Probleme mit UserSyncLDAPGroupsDefination

tutui · Post by **tutui** » 05 Jun 2008, 13:08

hallo zusammen,

ich bin echt verzweifelt, weil ich das ganze ldap group mapping einfach nicht hinkriege. ich habe auch schon das ganze internet durchforstet und konnte bis jetzt leider noch keine lösung finden. aber wie es doch so schön heisst: "die hoffnung stirbt zuletzt"... und darum melde ich mich nun mal hier zu wort.

also, grundsätzlich funktioniert meine ldap anbindung absolut problemlos. was ich aber zwingend brauche ist ein ldap group mapping, welches ich eigentlich mit "UserSyncLDAPGroupsDefination" realisieren wollte:

Code: Select all

$Self->{'UserSyncLDAPGroupsDefination'} = {
        # ldap group
        'CN=Team Systemengineering,OU=Verteilerlisten,DC=domain,DC=ch' => {
            # otrs group and permissions
            'admin' => { rw => 1, ro => 1, },
        },
    };

leider erhalte ich beim anmelden folgende fehlermeldung im log:

[Thu Jun 5 11:48:26 2008][Notice][Kernel::System::Auth::LDAP::Auth] User: pas not in GroupDN='CN=Team Systemengineering,OU=Verteilerlisten,DC=domain,DC=ch', Filter='(memberUid=CN=Vorname Nachname,OU=Systemengineering,OU=Customer Service,DC=domain,DC=ch)'! (REMOTE_ADDR: 127.0.0.1).

und das obwohl der benutzer "pas" garantiert in der entsprechenden groupdn drin ist! ich habe schon vieles anderes ausprobiert, jedoch erhalte ich immer wieder diese fehlermeldung. die anmeldung an und für sich funktioniert absolut problemlos, ausser dass sich der benutzer "pas" dann eben nicht in der "admin" gruppe befindet.

hat irgendjemand eine ahnung wie ich dieses problem lösen könnte?

vielen dank!

peace,
tutui.

tutui · Post by **tutui** » 06 Jun 2008, 10:46

heureka!

ich habe die lösung gleich selber gefunden. es lag wieder mal an einem kleinen detail, aber darauf muss man erst mal kommen. die fehlermeldung lautete ja:

[Thu Jun 5 11:48:26 2008][Notice][Kernel::System::Auth::LDAP::Auth] User: pas not in GroupDN='CN=Team Systemengineering,OU=Verteilerlisten,DC=domain,DC=ch', Filter='(memberUid=CN=Vorname Nachname,OU=Systemengineering,OU=Customer Service,DC=domain,DC=ch)'! (REMOTE_ADDR: 127.0.0.1).

was mich daran irritierte, war die tatsache, dass da was von "memberUid" stand. ich hab dann mein ganzes AD durchgeforstet und konnte in diesem zusammenhang nur eine postixGroup auffinden, was mir dann schlussendlich den entscheidenden hint gab: in meiner AD gibts keine "memberUid" resp. ist diese nicht implementiert! weiter mache ich ja die LDAP authentifizierung über den "sAMAccountName":

Code: Select all

    # This is an example configuration for an LDAP auth. backend.
    # (take care that Net::LDAP is installed!)
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'ad.domain.ch';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=ch';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

das heisst, ich muss in dem fall dem OTRS beibringen, dass er das group mapping nicht über diese "memberUid" macht, sondern über den "sAMAccountName" und dies kann man wie folgt bewerkstelligen:

Code: Select all

    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group xyz to use otrs)
    #$Self->{'AuthModule::LDAP::GroupDN'} = 'dc=domain,dc=ch';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'sAMAccountName';
    # for ldap posixGroups objectclass (just uid)
    #$Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
    # for non ldap posixGroups objectclass (with full user dn)
    $Self->{'AuthModule::LDAP::UserAttr'} = 'CN';

tja und siehe da plötzlich sieht das log dann doch etwas sympathischer aus:

[Fri Jun 6 09:50:35 2008][Notice][Kernel::System::User::UserUpdate] User: 'pas' updated successfully (1)!
[Fri Jun 6 09:50:35 2008][Notice][Kernel::System::User::SetPassword] User: 'pas' changed password successfully!
[Fri Jun 6 09:50:35 2008][Notice][Kernel::System::Auth::LDAP::Auth] User: 'pas' sync ldap groups OU=Systemengineering,OU=Customer Service,DC=domain
,DC=ch to groups!
[Fri Jun 6 09:50:35 2008][Notice][Kernel::System::Auth::LDAP::Auth] User: 'pas' sync ldap group OU=Systemengineering,OU=Customer Service,DC=domain,
DC=ch in admin group!

ich hoffe ich konnte dem einen oder anderen unter euch weiterhelfen.

peace,
tutui.