LDAP - Agenten login nicht möglich !

[schweinchendick]

http://web-srv02/otrs/customer.pl - Anmeldung als Kunde mit Benutzer "PeterMueller" in AD Gruppe otrs_benutzer erfolgreich

http://web-srv02/otrs/index.pl - Anmeldung als Kunde mit Benutzer "PeterMueller" in AD Gruppe otrs_uhd schlägt mit folgendem Fehler fehl:

Panic, user authenticated but no user data can be found in OTRS DB!! Perhaps the user is invalid.

Hier der Auszug aus dem OTRS Logfile:

[Wed Jan 26 10:44:22 2011][Notice][Kernel::System::Auth::DB::Auth] User: PeterMueller doesn't exist or is invalid!!! (REMOTE_ADDR: 144.15.128.14)
[Wed Jan 26 10:44:22 2011][Notice][Kernel::System::Auth::LDAP::Auth] User: PeterMueller (CN=Peter Mueller,OU=99.Administration,DC=ausb,DC=local) authentication ok (REMOTE_ADDR: 144.15.128.14).
[Wed Jan 26 10:44:22 2011][Error][Kernel::System::User::UserLookup][746] No UserID found for 'PeterMueller'!
[Wed Jan 26 10:44:22 2011][Error][Kernel::System::User::UserLookup][746] No UserID found for 'PeterMueller'!
[Wed Jan 26 10:44:22 2011][Notice][Kernel::System::User::GetUserData] Panic! No UserData for user: 'PeterMueller'!!!

Hier der Auszug aus dem Apache Logfile:

ERROR: OTRS-CGI-10 Perl: 5.12.2 OS: MSWin32 Time: Wed Jan 26 10:44:22 2011

Message: No UserID found for 'PeterMueller'!

Traceback (3008):
Module: Kernel::System::User::UserLookup (v1.111) Line: 746
Module: Kernel::System::Auth::Auth (v1.49) Line: 197
Module: Kernel::System::Web::InterfaceAgent::Run (v1.58) Line: 201
Module: ModPerl::ROOT::ModPerl::Registry::D_3a_OTRS_OTRS_bin_cgi_2dbin_index_2epl::handler (unknown version) Line: 45
Module: (eval) (v1.89) Line: 204
Module: ModPerl::RegistryCooker::run (v1.89) Line: 204
Module: ModPerl::RegistryCooker::default_handler (v1.89) Line: 170
Module: ModPerl::Registry::handler (v1.99) Line: 31

ERROR: OTRS-CGI-10 Perl: 5.12.2 OS: MSWin32 Time: Wed Jan 26 10:44:22 2011

Message: No UserID found for 'PeterMueller'!

Traceback (3008):
Module: Kernel::System::User::UserLookup (v1.111) Line: 746
Module: Kernel::System::Auth::Auth (v1.49) Line: 258
Module: Kernel::System::Web::InterfaceAgent::Run (v1.58) Line: 201
Module: ModPerl::ROOT::ModPerl::Registry::D_3a_OTRS_OTRS_bin_cgi_2dbin_index_2epl::handler (unknown version) Line: 45
Module: (eval) (v1.89) Line: 204
Module: ModPerl::RegistryCooker::run (v1.89) Line: 204
Module: ModPerl::RegistryCooker::default_handler (v1.89) Line: 170
Module: ModPerl::Registry::handler (v1.99) Line: 31

Und hier noch der LDAP Ausschitt aus meiner Config.pm

Code: Select all

								#----------------------------------------------------------#
								#                                                          #
								#        LDAP Authentifizierung Agenten und Customer       #
								#                                                          #
								#----------------------------------------------------------#
   #$Self->{'AuthModule10'} = 'Kernel::System::Auth::DB';
   #$Self->{'AuthModule::DB::CryptType10'} = 'crypt';
#------------------------------------------------------------------------------------------------------------------------------#
#                                     Authentifizierung Agenten via LDAP (AD) Firma                                            #
#------------------------------------------------------------------------------------------------------------------------------#
	$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
	$Self->{'AuthModule::LDAP::Host1'} = 'ausb-srv01';
	$Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=ausb,dc=local';
	$Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
	$Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=otrs_uhd,OU=Dienstkonten,DC=ausb,DC=local';
	$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
	$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
	$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'CN=otrs_ldap,OU=Dienstkonten,DC=ausb,DC=local';
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'Start123';

