Probleme bei LDAP Anbindung OTRS 3.3

[icMP]

Hallo zusammen,
ich versuche jetzt schon den ganzen Tag OTRS mit LDAP zu verknüpfen...
Ich habe mir die "LDAP (AD- Anbindung) für Dummies:-) V2" von Boris als Beispiel genommen. (Vielen Dank an dieser Stelle!!!)

Leider will es jedoch einfach nicht hinhauen...
Installiert hab ich es auf einem Win7 64Bit System (Soll vorerst nur in Erprobung/zu Testzwecken laufen. Wenn dann alles einmal läuft soll es auf einem Server 2008 R2 laufen)
Der Nutzer "otrs" ist im AD angelegt und ist in den Gruppen "Domänen-Benutzer" & "Windows-Autorisierungszugriffsgruppe".
NET::LDAP habe ich installiert.
Meine Config:

config.txt

einen Auszug aus der Log:

log.txt

die Fehlermeldung auf dem Login-Interface der Customer:

Login-Fehler.JPG

Reicht es nach Änderungen an der Config.pm den Apache-Dienst neu zu starten?

Außerdem ist mir nicht ganz klar, mit welchen Daten sich die Customer anzumelden haben...
Im AD ist ein Testuser mit folgenden Daten:
Vorname: Manuel
Nachname: Test
E-Mail: Manuel@Test.de
Benutzeranmeldename: M_Test
Meldet er sich mit dem Windows-Benutzeranmeldenamen oder mit der E-Mail an!?


Da ich erst diese Woche angefangen habe mich mit OTRS auseinander zu setzen, seid bitte gnädig

Vielen Dank vorab und bis bald,
Manu

[KlausNehrer]

Code: Select all

First bind failed! 00002028: LdapErr: DSID-0C0901FC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1

[KlausNehrer]

Und in Deiner config.pm fehlt bei AgentAuth m. E. noch einiges ...

[icMP]

Hey Klaus,
es wäre echt top, wenn du mir näheres sagen könntest, was genau du meinst...
Ich habe aus der Defaults.pm noch folgendes hinzugefügt:

Code: Select all

    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        port    => 389,
        timeout => 120,
        async   => 0,
        version => 3,
    };

leider ohne Erfolg...
Ich bekomme immer noch den gleichen Login-Fehler und im Log stehen auch wieder die gleichen Fehler...
Es wäre echt super, wenn mir jemand weiter helfen könnte...

Danke und bis dahin,
Manu

[steste123]

Funktioniert die Agentenanmeldung?

Mit folgenden Werten kannst du die Agentenauthetifizierung erstellen - gleiches gilt auch für die Kunden.

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'ldaps://HOSTNAME'; //LDAP oder LDAPS kenntlich machen!
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domäne,dc=tld/local';
$Self->{'AuthModule::LDAP::UID'} = 'mailnickname';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'mailnickname';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'user@domäne.tld'; //Nutzer mit mind. leserechte zum durchsuchen der AD
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'xxxx'; //Kennwort für den Nutzer
$Self->{'AuthModule::LDAP::Params'} = {
port => 636, //Port - 636 für LDAP-S
timeout => 120,
async => 0,
version => 3,
};


Anmeldung erfolgt dann mit der E-Maialdresse (erkennst du an UID)
Für Kunden musst du natürlich das 'Customer'-Attribut einfügen - logisch oder?

Noch ein Tipp von mir, falls du nicht weißt welches Attribut welchen Inhalt hat oder ob du nicht weißt ob die Daten überhaupt funktionieren nutze den LDAP-BROWSER (http://www.ldapadministrator.com/download.htm)

[icMP]

Erst einmal sorry, dass ich mich jetzt erst melde.
War eine Zeit lang nicht mehr mit diesem Projekt beschäftigt...

Nach etlichen weiteren Versuchen, komme ich leider immer noch nicht weiter.
Auszug aus meiner aktuellen Config.pm:
Agenten Authentifizierung:

Code: Select all

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'ldap://dc01.meine.domäne';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=meine,dc=domäne';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrs@meine.domäne';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'Kennwort';
$Self->{'AuthModule::LDAP::Params'} = {
 port => 389,
 timeout => 120,
 async => 0,
 version => 3,
};

Und für die Customers:

Code: Select all

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'ldap://dc01.meine.domäne';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=meine,dc=domäne';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'otrs@meine.domäne';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'Kennwort';
$Self->{'Customer::AuthModule::LDAP::Params'} = {
 port => 389,
 timeout => 120,
 async => 0,
 version => 3,
};

Bei beiden bekomme ich im Anmeldefenster, dass die Anmeldung fehlgeschlagen ist...

