LDAP Agenten Sync funktioniert nicht

[runamoK]

Hallo,

das Login der Agenten funktioniert nicht. ich erhalte die Fehlermeldung: "Panic, user authenticated but no user data can be found in OTRS DB!! Perhaps the user is invalid. "
Wenn ich den Agenten manuell in der Datenbank anlege funktioniert das Login. Es scheint also irgendwas mit dem Sync aus dem AD in die Datenbank nicht zu klappen.

Ich Verwende die Version 3.0.10 von OTRS

Weiterhin vermisse ich das Logfile. Wo finde ich das otrs.log? Muss ich es erst noch konfigurieren das das Logfile angelegt wird?

Konfiguration:

Code: Select all

#--------------------------------------#
# LDAP Konfiguration / Agenten Authentifikation #
#--------------------------------------#

  # This is an example configuration for using an MS AD backend
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'xx.xx.xx.xx';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=company,dc=de';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group OTRS_Agents to use otrs)
    $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OTRS_Agenten,ou=Sicherheitsgruppen,dc=company,dc=de';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    # Bind credentials to log into AD
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=dkotrs,ou=Dienstkonten,dc=company,dc=de';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'pass';

    # in case you want to add always one filter to each ldap query, use
    # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
    $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

    # in case you want to add a suffix to each login name,  then
    # you can use this option. e. g. user just want to use user but
    # in your ldap directory exists user@domain.
    #$Self->{'AuthModule::LDAP::UserSuffix'} = '';

    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
#        port => 389,
        port => 3268,
        timeout => 120,
        async => 0,
        version => 3,

    # Die if backend can't work, e. g. can't connect to server.
    $Self->{'AuthModule::LDAP::Die'} = 1;

   # Now sync data with OTRS DB
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'xx.xx.xx.xx';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=company,dc=de';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=dkotrs,ou=Sicherheitsgruppen,dc=comnpany,dc=de';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'pass';

  $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
#        UserLogin => 'samaccountname',
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
#        UserPhone => 'telephonenumber',
    };

[runamoK]

Niemand einen Hinweis für mich?
Gab noch ein paar andere Threads mit ähnlichen Problemen, die Lösungen haben bei mir aber leider nicht zum Erfolg geführt.

[jojo]

Betriebssystem? Wie aufgesetzt?

[runamoK]

Debian Wheezy / Testing. Ich habe OTRS über apt-get installiert.

[jojo]

dann hast Du ggf. die falsche Datei editiert. Unter Debian basierten Systemen empfehle ich immer die manuelle Installation, damit alle Dateien da sind wo sie hingehören.

Das OTRS Log sollte im Syslog zu finden sein

[runamoK]

Also sind in der Konfiguration keine Fehler?
die Config habe ich in die Datei /usr/share/otrs/Kernel/Config.pm eingetragen und das scheint ja auch zu funktionieren, da ich mich auch nicht mehr mit dem lokalem Benutzer root@localhost einloggen kann.

[runamoK]

Okay, habe die OTRS Installation noch einmal von Hand gemacht. Leider mit dem selben Ergebnis.
Ich kann mich nicht einloggen weil der Sync zwischen ActiveDirectory und OTRS-Datenbank nicht funktioniert.

Wenn ich mich mit einem Benutzer einloggen möchte der nicht in meiner Gruppe OTRS_Agenten ist bekomme ich die Meldung "Anmeldung fehlgeschlagen! Benutzername oder Passwort falsch. "
Wenn ich mich einem Benutzer einlogge der in der Gruppe ist bekomme ich die Meldung: "Panic, user authenticated but no user data can be found in OTRS DB!! Perhaps the user is invalid. "

Also Erkennt ORTS ja immerhin schonmal das es sich um einen gültigen Benutzer handelt, findet ihn aber nicht in der DB... Also ist noch irgendwas an meiner Konfigurartion verkehr, aber was?

Benötige ich für den Sync der Daten aus dem AD schon einen Cronjob oder müsste das ohne gehen sobald ich die Seite aufrufe? Die Cronjobs habe ich nämlich noch nicht konfiguriert.