     $Self->{'UserSyncLDAPMap1'} =  {
     'UserEmail' => 'mail',
     'UserFirstname' => 'givenName',
     'UserLastname' => 'sn',
     'UserLogin' => 'sAMAccountName'
	};
#------------------------------------------------------------------------------------------------------------------------------#
#                                                            Customer                                                          #
#------------------------------------------------------------------------------------------------------------------------------#
        $Self->{'Customer::AuthModule1'} = 'Kernel::System::CustomerAuth::LDAP';
        $Self->{'Customer::AuthModule::LDAP::Host1'} = 'ausb-srv01';
        $Self->{'Customer::AuthModule::LDAP::BaseDN1'} ='dc=ausb,dc=local';
        $Self->{'Customer::AuthModule::LDAP::UID1'} = 'sAMAccountName';
		$Self->{'Customer::AuthModule::LDAP::GroupDN1'} = 'CN=otrs_benutzer,OU=Dienstkonten,DC=ausb,DC=local';
		$Self->{'Customer::AuthModule::LDAP::AccessAttr1'} = 'member';
        $Self->{'Customer::AuthModule::LDAP::SearchUserDN1'} = 'CN=otrs_ldap,OU=Dienstkonten,DC=ausb,DC=local';
        $Self->{'Customer::AuthModule::LDAP::SearchUserPw1'} = 'Start123';
		$Self->{'Customer::AuthModule::LDAP::Params1'} = {
            port => 389,
            timeout => 120,
            async => 0,
            version => 3,
			};
#------------------------------------------------------------------------------------------------------------------------------#
#                                                       LDAP System Users                                                      #
#------------------------------------------------------------------------------------------------------------------------------#
        $Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
        $Self->{'AuthModule::LDAP::Host1'} =  'ausb-srv01';
        $Self->{'AuthModule::LDAP::BaseDN1'} =  'DC=ausb,DC=local';
        $Self->{'AuthModule::LDAP::UID1'} =  'sAMAccountName';
        $Self->{'AuthModule::LDAP::SearchUserDN1'} =  'CN=otrs_ldap,OU=Dienstkonten,DC=ausb,DC=local';
        $Self->{'AuthModule::LDAP::SearchUserPw1'} =  'Start123';
        $Self->{'AuthModule::LDAP::Params1'} =  {
              'async' => '0',
              'timeout' => '120',
              'version' => '3',
              'port' => '389'
			};

		$Self->{'AuthModule::LDAP::Die1'} = 1;
#------------------------------------------------------------------------------------------------------------------------------#
#                                                           UserSyncLDAPMap                                                    #
#------------------------------------------------------------------------------------------------------------------------------#
      $Self->{'UserSyncLDAPMap1'} =  {
      'UserEmail' => 'mail',
      'UserFirstname' => 'givenName',
      'UserLastname' => 'sn',
      'UserLogin' => 'sAMAccountName'
    };      

    $Self->{CustomerUser1} = {
    Name => 'Firma Customer',
    Module => 'Kernel::System::CustomerUser::LDAP',
	Params => {
    Host => 'ausb-srv01',
    BaseDN => 'DC=ausb,DC=local', 
    SSCOPE => 'sub',
    UserDN => 'CN=otrs_ldap,OU=Dienstkonten,DC=ausb,DC=local',
    UserPw => 'Start123',
    },
    CustomerKey => 'sAMAccountName',
    CustomerID => 'mail',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
	CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
	CustomerUserSearchListLimit => 1000,

    Map => [
    [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
    [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
    [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
    [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
    [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
    ],
    };
#------------------------------------------------------------------------------------------------------------------------------#
#                                                     Firma Ende                                                               #
#------------------------------------------------------------------------------------------------------------------------------#

In verschiendenen topics wird darüber diskutiert das man wohl die Agenten "händisch" in die OTRS DB eintragen muss etc. Das versteh ich noch nicht so ganz, muss ich ehrlich gestehen. Ist es nicht möglich das OTRS bei Anmeldung des Agenten die Daten aus LDAP / unserem AD nimmt und in seine Datenbank überträgt? Und wenn man die Agenten je wirklich "händisch eintragen muss, was hab ich dann unter "händisch" zu verstehen? Leg ich sie im Adminpanel an? Leg ich Sie über nen SQL Editor in der MySQL Datenbank an? Muss ich sie irgendwo sonst eintragen? Oder ist einfach schlicht und ergreifend meine Config.pm schuld und ich hab irgendwo nen Fehler drin bzw. es fehlt was?

