LDAP Anbindung, Agents

[azs]

Hallo zusammen,

hier der nächste mit einem LDAP-Problem

Ich bin nach der Anleitung von boris gegangen, viewtopic.php?f=17&t=7558.

Fehlermeldung lautet

Code: Select all

[Mon Mar 26 08:34:42 2012][Notice][Kernel::System::Auth::LDAP::Auth] User: test user authentication failed, no LDAP group entry foundGroupDN='CN=otrsagents,OU=Gruppen,DC=azs,DC=loc', Filter='(memberUID=CN=test user,OU=IT,OU=Commercial,OU=BN,DC=azs,DC=loc)'! (REMOTE_ADDR: 127.0.0.1).

Auszug aus der Config.pm

Code: Select all

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'IP vom AD';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=azs,dc=loc';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=otrsagents,OU=Gruppen,DC=azs,DC=loc'; #Gruppe existiert und ich bin Mitglied
$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUID'; # 2003er Domäne, 'memberUID'*
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=comlog ticket,OU=Sammelaccounts,DC=azs,DC=loc'; #User existiert und hat Zugriff aufs LDAP, geprüft durch den Softerra LDAP Browser
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort';

#diese Parameter hatte ich im nachhinein eingebaut, an der Fehlermeldung änderte sich aber nichts
$Self->{'AuthModule::LDAP::Params'} = {
    port => 3268,
    timeout => 120,
    async => 0,
    version => 3,
};

Gruppe existiert und ich bin Mitglied.
Es handelt sich um eine 2003er Domäne.
Search-User existiert und hat Zugriff aufs LDAP, geprüft durch den Softerra LDAP Browser.

Vielleicht kann mir ja jemand einen Tipp geben.
Kann die Gruppe nicht gefunden werden? Diese existiert aber definitiv an dieser Stelle.

MfG azs

[boris]

Ich bin mir nicht sicher aber versuch es mal so rum:

Code: Select all

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';

$Self->{'AuthModule::LDAP::GroupDN'} = 'DC=azs,DC=loc,CN=otrsagents,OU=Gruppen'; #Gruppe existiert und ich bin Mitglied

$Self->{'AuthModule::LDAP::SearchUserDN'} = 'DC=azs,DC=loc, CN=comlog ticket,OU=Sammelaccounts'; #User existiert und hat Zugriff aufs LDAP, geprüft durch den Softerra LDAP Browser
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'Username@wieauchimmer.wasauchimmer'; #Vielleich stört hier das Leerzeichen Ich hab Username@wieauchimmer.wasauchimmer
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort';

[azs]

Hallo,

hat ein wenig gedauert hatte die letzten Tage wenig Zeit.

Folgende Fehlermeldung bekomme ich nun.

Code: Select all

[Sat Mar 31 12:28:58 2012][Error][Kernel::System::Auth::LDAP::Auth][278] Search failed! base='DC=azs,DC=loc,CN=otrsagents,OU=Gruppen', filter='(memberUID=CN=test user,OU=IT,OU=Commercial,OU=BN,DC=azs,DC=loc)', Success

Ist das nun ein Fortschritt oder Rückschritt ^^

EDIT

Benutze nun einen User ohne Leerzeichen.
Wenn ich die Zeile GrouDN auskommentiere komme ich rein, User muss in der OTRS-DB stehen.
URL der GroupDN die mir der LDAP Browser liefert: ldap://IP:389/CN=otrsagents,OU=Gruppen,DC=azs,DC=loc

[boris]

Ich würde sagen dass stimmt noch nicht:

Code: Select all

filter='(memberUID=CN=test user,OU=IT,OU=Commercial,OU=BN,DC=azs,DC=loc)'

memberUID=CN=test user sollte eher memberUID=test user heissen.

Guck dir den User mal in einem LDAP Browser an (Softerra LDAP Browser o.ä). Dann siehst du wonach du Filtern kannst bzw. was unter memberUID steht.

[azs]

memberUID finde ich im Softerra LDAP Browser leider nicht.