Die Log sagt folgendes:

Code: Select all

[Wed Jan 22 12:03:00 2014][Error][Kernel::System::CustomerAuth::LDAP::Auth][188] First bind failed! 00002028: LdapErr: DSID-0C0901FC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1
[Wed Jan 22 12:03:00 2014][Error][Kernel::System::CustomerUser::LDAP::_Connect][197] First bind failed! 00002028: LdapErr: DSID-0C0901FC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1

[Wed Jan 22 12:04:10 2014][Error][Kernel::System::CustomerAuth::LDAP::Auth][188] First bind failed! 00002028: LdapErr: DSID-0C0901FC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1
[Wed Jan 22 12:04:10 2014][Error][Kernel::System::CustomerUser::LDAP::_Connect][197] First bind failed! I/O Error Connection reset by peer

[Wed Jan 22 12:44:58 2014][Error][Kernel::System::CustomerAuth::LDAP::Auth][188] First bind failed! 00002028: LdapErr: DSID-0C0901FC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1
[Wed Jan 22 12:44:58 2014][Error][Kernel::System::CustomerUser::LDAP::_Connect][197] First bind failed! 00002028: LdapErr: DSID-0C0901FC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1
[Wed Jan 22 12:45:15 2014][Error][Kernel::System::Auth::LDAP::Auth][182] First bind failed! 00002028: LdapErr: DSID-0C0901FC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1
[Wed Jan 22 12:45:15 2014][Error][Kernel::System::User::UserLookup][834] No UserID found for 'XXX@meine.domäne'!

Muss ich vllt irgendetwas an dem DC einstellen?
Der User otrs ist nun sogar DomAdmin (Testweise! Um sicher zu stellen, dass es nicht an fehlenden Rechten liegt).

Ich habe beide Verbindungen getestet, mit LDAP-S -> Port 636 und LDAP -> Port 389...
Muss ich vllt. noch irgendwo anders konfigurieren, dass die Authentifizierung via LDAP stattfinden soll?

Und kann mir vllt. jemand eine funktionierende Config.pm mit LDAP-Anbindung zukommen lassen?!

Danke für eure Geduld!
Best regards,
Manu

[steste123]

Schau dir mal folgenden Artikel an - scheint ein Fehler bei deinem AD-Server zu sein

http://support.microsoft.com/kb/2545140/de

[icMP]

Yes, that's it!!!
Die Authentifizierung klappt!
Riesen Danke für eure Hilfe! Vor allem an steste123 für den Tip!

Ich habe jetzt zwar den nächsten Fehler ("Panic, user authenticated but no user data can be found in OTRS DB!! Perhaps the user is invalid."), aber das liegt wahrscheinlich an noch auskommentierten Einstellungen.
Muss der Nutzer (Agent & Customer), welcher sich anmelden möchte unbedingt in die DB repliziert werden?
Kann es nicht einfach nur über LDAP laufen?!

Update:
Bei den CustomerUsers bekomme ich "Authentication succeeded, but no customer record is found in the customer backend. Please contact your administrator."

[steste123]

Gerne!

Die Kunden/Agenten müssen einmal in die DB eingetragen werden. LDAP ist ja nur eine Authentifizierungsmethode.
Du kannst alternativ eine andere Datenbank anbinden, falls diese woanders vorhanden ist.

[icMP]

Das heißt ich muss händisch alle 90 Mitarbeiter eintragen!?
Gibt es da eine Möglichkeit die vorhandenen Informationen aus dem AD in die DB zu spiegeln?

[jojo]

Ja, den Auth Sync. Einfach aus der Defaults.pm in die Config.pm kopieren

[icMP]

Endlich läufts!
Die Synchronisation der Agenten hat funktioniert, also wollte ich es genau so auch für die Customers lösen.
Nach einiger Recherche habe ich gelernt, dass die Kunden nicht in die Lokale DB synchronisiert werden, sondern die Daten quasi "live" vom LDAP abgerufen werden.

Auch das funktioniert nun endlich!
Schuld war folgendes:

Params => {
Host => 'dc.Firma2.local',
BaseDN => 'DC=Firma2, DC=local',
SSCOPE => 'sub',
UserDN => 'binduser2@Firma2.local',
UserPw => 'Password2',
AlwaysFilter => '(&(objectclass=user)(mail=*.*@xxx.de))',
},

Habe den Filter dann leer gelassen und schon gings...
Danke für die Mühe und Hilfe!
Regards,
Manu