Zwei Active Directories an OTRS anbinden?

[darktrooper1991]

Hallo,

ich suche verzweifelt nach einer Möglichkeit unser Ticketsystem an zwei ADs anzubinden.
Habe schon versucht die Konfiguration einer LDAP-Abfrage zu "verdoppeln"(die Zahl hinter der Auth.-Methode ist bei der zweiten AD "1")
Leider hat dies nicht funktioniert.
Wie muss man da vorgehen und was passiert, wenn es in beiden ADs einen Benutzer mit selbem Login-Namen hat(verwendet man dann statt sAMAccountName die Email?)

Wäre dankbar wenn jemand Licht ins Dunkel bringen könnte

[root]

Hallo,

ich suche verzweifelt nach einer Möglichkeit unser Ticketsystem an zwei ADs anzubinden.
Habe schon versucht die Konfiguration einer LDAP-Abfrage zu "verdoppeln"(die Zahl hinter der Auth.-Methode ist bei der zweiten AD "1")
Leider hat dies nicht funktioniert.
Wie muss man da vorgehen und was passiert, wenn es in beiden ADs einen Benutzer mit selbem Login-Namen hat(verwendet man dann statt sAMAccountName die Email?)

Wäre dankbar wenn jemand Licht ins Dunkel bringen könnte

Das mit der Zahl ist soweit schon ok, allerdings nicht nur bei der Auth-Methode. Beispiele gibt es zuhauf im Forum.
Da man keine doppelten sAMAccountName vermeiden kann (Beispiel: Administrator) bietet sich ein Feld wie userPrincipalName an. Oder das Feld mail.

-Roy

[darktrooper1991]

So sieht es jetzt aus:
Leider funktioniert nur die erste Domäne(xxx)
Auch kann ich mich nur mit dem Benutzernamen einloggen, falls in sAMAccountname durch Mail ersetze, funktioniert nichts mehr.

€: Ich weiß in dem zeug befindet sich wahrscheinlich noch sehr viel überflüssiger Mist

[root]

So sieht es jetzt aus:
Leider funktioniert nur die erste Domäne(xxx)
Auch kann ich mich nur mit dem Benutzernamen einloggen, falls in sAMAccountname durch Mail ersetze, funktioniert nichts mehr.

€: Ich weiß in dem zeug befindet sich wahrscheinlich noch sehr viel überflüssiger Mist

Zum einen sind die AuthModule auch mehrfach anzulegen, das fehlt hier. Bitte bedenken der erste Treffer wir genommen! Hier mal ein Beispiel aus meiner Konfig mir einer DB Authentifizierung. Analoges
gilt für LDAP.

Code: Select all

$Self->{'Customer::AuthModule1'} = 'Kernel::System::CustomerAuth::DB';
$Self->{'Customer::AuthModule::DB::DSN1'} = "DBI:Pg:dbname=$Self->{Database};host=$Self->{DatabaseHost};";
$Self->{'Customer::AuthModule::DB::User1'} = $Self->{'DatabaseUser'};
$Self->{'Customer::AuthModule::DB::Password1'} = $Self->{'DatabasePw'};
$Self->{'Customer::AuthModule::DB::Table1'} = 'customer_user';
$Self->{'Customer::AuthModule::DB::CustomerKey1'} = 'email';
$Self->{'Customer::AuthModule::DB::CustomerPassword1'} = 'pw';

Also so in etwas:

Code: Select all

$Self->{'Customer::AuthModule1'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host1'} = 'xxx';
$Self->{'Customer::AuthModule::LDAP::BaseDN1'} = 'OU=Accounts,OU=xxx,DC=xxx,DC=DE';
$Self->{'Customer::AuthModule::LDAP::UID1'} = 'sAMAccountName';

Und bei mehreren AD-Domain kann ich nur raten: Finger weg von sAMAccountName

[darktrooper1991]

So habe es nun so weit zum Laufen bekommen, dass man sich einloggen kann.
Die erste Domäne funktioniert komplett, bei der zweiten erscheint die Fehlermeldung:

[Wed Sep 12 11:29:55 2012][Error][Kernel::Output::HTML::Layout::CustomerError][3653] Need CustomerID!!!
[Wed Sep 12 11:29:59 2012][Error][Kernel::Output::HTML::Layout::CustomerError][3653] Need CustomerID!!!

Die Linie in der Config.pm bei beiden Domänen sieht so aus:

Code: Select all

CustomerID => '[customer_id]', 

Habe aber auch schon

'mail',

oder

'o',

eingetragen - keine Verbesserung

[root]

Das ist eine mögliche Einstellung:

Code: Select all

            ['UserLogin',	'Username',	'userPrincipalName',	1, 1, 'var', '', 1 ],
            ['UserEmail',	'E-Mail',	'userPrincipalName',			1, 1, 'var', '', 1 ],
            ['UserCustomerID',	'CustomerID',	'userPrincipalName',	0, 1, 'var', '', 1 ],
            ['UserLastname',	'Lastname',	'sn',			1, 1, 'var', '', 1 ],
            ['UserFirstname',	'Firstname',	'givenName',		1, 1, 'var', '', 1 ],

Und die könnte auch bei beiden Domänen gleich sein.