OTRS 3.0.10 CustomerAuth über LDAPS funktioniert nicht

[jesc]

Hallo Zusammen,

um die Sicherheit zu erhöhen, möchte ich, dass auch Kundenpasswörter nicht unverschlüsselt über das Netz gehen. Daher möchte ich sowohl die Agent- als auch die Customer-Authentifizierung auf LDAPS umstellen. Bei den Agents funktioniert es bereits einwandfrei (schon längere Zeit). Nur bei den Customer möchte es nicht klappen. Hier unsere Conig.pm:

Code: Select all

    ####  AGENT AUTH - WORKING  ####
    if ($AgentLDAP) {
         $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
         $Self->{'AuthModule::LDAP::Host'} = 'ldaps://hostname';
         $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=topleveldomain;
         $Self->{'AuthModule::LDAP::UID'} = 'uid';
         $Self->{'AuthModule::LDAP::Params'} = {
               port => 636,
               timeout => 120,
               async => 0,
               version => 3,
         };
    }

    ####  CUSTOMER AUTH - ****NOT**** WORKING  ####

    $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';
    if ($CustomerLDAP) {
        $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
        $Self->{'Customer::AuthModule::LDAP::Host'} = 'ldaps://hostname';
        $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=topleveldomain;
        $Self->{'Customer::AuthModule::LDAP::UID'} = 'uid';
        $Self->{'Customer::AuthModule::LDAP::Params'} = {
               port    => 636,
               timeout => 120,
               async   => 0,
               version => 3,
        };

        $Self->{CustomerUser1} = {
            Name => 'LDAP Datenquelle',
            Module => 'Kernel::System::CustomerUser::LDAP',
            Params => {
                Host => 'ldaps://hostname',
                BaseDN => 'dc=domain,dc=topleveldomain',
                SSCOPE => 'sub',
                UserDN => '',
                UserPw => '',
                AlwaysFilter  => '(mail=*)',
                SourceCharset => 'utf-8',
                DestCharset   => 'utf-8',
                Params => {
                       port    => 636,
                       timeout => 120,
                       async   => 0,
                       version => 3,
                },
            },
            CustomerKey => 'uid',
            CustomerID => 'orgsapid',
            CustomerUserListFields => ['cn', 'mail'],
            CustomerUserSearchFields => ['uid', 'cn', 'mail', 'orgaid'],
            CustomerUserSearchPrefix => '',
            CustomerUserSearchSuffix => '*',
            CustomerUserSearchListLimit => 250,
            CustomerUserPostMasterSearchFields => ['mail'],
            CustomerUserNameFields => ['givenname', 'sn'],
            CustomerUserExcludePrimaryCustomerID => 0,
            AdminSetPreferences => 0,
            Map => [
                # note: Login, Email and CustomerID needed!
                # var, frontend, storage, shown (1=always,2=lite), required, storage-type, http-link, readonly
                [ 'UserSalutation', 'Title',      'title',           1, 0, 'var', '', 0 ],
                [ 'UserFirstname',  'Firstname',  'givenname',       1, 1, 'var', '', 0 ],
                [ 'UserLastname',   'Lastname',   'sn',              1, 1, 'var', '', 0 ],
                [ 'UserLogin',      'Username',   'uid',             1, 1, 'var', '', 0 ],
                [ 'UserEmail',      'Email',      'mail',            1, 1, 'var', '', 0 ],
                [ 'UserCustomerID', 'CustomerID', 'orgaid',            0, 1, 'var', '', 0 ],
                # [ 'UserCustomerIDs', 'CustomerIDs', 'second_customer_ids', 1, 0, 'var', '', 0 ],
                [ 'UserPhone',      'Phone',      'telephonenumber', 1, 0, 'var', '', 0 ],
                [ 'UserAddress',    'Address',    'postaladdress',   1, 0, 'var', '', 0 ],
                [ 'UserComment',    'Comment',    'description',     1, 0, 'var', '', 0 ],
            ],
        };
    }

Im TCPDump auf unserem LDAP kann ich sehen, dass die Anfragen weiterhin auf Port 389 (also unverschlüsselt daher kommen). Obwohl ich explizit den Port 636 und die URI "ldaps://" verwende! Wenn ich auf dem OTRS Server den Port über IPTables verbiete (tcp 389 reject), bleibt er nach der BasicAuth stehen. Im Log erhalte ich nur einen 500er ("internal Server Error") Fehler:

192.168.xxx.xxx - vorname.nachname@kundendomain.de [31/Aug/2011:10:17:21 +0200] "GET /otrs/customer.pl HTTP/1.1" 500 539 "-" "Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20100101 Firefox/6.0" 469 778 420001166

Den Apache habe ich zur Sicherheit (bereits mehrfach) neu gestartet.

Es handelt sich um folgendes System:

Debian GNU/Linux 6.0
OTRS 3.0.10
ITSM 3.0.4

Hat jemand einen heißen Tipp für mich?

Vielen Dank!

Grüße Jens

[jesc]

*push*

Niemand eine Idee?

Grüße Jens

[jojo]

mach ein Bug auf

[jesc]

Okay. Bug Report eröffnet:

http://bugs.otrs.org/show_bug.cgi?id=7904

Grüße Jens

[jesc]

Schade, selbst nach knapp 2 Monaten gibts keinerlei Reaktion (bis auf die Tatsache das der Bug auf "NEW" steht).

Es muss doch auch andere Administratoren geben die ihr Netz sicher machen möchten. Und dazu gehört auch die Kommunikation zu verschlüsseln. Bin ich wirklich der Erste dem dieser Fehler auffällt?!

Grüße Jens

[root]

Schade, selbst nach knapp 2 Monaten gibts keinerlei Reaktion (bis auf die Tatsache das der Bug auf "NEW" steht).

Es muss doch auch andere Administratoren geben die ihr Netz sicher machen möchten. Und dazu gehört auch die Kommunikation zu verschlüsseln. Bin ich wirklich der Erste dem dieser Fehler auffällt?

Hast Du mal mit ldapsearch die LDAPS Verbindung getestet?
Bei mir fehlte die CA unserer ActiveDirectory Domäne, alternativ geht auch ein
TLS_REQCERT never
in /etc/openldap/ldap.conf (Red Hat/CentOS)

hth,
Roy