LDAP - Alle MS AD Benutzer können sich als Agenten anmelden

Hilfe zu Znuny Problemen aller Art
Forum rules
Locked
nubi33
Znuny newbie
Posts: 7
Joined: 11 Jul 2012, 16:22
Znuny Version: 3.1.6

LDAP - Alle MS AD Benutzer können sich als Agenten anmelden

Post by nubi33 »

Hallo,

ich authorisiere die OTRS Agenten gegen mein Microsoft AD, es funktioniert auch , leider
können sich ALLE Domänenbenutzer anmelden, und nicht nur die der Gruppe "sys_otrs_agents"

Wenn ich ein ldap search auf die Gruppe mache gibt es folgende Antwort:

Code: Select all

ldapsearch -x -h adc.domain.com -b cn=sys_otrs_agents,OU=System,OU=gruppen,dc=domain,dc=com -D CN=admin,OU=Personen,DC=domain,DC=com -W
....
member: CN=admin,OU=Personen,DC=domain,DC=com
distinguishedName: CN=sys_otrs_agents,OU=System,OU=Gruppen,DC=domain,DC=com
.....
Jetzt melde ich mich mit dem Benutzer "test" an welcher NICHT in der Gruppe "sys_otrs_agents" ist und kann mich anmelden :-(
Der Benutzer "test" ist NICHT(mehr) in der Otrs DB vorhanden, den habe ich nach jedem fehlversuch gelöscht.
(aus den Tabellen users und user_preferences)

Ich bin ratlos, vielleicht hat einer von euch einen Tip ?

DANKE !




Code: Select all

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'adc.domain.com';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=com';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=sys_otrs_agents,OU=System,OU=Gruppen,DC=domain,DC=com';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

$Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=otrs_ldap_search,ou=System,ou=Personen,dc=domain,dc=com';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'pass';
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(objectclass=user)';
$Self->{'AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3
};

$Self->{'AuthModule::UseSyncBackend'} = 'AuthSyncBackend';
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = 'adc.domain.com';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=domain,dc=com';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=otrs_ldap_search,ou=System,ou=Personen,dc=domain,dc=com';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'pass';

$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail'
};

$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users'
];
Top
ddDagobert
Znuny wizard
Posts: 350
Joined: 13 May 2009, 14:24
Znuny Version: 5.0.10

Re: LDAP - Alle MS AD Benutzer können sich als Agenten anmel

Post by ddDagobert »

Code: Select all

    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'adc.domain.com';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=com';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=sys_otrs_agents,OU=System,OU=Gruppen,DC=domain,DC=com';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
Das sollte passen.

Code: Select all

 
    $Self->{'AuthModule::LDAP::SearchUserDN'} = '[color=#FF0000]sameaccountname der Userid, die zum Suchen berechtigt ist[/color]';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'pass';
Ich hab hier einen eigenen Account "otrs", der auf das AD zugreifen und suchen darf (Funktionsaccount)

Code: Select all

 
[color=#FF0000] # [/color]  $Self->{'AuthModule::LDAP::AlwaysFilter'} = '(objectclass=user)';
Den Filter habe ich ausgeschaltet.

Code: Select all

 
    $Self->{'AuthModule::LDAP::Params'} = {
    port => 389,
    timeout => 120,
    async => 0,
    version => 3
    };

    $Self->{'AuthModule::UseSyncBackend'} = 'AuthSyncBackend';
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'adc.domain.com';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=domain,dc=com';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = '[color=#FF0000]sameaccountname der Userid, die zum Suchen berechtigt ist';[/color]
Auch hier wieder der Funktionsaccount

Code: Select all

 
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'pass';

    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
    UserFirstname => 'givenName',
    UserLastname => 'sn',
    UserEmail => 'mail'
    };

[color=#FF0000] #[/color]   $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
    'users'
    ];
Die letzte Zeile verwende ich auch nicht - keine Ahnung, was die bewirkt.
Und ich sehe gerade, dass hier der Code keine Farbmarkierung zulässt...:-(

Gruß

ddDagobert
Produktiv: OTRS 5.0.10 mit ITSM + Individualpakete und Feature AddOn auf SLES 11 SP2 mit PosgtreSQL 9.3
Test: OTRS 5.0.10 mit ITSM + Individualpakete und Feature AddOn auf SLES 11 SP2 mit PosgtreSQL 9.3
Entwicklung: OTRS 5.0.10 mit ITSM + Individualpakete und Feature AddOn auf SLES 11 SP2 mit PosgtreSQL 9.3
Top
Locked

Return to “Hilfe”