Hier nochmal der komplette Inhalt meiner Config.pm:

Code: Select all

# --
# Kernel/Config.pm - Config file for OTRS kernel
# Copyright (C) 2001-2010 xxx, http://otrs.org/
# --
# $Id: Config.pm.dist,v 1.23 2010/01/13 22:25:00 martin Exp $
# --
# This software comes with ABSOLUTELY NO WARRANTY. For details, see
# the enclosed file COPYING for license information (AGPL). If you
# did not receive this file, see http://www.gnu.org/licenses/agpl.txt.
# --
#  Note:
#
#  -->> OTRS does have a lot of config settings. For more settings
#       (Notifications, Ticket::ViewAccelerator, Ticket::NumberGenerator,
#       LDAP, PostMaster, Session, Preferences, ...) see
#       Kernel/Config/Defaults.pm and copy your wanted lines into "this"
#       config file. This file will not be changed on update!
#
# --

package Kernel::Config;

sub Load {
    my $Self = shift;
    # ---------------------------------------------------- #
    # ---------------------------------------------------- #
    #                                                      #
    #         Start of your own config options!!!          #
    #                                                      #
    # ---------------------------------------------------- #
    # ---------------------------------------------------- #

    # ---------------------------------------------------- #
    # database settings                                    #
    # ---------------------------------------------------- #
    # DatabaseHost
    # (The database host.)
    $Self->{'DatabaseHost'} = 'localhost';
    # Database
    # (The database name.)
    $Self->{'Database'} = 'otrs';
    # DatabaseUser
    # (The database user.)
    $Self->{'DatabaseUser'} = 'otrs';
    # DatabasePw
    # (The password of database user. You also can use bin/otrs.CryptPassword.pl
    # for crypted passwords.)
    $Self->{'DatabasePw'} = 'xxxxx';
    # DatabaseDSN
    # (The database DSN for MySQL ==> more: "man DBD::mysql")
    $Self->{DatabaseDSN} = "DBI:mysql:database=$Self->{Database};host=$Self->{DatabaseHost};";

    # (The database DSN for PostgreSQL ==> more: "man DBD::Pg")
    # if you want to use a local socket connection
#    $Self->{DatabaseDSN} = "DBI:Pg:dbname=$Self->{Database};";
    # if you want to use a tcpip connection
#    $Self->{DatabaseDSN} = "DBI:Pg:dbname=$Self->{Database};host=$Self->{DatabaseHost};";

    # ---------------------------------------------------- #
    # fs root directory
    # ---------------------------------------------------- #
    $Self->{Home} = '/opt/otrs';

    # ---------------------------------------------------- #
    # insert your own config settings "here"               #
    # config settings taken from Kernel/Config/Defaults.pm #
    # ---------------------------------------------------- #
    # $Self->{SessionUseCookie} = 0;
    # $Self->{CheckMXRecord} = 0;

    # ---------------------------------------------------- #

    # ---------------------------------------------------- #
    # data inserted by installer                           #
    # ---------------------------------------------------- #
    # $DIBI$
    $Self->{'DefaultCharset'} = 'utf-8';



### START LDAP Konfiguration organisation

#-------------------------------------#
# LDAP Konfiguration / Kunden Auth #
#-------------------------------------#
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'xx.xx.xx.xx';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=organisation,dc=de';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';

$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'cn=OTRS_Kunden,ou=Sicherheitsgruppen,dc=organisation,dc=de';
$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'DN';


$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'cn=OTRS-User,ou=Dienstkonten,dc=organisation,dc=de';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'Pa$$w0rd';

#--------------------------------------#
# LDAP Konfiguration / Kundendaten #
#--------------------------------------#
$Self->{CustomerUser1} = {
Name => 'LDAP Datenquelle',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => 'xx.xx.xx.xx',
BaseDN => 'dc=organisation,dc=de',
SSCOPE => 'sub',
UserDN => 'cn=OTRS-User,ou=Dienstkonten,dc=organisation,dc=de',
UserPw => 'Pa$$w0rd',
SourceCharset => 'utf-8',
DestCharset => 'iso-8859-1',
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
# var, frontend, storage, shown, required, storage-type
[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
# [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
# [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
],
};


#--------------------------------------#
# LDAP Konfiguration / Agenten Authentifikation #
#--------------------------------------#

