OTRS 3.1.7 mit AD-Anbindung

[SvenK]

Sehr geehrte Damen und Herren.

In meiner Firma bin ich zur Zeit dabei ein OTRS-System (v 3.1.7) mit einem vorhandenen AD zu verbinden bzw. einen Abgleich möglich zu machen.

Es sollen sich nur Benutzer von bestimmten Gruppen am OTRS anmelden dürfen und die OTRS-Datenbank soll sich mit dem AD abgleichen bzw. anhand der Einträge
im AD neue Datenbankeinträge erstellen.

Ich habe mich soweit mit einer Config rumgeschlagen aber weis jetzt einfach nicht mehr weiter.

Die Config ist im Anhang enthalten.

Anbei noch der Fehler-Log der bei einem Anmelde-Versuch auftritt.

Backend ERROR: OTRS-CGI-10 Perl: 5.12.3 OS: MSWin32 Time: Fri Jul 13 10:19:19 2012 Message: Access denied for user 'otrs'@'localhost' (using password: YES) Traceback (1000): Module: Kernel::System::DB::new (v1.144.2.1) Line: 227 Module: Kernel::System::Web::InterfaceAgent::Run (v1.64) Line: 143 Module: ModPerl::ROOT::ModPerl::Registry::C_3a_OTRS_OTRS_bin_cgi_2dbin_index_2epl::handler (unknown version) Line: 46 Module: (eval) (v1.90) Line: 204 Module: ModPerl::RegistryCooker::run (v1.90) Line: 204 Module: ModPerl::RegistryCooker::default_handler (v1.90) Line: 170 Module: ModPerl::Registry::handler (v1.99) Line: 31



Ich danke vorab für die eventuellen mühen und würde mich freuen wenn mir jemand weiter helfen könnte.

MfG

Sven Koepcke

[reneeb]

OTRS kann sich nicht an der DB anmelden. Das hat nichts mit AD zu tun. Hast Du denn OTRS richtig installiert?

[SvenK]

Ja. Es wurde richtig installiert. Bevor ich die Config-Datei umgeschreiben habe hat auch die Anmeldung mit dem Admin Benutzer funktioniert

[SvenK]

Eben hat auch die Anmeldung wieder funktioniert. Jedoch wurden keine Agenten angelegt und nach anlegen eines lokalen Agents im OTRS schlägt die Anmeldung erneut fehl

[reneeb]

Du solltest in der Config auf jeden Fall mal "Defination" durch "Definition" ersetzen...

Was hast Du gemacht zwischen "geht nicht" und "geht wieder" und zwischen "geht wieder" und "geht wieder nicht"?

War das wieder der gleiche Fehler nach dem Anlegen des lokalen Agenten?

[SvenK]

So.... habe OTRs noch mal neu installier und nun den allseits bekannten Standart Admin User ( root@localhost).

Kann mich auch am System anmelden jedoch funktioniert der AD-Abgleich immer noch nicht und in die Datenbank wird auch nichts geschrieben.

kann mir jemand weiter helfen ??

[reneeb]

Kannst Du mal zeigen was im OTRS-Log und evtl. im Webserver-Log steht?

[SvenK]

Ja. Natürlich gerne. Die OTRS-Log und dei beiden Webserver Logs sind im Anhang.

Hoffe du kannst was damit anfangen.

[TheDude]

Kannst Du Deine aktuelle Config mal posten?

[SvenK]

Hier noch mal meine Config. Wenn jemand einen Lösungsansatz hätte wer ich demjenigen sehr verbunden

[TheDude]

Ich glaube, bei dir fehlt folgendes für den Abgleich:

Code: Select all

# Now sync data with OTRS DB
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'IP-SERVER';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=widemann, dc=local';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=otrstest,cn=users,dc=widemann,dc=local';         --------sicher, dass der Pfad stimmt?
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'otrstest';
 
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };

Wenn ich mich recht erinnere, braucht man diese Modul für den Sync.

