neues Modul: ConnectAD

[root]

Unter https://github.com/rkaldung/ConnectAD habe ich Informationen bereitgestellt wie man ein Active Directory ohne LDAP anbinden kann, wobei verschachtelte Gruppen unterstützt werden. Fehlermeldung und Verbesserungsvorschläge sind willkommen.

[ontae]

Hi,

installed ConnectAD via repository and it works fine for LDAP (AD 2008 R2) agent and user NTLM (HTTPBasicAuth) authenitcation. Sync also works fine.

Thank ya root for that.

But i also recognized some security problems: AuthModule::ConnectAD::GroupDN do not seem to be honored. Authenticated to apache2 via basic auth, it was possible to login with any user which exist in the AD. Evenmore the password for that user do not have to be correct and the user was created as new agent in the DB.

Please check and verify.

ontae

[root]

Hi,

installed ConnectAD via repository and it works fine for LDAP (AD 2008 R2) agent and user NTLM (HTTPBasicAuth) authenitcation. Sync also works fine.

Thank ya root for that.

But i also recognized some security problems: AuthModule::ConnectAD::GroupDN do not seem to be honored. Authenticated to apache2 via basic auth, it was possible to login with any user which exist in the AD. Evenmore the password for that user do not have to be correct and the user was created as new agent in the DB.

Please check and verify.

ontae

It's updated - eine neue Version steht bereit

[eckart]

Folgende Fehlermeldung kommt beim update der Paketverwaltung.

Keine Pakete für Ihre Framework-Version in diesem Verzeichnis gefunden, es enthält nur Pakete für andere Framework-Versionen.

Normal?
frische 3.1.1 version installiert.

[root]

Folgende Fehlermeldung kommt beim update der Paketverwaltung.

Keine Pakete für Ihre Framework-Version in diesem Verzeichnis gefunden, es enthält nur Pakete für andere Framework-Versionen.

Normal?
frische 3.1.1 version installiert.

Ja, ich hab's noch nicht auf der 3.1 getestet. Eventuell komme ich die Woche dazu.

[Romaing]

Hello,

Is there any chance that a 3.1 compatible module is still in the works ? I was so happy to find this and blam! No package for you !

[root]

Hello,

Is there any chance that a 3.1 compatible module is still in the works ? I was so happy to find this and blam! No package for you !

Yet I have not 3.1 version running, I'll hope to give it a try during the next weeks.

[eckart]

Gibts hier was neues? (speziell nen Update auf 3.1.x)

[root]

Gibts hier was neues? (speziell nen Update auf 3.1.x)

Ja, im Repository ist inzwischen eine Version die mit 3.1 arbeiten sollte. Allerdings hatte ich keine Zeit alles komplett zu testen. Daher bin ich für Feedback sehr dankbar.

[eugen]

Kann man das Modul auch verwenden um die Customer(Kunden) zu Authentifizieren?
Wie würde die Konfiguration in diesem Fall aussehen ?
Und braucht der User der aus dem AD liest, besondere Rechte zur Authentifizierung ?

[root]

Kann man das Modul auch verwenden um die Customer(Kunden) zu Authentifizieren?

Ja

Wie würde die Konfiguration in diesem Fall aussehen ?

Im einfachsten Fall so (ungetestet!)

Code: Select all

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::ConnectAD';
$Self->{'Customer::AuthModule::ConnectAD::Host'} = '192.168.100.1';
$Self->{'Customer::AuthModule::ConnectAD::BaseDN'} = 'OU=Benutzer,DC=domain,DC=tld';
$Self->{'Customer::AuthModule::ConnectAD::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::ConnectAD::SearchUserDN'} = 'CN=OTRS Search,OU=Benutzer,DC=domain,DC=ctldm';
$Self->{'Customer::AuthModule::ConnectAD::SearchUserPw'} = 'xxxxxxxxxxxx';

Und braucht der User der aus dem AD liest, besondere Rechte zur Authentifizierung ?

Nein, dazu benötigt man nur einen AD-Benutzer, also so etwas wie einen Service Account. Wenn man dessen Rechte einschränken möchte kann man Ihn
einfach mit einem Tool wie dem Apache Directory Studio testen.

hth,
Roy

[aph]

Wird die 4er OTRS Version unterstützt?

[root]

Ich aktualisere ConnectAD nicht mehr, da es einfacher ist das mitgelieferte LDAP-Module mit dem Filter LDAP_MATCHING_RULE_IN_CHAIN wie in der Microsoft MSDN beschrieben zu nutzen. Das erspart eine weitere Abhängigkeit bei den Modulen und das Ergebnis ist identisch.

[jojo]

Hallo Roy,

kannst Du dafür einen Eintrag im HowTo Bereich erstellen?


Danke

[aph]

Eine HowTo wäre sehr hilfreich. Man könnte dann auf ein externes Modul verzichten und auf die 4er Version upgraden

[aph]

Gibt es Pläne ein HowTo für dieses Thema zu erstellen? Ich komme mit der Beschreibung auf Microsoft MSDN nicht weiter
Anbei ein Auszug aus meiner Config.pm

Code: Select all

Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group xyz to use otrs)
    #$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS_USERS,CN=Users,DC=xxxx,DC=xxxx'; #cn=otrsallow,ou=posixGroups,dc=example,dc=com';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';# Default is 'memberUid'; but 'nicht festgelegt in AD on this server'
    # for ldap posixGroups objectclass (just uid)
    $Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
    # for non ldap posixGroups objectclass (with full user dn)
#    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

# in case you want to add always one filter to each ldap query, use
    # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
    # or if you want to filter with a locigal OR-Expression, like AlwaysFilter => '(|(mail=*abc.com)(mail=*xyz.com))'
    $Self->{'AuthModule::LDAP::AlwaysFilter'} = '(memberof:1.2.840.113556.1.4.1941:CN=OTRS_USERS,CN=Users,DC=xxxx,DC=xxxx)';

aber ohne Erfolg.

[aph]

Anscheinend klappt es mit:

Code: Select all

$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(&(objectCategory=user) (memberof:1.2.840.113556.1.4.1941:=CN=OTRS_USERS,CN=Users,DC=xxxx,DC=local))';

EDIT: Code korrigiert , es fehlte eine schließende runde Klammer nach user