  # This is an example configuration for using an MS AD backend
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'xx.xx.xx.xx';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=organisation,dc=de';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group OTRS_Agents to use otrs)
    $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OTRS_Agenten,ou=Sicherheitsgruppen,dc=organisation,dc=de';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    # Bind credentials to log into AD
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=OTRS-User,ou=Dienstkonten,dc=organisation,dc=de';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'Pa$$w0rd';

    # in case you want to add always one filter to each ldap query, use
    # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
    $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

    # in case you want to add a suffix to each login name,  then
    # you can use this option. e. g. user just want to use user but
    # in your ldap directory exists user@domain.
    #$Self->{'AuthModule::LDAP::UserSuffix'} = '';

   # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
#        port => 389,
        port => 3268,
        timeout => 120,
        async => 0,
        version => 3,
    };

    # Die if backend can't work, e. g. can't connect to server.
    $Self->{'AuthModule::LDAP::Die'} = 1;

   # Now sync data with OTRS DB
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'xx.xx.xx.xx';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=organisation,dc=de';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=OTRS-User,ou=Sicherheitsgruppen,dc=organisation,dc=de';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Pa$$w0rd';

  $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
#        UserLogin => 'samaccountname',
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
#        UserPhone => 'telephonenumber',
    };

############# ENDE LDAP KONFIGURATION organisation


    # ---------------------------------------------------- #
    # ---------------------------------------------------- #
    #                                                      #
    #           End of your own config options!!!          #
    #                                                      #
    # ---------------------------------------------------- #
    # ---------------------------------------------------- #
}

# ---------------------------------------------------- #
# needed system stuff (don't edit this)                #
# ---------------------------------------------------- #
use strict;
use warnings;

use vars qw(@ISA $VERSION);
$VERSION = qw($Revision: 1.23 $)[1];

use Kernel::Config::Defaults;
push (@ISA, 'Kernel::Config::Defaults');

# -----------------------------------------------------#

1;

[Wolfgangf]

Wenn ich mich einem Benutzer einlogge der in der Gruppe ist bekomme ich die Meldung: "Panic, user authenticated but no user data can be found in OTRS DB!! Perhaps the user is invalid. "

... und Du hast den user auch in OTRS angelegt oder? Das musst Du nämlich

[jojo]

Durch den Sync muss der User nicht angelegt werden. Was sagt denn das Logfile?

[runamoK]

Hallo,

Folgendes wird nach dem Anmelden in das Logfile geschrieben:

Code: Select all

Oct 19 12:25:01 HOSTNAME /usr/sbin/cron[1024]: (*system*otrs) CAN'T OPEN SYMLINK (/etc/cron.d/otrs)
Oct 19 12:26:01 HOSTNAME /usr/sbin/cron[1024]: (*system*otrs) CAN'T OPEN SYMLINK (/etc/cron.d/otrs)
Oct 19 12:27:01 HOSTNAME /usr/sbin/cron[1024]: (*system*otrs) CAN'T OPEN SYMLINK (/etc/cron.d/otrs)
Oct 19 12:28:01 HOSTNAME /usr/sbin/cron[1024]: (*system*otrs) CAN'T OPEN SYMLINK (/etc/cron.d/otrs)
Oct 19 12:29:01 HOSTNAME /usr/sbin/cron[1024]: (*system*otrs) CAN'T OPEN SYMLINK (/etc/cron.d/otrs)
Oct 19 12:29:38 HOSTNAME OTRS-CGI-10[1846]: [Notice][Kernel::System::Auth::LDAP::Auth] User: username (CN=Vorname Nachname,CN=Users,DC=Organisation,DC=de) authentication ok (REMOTE_ADDR: xx.xx.xx.xx).
Oct 19 12:29:38 HOSTNAME OTRS-CGI-10[1846]: [Error][Kernel::System::Auth::Sync::LDAP::Sync][Line:151]: First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece#000
Oct 19 12:29:38 HOSTNAME OTRS-CGI-10[1846]: [Error][Kernel::System::User::UserLookup][Line:746]: No UserID found for 'username'!
Oct 19 12:29:38 HOSTNAME OTRS-CGI-10[1846]: [Error][Kernel::System::User::UserLookup][Line:746]: No UserID found for 'username'!
Oct 19 12:29:38 HOSTNAME OTRS-CGI-10[1846]: [Notice][Kernel::System::User::GetUserData] Panic! No UserData for user: 'username'!!!