[philasd]

Code: Select all

  # ---------------------------------------------------- #
    # data inserted by installer                           #
    # ---------------------------------------------------- #
    # $DIBI$

    #--------------------------------------------------------------------------------------------
    #                                   Agenten Authentifizeirung                               #
    #--------------------------------------------------------------------------------------------
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'ldap.google.de';                                                                                 #hier kann auch die IP des DCs stehen. aber sinvollerweise hat man ja mehr als einen:-)
    $Self->{'AuthModule::LDAP::BaseDN'} = 'ou=Mitarbeiter,dc=ldap,dc=google,dc=de';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';                                                                              #Nicht aendern, ist son LDAP-default Zeug
    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS-Admins,OU=Systemadministration,OU=Gruppen,DC=ldap,DC=google,DC=de'; #Nur Mitglieder dieser Gruppe duerfen sich am System anmelden.
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = ldapotrs@ldap.google.de';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'ldapotrs';

    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        #db -> LDAP
        UserFirstname => 'givenName',
        UserLastname => 'sn',
        UserEmail => 'mail',
    };

    #--------------------------------------------------------------------------------------------
    #                                  Kunden Authentifizeirung                                 #
    #--------------------------------------------------------------------------------------------
    $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
    $Self->{'Customer::AuthModule::LDAP::Host'} = 'ldap.google.de';
    $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'ou=Mitarbeiter,dc=ldap,dc=google,dc=de';
    $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'ldapotrs@ldap.google.de';
    $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'ldapotrs';
    #--------------------------------------------------------------------------------------------
    #                                     Kundendaten                                           #
    #--------------------------------------------------------------------------------------------
    $Self->{CustomerUser} = {
    SourceCharset => 'utf-8',
    DestCharset => 'utf-8',
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
      Host => 'ldap.google.de',
      BaseDN => 'ou=Mitarbeiter,dc=ldap,dc=google,dc=de',# hier die DN in der eure User liegen, kommt halt drauf an wie eurer AD strukturiert ist
      SSCOPE => 'sub',
      UserDN => 'ldapotrs@ldap.google.de',
      UserPw => 'ldapotrs',
#         AlwaysFilter =>  '(&(objectclass=user)(mail=*.*@Firma.de))',
                # falls ihr was ausschliessen wollt geht das mit (!(ausgeschlossenes Attribut)):
                # AlwaysFilter =>  '(&(objectclass=user)(mail=*.*@Firma.de)(!((was auch immer)))',
    },
    CustomerKey => 'sAMAccountName',
    CustomerID => 'mail',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
    # hier k▒nnt ihr euch LDAP Atribute Mappen. Firma2 (unten) hat ein Besipiel drin.
    # da wird die FAX-Nummer ins Kommentarfeld gemappt

      # note: Login, Email and CustomerID needed!
      # var, frontend, storage, shown, required, storage-type
#       [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
      [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
      [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
      [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
      [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
      [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
      [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#       [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#       [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
      ],
    };



    # ---------------------------------------------------- #
    # ---------------------------------------------------- #
    #                                                      #
    #           End of your own config options!!!          #
    #                                                      #
    # ---------------------------------------------------- #
    # ---------------------------------------------------- #
}

Wichtig ist aber, dass du mit dem root@localhost erstmal die ganzen Agents anlegts, manuell im Admin-Bereich. Passwort vergib irgendeins, das schmeisst OTRS dann eh weg, um das aus AD zu verwenden.
D.h.
1.) Konfig anpassen
2.) User anlegen
3.) Einloggen

In der Reihenfolge muesste es funktionieren - check mal deine CFG gegen meine. Interessant waere auch eine Fehlermeldung. Im OTRS-Log (auch im Admin-Bereich zu finden) findest du zumeist gute Informationen darueber, was gerade falsch laeuft.
Auch das Apache-Log kann manchmal hilfreich sein ...

[TheDude]

Warum User anlegen? Über die Berechtigungsgruppe im AD sind die doch zugriffsberechtigt. Und OTRS soll sich doch bei der ersten Anmeldung deren Daten aus dem LDAP holen. So funktioniert es zumindest bei uns. Ich habe die Agents einer Gruppe zugewiesen, die Zugriff auf die Agents-Oberfläche haben sollen. Und bei der ersten Anmeldung an OTRS holt sich das System die Daten aus dem LDAP. Ich brauchte bei uns noch keinen User per Hand anlegen.

[philasd]

Ich finde gerade die Anleitung nichtmehr, wo ich die Info herhabe.
Wenns auch ohne Anlegen geht: Top! =D

___EDIT
Hier gibts die Info mit Agents anlegen unso.

[TheDude]

So ist es am einfachsten. Ist doch irgendwie doppelte Arbeit, wenn ich den User erst manuell anlegen muss, damit er gegen as LDAP authentifiziert wird und dann doch seine Daten aus dem LDAP gezogen werden.