Vielen Dank schon einmal für eure Hilfe,

P.S. Vielen Dank an Boris - an dessen Vorlage für die LDAP Anbindung ich mich gehalten habe...

MfG, das Schweinchen

[BobDerBaumeister]

Hallo Schweinchen,

leg mal über "Admin" und dann "Agenten" den neuen User an. Füll hier alle Pflichtfelder aus und lass das Passwort leer. Als Benutzername trägst den sAMAccountName aus dem AD ein.
Wenn sich jetzt der User anmeldet läuft die Authtentifizierung übers AD, der Rest wie Rollen und Gruppenzuweisung musst du über den Admin-Bereich von otrs machen.
Was wir noch gemacht haben ist die Einschränkung dass sich nur Agenten anmelden können die in einer bestimmten AD-Gruppe sind, was hier aber keine Auswirkung auf Rollen und Gruppen hat.

Grüße,
BobDerBaumeister

[garwen]

Ist die Agent Synch richtig eingerichtet, ist manuelles eröffnen nicht nötig.
Gibt hier im Forum aber genug Themen dazu, wie man LDAP richtig einrichtet.

[schweinchendick]

Danke erstmal für die fixen antworten.

@BobDerBaumeister: behalt ich im Hinterkopf falls alle Stricke reissen, die Aussage von Fredy ist aber erstmal die interessantere in meinem Fall

@Fredy: Ich hab mich an den verschiedenen Lösungen hier im Forum ja entlang "gehangelt" mit meiner Config.pm, vorallem der Beitrag von Boris "LDAP für Dummies" hat mir dank der ausführlichen Erklärungen sehr geholfen. Allerdings hab ich "passend" zu meiner Config ( siehe oben ) leider noch nicht den entsprechenden Fehler / bzw. die entsprechende Ergänzung gefunden, die mir ( wie von Dir beschrieben ) den Agent Synch ermöglicht und mir das manuelle einrichten irgendwelcher Agentenkonten erspart.

Es wäre spitze wenn Du mir evtl. nen Tip oder nen Link zu nem Beitrag geben könntest, in welchem ich das finde was bei mir noch zu erledigen ist.

Danke, das Schweinchen

[schweinchendick]

Ich hab jetzt 3 Tage versucht irgendwo hier im Forum nen Beitrag zu identifizieren der mir hilft, leider komplett ohne Erfolg. Es wäre wirklich lieb wenn jemand mal meine config.pm anschauen könnte und und mir den fehlenden oder fehlerhaften Teil für den AD Synch der Agenten ergänzen und evtl. auch erklären könnte.

Dankeschön schonmal im Voraus, das Schweinchen

[schweinchendick]

Ich verzweifle im Moment so ein wenig, an meinem Problem hat sich immernoch nichts geändert. Ich hab nun wirklich alle Konfigurations-Schnipsel probiert die ich zu dem Thema hier im Forum gefunden habe - leider ohne Erfolg. Ich wär wirklich dankbar wenn einer von euch der sich damit auskennt mal anhand meiner Konfig ( siehe 1. Beitrag dieses topics ) schauen könnte ob er mir mit der Lösung auf die Sprünge helfen kann.

Mit meinem Latein bin ich am Ende...

Vielen Dank vorab, das Schweinchen

[schweinchendick]

Und wie jede Woche probier ich es auch diese Woche nocheinmal hier Hilfe zu erhalten...

[jojo]

Für den Sync Part fehlt die Angabe des Server, Bind DN, Base DN etc.

Biite kopier Dir die entsprechenden Inhalte aus der Defaults.pm in die Config.pm und passe sie entsprechend an