CN: Test User
DN: CN=test user,OU=IT,OU=Commercial,OU=BN,DC=azs,DC=loc
sAMAAccountName: test user

Mit auskommentiertem GroupDN kann ich mich ja einloggen und folgendes steht im log

Code: Select all

[Sat Mar 31 15:47:14 2012][Notice][Kernel::System::Auth::LDAP::Auth] User: test user (CN=Test User,OU=IT,OU=Commercial,OU=BN,DC=azs,DC=loc) authentication ok (REMOTE_ADDR: 127.0.0.1).

Ich denke das "CN=" darf auf keinen Fall fehlen.

Hier nochmal meine aktuelle config

Code: Select all

$Self->{'AuthModule1'}  = 'Kernel::System::Auth::DB'; #für root User notwendig
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'IP';# Active Directory Controller
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=azs,dc=loc'; #Domäne
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName'; #Benutzername des sich anmeldenden Benutzers
#$Self->{'AuthModule::LDAP::GroupDN'} = 'DC=azs,DC=loc,CN=Gruppe-IT,OU=Gruppen'; # nur Mitglieder dieser Gruppe dürfen sich einloggen, funktioniert noch nicht
$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUID'; # bei 2008er Domänen ist es 'member' bei 2003er ist es 'memberUID'
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN'; #kompletter ldap-Pfad des sich anmeldenden Benutzers
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'comlogticket@azs.loc'; # Benutzer für Zugriff auf LDAP
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'pass'; #Passwort des Benutzers

$Self->{'AuthModule::LDAP::Params'} = {
    port => 389,
    timeout => 120,
    async => 0,
    version => 3,
};

EDIT

es scheint nun zu funktionieren

Wenn ich den Test User aus der Gruppe rausnehme, dann kann er sich nicht mehr einloggen.

Hier also die final config, und danke für den LDAP to DB sync, erspart mir das anlegen von 5 Agenten

Code: Select all

$Self->{'AuthModule1'}  = 'Kernel::System::Auth::DB'; #für root User notwendig
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'IP'; #Active Directory Controller
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=azs,dc=loc'; #Domäne
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName'; #Benutzername des sich anmeldenden Benutzers
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=otrsagents,OU=Gruppen,DC=azs,DC=loc'; #nur Mitglieder dieser Gruppe dürfen sich einloggen
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member'; #bei 2008er Domänen ist es 'member' bei 2003er ist es 'memberUID'
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN'; #kompletter ldap-Pfad des sich anmeldenden Benutzers
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'comlogticket@azs.loc'; #Benutzer für Zugriff auf LDAP
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'pass'; #Passwort des Benutzers

$Self->{'AuthModule::LDAP::Params'} = {
    port => 389,
    timeout => 120,
    async => 0,
    version => 3,
};

#Agenten automatisch anlegen
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
        $Self->{'AuthSyncModule::LDAP::Host'} = 'IP';
        $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=azs,dc=loc';
        $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
        $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'comlogticket@azs.loc';
        $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'pass';
        $Self->{'AuthSyncModule::LDAP::AlwaysFilter'} = '';
        $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
            'UserEmail' => 'mail',
            'UserFirstname' => 'givenName',
            'UserLastname' => 'sn',
            'UserLogin' => 'sAMAccountName'
        };

[boris]

ist CN=Gruppe-IT wirklich CN?
Oder OU=Gruppe-IT

Was für eine Dömäne ist es? Windows 2008? Seit 2003 gibt es kein memberUID mehr . Bei 2208 ist es nur member

[azs]

Hi,

hab meinen Post eben editiert, ist ne 2003er Domäne.

Danke nochmal.

Bye

[Bootsmann]

Moin,

ich mache auch meine ersten Versuche mit OTRS 3.1.7 auf openSUSE 11.4 und möchte eine Authentisierung der Agenten über unser 2008 R2 Active Directory. Meine Config.pm entspricht der von 'azs' und ich habe mich schon durch die diversen Threads und Anleitungen von 'boris' & Co gewühlt. Hier ein Auszug aus meiner Config.pm:

Code: Select all

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'xxx.xxx.16.107';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=firma,dc=kn,dc=de';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
#$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=otrs_agents,OU=otrs,DC=firma,DC=kn,DC=de';
$self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'ldap.otrs@firma.kn.de';
$Self->{'AuthModule::LDAP::SearchUserPw'} = '<Pa$$w0rd>';
$Self->{'AuthModule::LDAP::Params'} = {
                port => 389,
                timeout => 120,
                async => 0,
                version => 3,
                };
$Self->{'AuthModule::LDAP::UserSyncMap'} = {
                'UserEmail' => 'mail',
                'UserFirstname' => 'givenName',
                'UserLastname' => 'sn',
                'UserLogin' => 'sAMAccountName',
                };

Der User 'ldap.otrs@firma.kn.de' hat die Berechtigung im AD zu lesen und er ist Mitglied von 'Domänen-Benutzer' und 'Windows-Autorisierungszugriffsgruppe'. Die Authentisierung zum AD auslesen klappt sowohl über DN als auch über den userPrincipalName.
Der User 'pert.mueller' entspricht unserem Loginschema und liegt in der 'OU=otrs,DC=firma,DC=kn,DC=de". Außerdem ist er Mitglied in der globalen Sicherheitgruppe 'CN=otrs_agents,OU=otrs,DC=firma,DC=kn,DC=de'.

Wenn ich die Config.pm wie gepostet anwende, dann kann ich mich einloggen und in /var/log/otrs.log steht

Code: Select all

[Wed Jul 11 17:03:49 2012][Notice][Kernel::System::Auth::LDAP::Auth] User: peter.mueller(CN=peter.mueller,OU=otrs,DC=firma,DC=kn,DC=de) authentication ok (REMOTE_ADDR: xxx.xxx.18.4).

Wenn ich nun die Zeile bezüglich der 'GroupDN' wieder einkommentiere dann kann ich mich nicht einloggen und erhalte die selbe Fehlermeldung wie 'azs'

Code: Select all

[Wed Jul 11 16:59:10 2012][Notice][Kernel::System::Auth::LDAP::Auth] User: peter.mueller authentication failed, no LDAP group entry foundGroupDN='CN=otrs_agents,OU=otrs,DC=firma,DC=kn,DC=de', Filter='(memberUid=CN=peter.mueller,OU=otrs,DC=firma,DC=kn,DC=de)'! (REMOTE_ADDR: xxx.xx.18.4).

Die einzelnen Abhängigkeiten etc. innerhalb des AD habe ich mir mit dem LDAP-Administrator von Softerra angeschaut und ich habe bis jetzt keinen Fehler bezüglich CN, OU, etc. gefunden.

Ich weiß mittlerweile nicht mehr wo ich suchen soll. Ich habe eine ähnliche Authentifizierung auch bei SVN über WebDAV eingebaut und das funktioniert einwandfrei.

Wer kann mir weiterhelfen???

Gruß,
d'Bootsmann

Nachklapp:

Damit ich das richtig verstanden habe: $Self->{'AuthModule::LDAP::GroupDN'} - ist die Gruppe in welcher die Mitglieder sind die OTRS als Agenten benutzen dürfen

Ich habe nochmal "ldapsearch" ausprobiert:

Code: Select all

ldapsearch -x -h xxx.xxx.16.107 -b cn=peter.mueller,ou=otrs,dc=firma,dc=kn,dc=de -D cn=ladp.otrs,ou="otrs",dc=firma,dc=kn,dc=de -W

Damit bekomme ich die korrekte Information aus dem AD ausgelesen.

[boris]

Hi, klappt das mittleweile? Oder besteht das Problem noch?

[Bootsmann]

Moin,

klappt leider immer noch nicht. Habs aus Zeitgründen im Moment auch dran gegeben. Hatte mir nochmal zum Testen eine OU mit Gruppen und Benutzern ohne Sonder- und Leerzeichen erstellt. Keine Chance.

Hast Du eine Idee?


Gruß,
der Bootsmann

[boris]

ist das nur zum anopnymisieren?

Code: Select all

DC=firma,

Die Fehlermeldung behauptetja klar dass der User in der angegebenen GrouDN nicht gefunden werden kann, also wird da was nicht stimmen.

[root]

Sind die User in der Gruppe direkt eingetragen oder über eine weitere Gruppe (verschachtelt)?

Hast Du mal die LDAP-Abfrage mit einem LDAP=Browser wie Apache Directory Studio getestet?