Edit:

Die Fehlernummer LdapErr: DSID-0C090334 hängt laut Google mit einer Fehlerhaften Authentifizierung zusammen. Habe dann mal den Eintrag SearchUserDN von 'cn=username,ou=Sicherheitsgruppen,dc=Organisation,dc=de in 'domain\username' geändert.

Danach stand Folgendes im Log:

Code: Select all

Oct 19 12:50:27 HOSTNAME OTRS-CGI-10[1939]: [Notice][Kernel::System::AuthSession::DB::RemoveSessionID] Removed SessionID 10d90ec7cda52e5ef99196ac9f58168cf2.
Oct 19 12:50:38 HOSTNAME mpt-statusd: detected non-optimal RAID status
Oct 19 12:50:57 HOSTNAME OTRS-CGI-10[1953]: [Error][Kernel::System::Auth::LDAP::Auth][Line:187]: First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece#000
Oct 19 12:50:57 HOSTNAME OTRS-CGI-10[1953]: [Error][Kernel::System::User::UserLookup][Line:746]: No UserID found for 'USERNAME'!
Oct 19 12:51:01 HOSTNAME /usr/sbin/cron[1024]: (*system*otrs) CAN'T OPEN SYMLINK (/etc/cron.d/otrs)
Oct 19 12:51:04 HOSTNAME OTRS-CGI-10[1954]: [Error][Kernel::System::Auth::LDAP::Auth][Line:187]: First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece#000
Oct 19 12:51:04 HOSTNAME OTRS-CGI-10[1954]: [Error][Kernel::System::User::UserLookup][Line:746]: No UserID found for 'USERNAME'!
Oct 19 12:51:57 HOSTNAME OTRS-CGI-10[1957]: [Notice][Kernel::System::Auth::LDAP::Auth] User: USERNAME (CN=Vorname Nachname,CN=Users,DC=Organisation,DC=de) authentication ok (REMOTE_ADDR: xx.xx.xx.xx).
Oct 19 12:51:57 HOSTNAME OTRS-CGI-10[1957]: [Error][Kernel::System::Auth::Sync::LDAP::Sync][Line:178]: Search failed! (dc=Organisation,dc=de) filter='(sAMAccountName=USERNAME)' 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece#000
Oct 19 12:51:57 HOSTNAME OTRS-CGI-10[1957]: [Error][Kernel::System::User::UserLookup][Line:746]: No UserID found for 'USERNAME'!
Oct 19 12:51:57 HOSTNAME OTRS-CGI-10[1957]: [Error][Kernel::System::User::UserLookup][Line:746]: No UserID found for 'USERNAME'!
Oct 19 12:51:57 HOSTNAME OTRS-CGI-10[1957]: [Notice][Kernel::System::User::GetUserData] Panic! No UserData for user: 'USERNAME'!!!

Search failed! (dc=Organisation,dc=de) filter='(sAMAccountName=USERNAME)' 00000000:

Heißt also vorher war es richtig und er kann sich mit domain\username nicht verbinden, oder sehe ich das falsch?

[jojo]

Oct 19 12:29:38 HOSTNAME OTRS-CGI-10[1846]: [Error][Kernel::System::Auth::Sync::LDAP::Sync][Line:151]: First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece#000

Benutzername und/oder Passwort für den Sync User falsch

[runamoK]

Fehler endlich gefunden!
War ja klar das es nur irgend eine kleinigkeit ist die alles verhagelt...

Ich hatte in der Zeile "$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=otrs-user,ou=Dienstkonten,dc=Organisation,dc=de';" die falsche OU eingetragen.

Vielen Dank für die Hilfe!

Edit:

Eine Frage hätt ich dann doch noch (:

Ich habe für die Kunden versucht zu konfigurieren das nur die Benutzer in der Gruppe OTRS_Kunden in die Datenbank importiert werden. Die Configzeilen dazu sehen folgendermaßen aus:

Code: Select all

$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'cn=OTRS_Kunden,ou=Sicherheitsgruppen,dc=Organisation,dc=de';
$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'DN';

Es wurden aber trotzdem alle Elemente importiert. Was klemmt hier noch?