=<gruppenname> to groups!
Jan 26 10:59:36 otrs OTRS-CGI-10[2286]: [Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: user not in GroupDN='<gruppenname>', Filter='<member-DN>'! (REMOTE_ADDR: x.x.x.x).
Jan 26 10:59:36 otrs OTRS-CGI-10[2286]: [Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: 'user' sync ldap groups CN=<gruppenname> to groups!
[...]

usw, bis dann die richtige Gruppe gefunden wurde.
Dies erscheint bei JEDEM Login des Benutzers, also bei jedem Login das falsche Passwort, bei jedem Login am LDAP authentifizieren, bei jedem Login Syncen.

Dein Tipp mit der Datenbank habe ich umgesetzt, also die Datenbank komplett entfernt.

Nun komm ich hier aber nicht weiter.
Hat noch jemand Tipps fuer mich?

Mfg
M.

[jojo]

das Verhalten ist so "korrekt". Läuft also alles wie designed...

[mrm]

Okay, warum synct er dann das Passwort nicht mit? Wenn er es updaten wuerde, so wie gesagt, wuerde zumindest die Authentifizierung gegen LDAP ueberfluessig sein.