AuthSyncModule + LDAP arbeitet nicht

Allgemein Fragen, deutsche News, Ankündigungen & Events zu Znuny
Forum rules
Locked
MrSpoocy
Znuny newbie
Posts: 19
Joined: 04 Apr 2013, 09:11
Znuny Version: OTRS 3.2.4
Real Name: Manuel

AuthSyncModule + LDAP arbeitet nicht

Post by MrSpoocy »

Hi,

also wir setzen jetzt seit über 1. Jahr OTRS ein, unter anderem habe ich für die Agent SSO verwendet und gestern viel mir auf das sich dann Jeder als Agaent einlogen kann weil eben alle User im gleichen Verzeichnis der ADS liegen. Ok
warum das so ist habe ich schon verstanden und vorerst Kernel::System::Auth::LDAP aktiviert (wobei ich nicht verstehe warum SSO und AuthSyncModule im Widerspruch stehen).

Jetzt geht der Login wie gewollt nur noch für Personen welcher in einer bestimmten Gruppe sind ( $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS-Agents,OU=OTRS,OU=Groups,OU=Company,DC=xxxxxxxx,DC=de'; ). Leider geht nun
aber nicht mehr die Sync der Gruppen. Folgende Config verwende ich:

Code: Select all

   $Self->{AuthSyncModule} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = '192.168.49.24';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'ou=Users,ou=Company,dc=xxxxxxxx,dc=de';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';

    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'xxxxxxxxxxx';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'xxxxxxxxxxx';

    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname	=> 'givenName',
        UserLastname	=> 'sn',
        UserEmail		=> 'mail',
    };

	$Self->{'AuthSyncModule::LDAP::Params'} = {
		port    => 389,
		timeout => 15,
		async   => 0,
		version => 3,
	};

	$Self->{'AuthSyncModule::LDAP::Die'} = 1;

	$Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';
	$Self->{'AuthSyncModule::LDAP::UserAttr'} = 'DN';
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];


    $Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
        'CN=OTRS-Admins,OU=OTRS,OU=Groups,OU=Company,DC=xxxxxxxx,DC=de' => {
            'admin' => {
                rw => 1,
                ro => 0,
            },
			'faq' => {
				rw => 1,
				ro => 0,
			},
			'faq_admin' => {
				rw => 1,
				ro => 0,
			},
			'faq_approval' => {
				rw => 1,
				ro => 0,
			},
			'stats' => {
				rw => 1,
				ro => 0,
			},
			'users' => {
				rw => 1,
				ro => 0,
			},
			'directory' => {
				rw => 1,
				ro => 0,
			},
        },
        'CN=OTRS-Directory,OU=OTRS,OU=Groups,OU=Company,DC=xxxxxxxx,DC=de' => {
            'directory' => {
                rw => 1,
                ro => 0,
            },
        },
        'CN=OTRS-IT-Support,OU=OTRS,OU=Groups,OU=Company,DC=xxxxxxxx,DC=de' => {
            'it-support' => {
                rw => 1,
                ro => 0,
            },
        },
		'CN=OTRS-Facilitymanagement,OU=OTRS,OU=Groups,OU=Company,DC=xxxxxxxx,DC=de' => {
            'facility_management' => {
                rw => 1,
                ro => 0,
            },
        },
		'CN=OTRS-Schliessanlage,OU=Facilitymanagement,OU=OTRS,OU=Groups,OU=Company,DC=xxxxxxxx,DC=de' => {
            'schliessanlage' => {
                rw => 1,
                ro => 0,
            },
        },
        'CN=OTRS-Mobile,OU=Facilitymanagement,OU=OTRS,OU=Groups,OU=Company,DC=xxxxxxxx,DC=de' => {
            'mobile' => {
                rw => 1,
                ro => 0,
            },
        },
        'CN=OTRS-Third-Level-Support,OU=OTRS,OU=Groups,OU=Company,DC=xxxxxxxx,DC=de' => {
            'Third-Level-Support' => {
                rw => 1,
                ro => 0,
            },
        }

	};
Leider bekommt der Agent aber dennoch sehr merkwürdige rechte, also z.B. ist jemand "admin" obwohl er eben nicht in der AD Gruppe ist. Hab auch das Gefühl das wenn das ein mal Synchronisiert wurde nicht mehr aktualisiert wird.
In den Logs sehe ich auch das er zumindest gegenprüft "User: xxxxx not in GroupDN='CN=OTRS-xxxxx...' aber dennoch hat der Agent die rechte.


Mir fällt auch auf das wenn ich beim Benutzer im AD seine E-Mail ändere diese im OTRS nicht angepasst wird obwohl Sync aktiviert ist.
Last edited by MrSpoocy on 24 Sep 2013, 12:58, edited 1 time in total.
OTRS: 3.2.5
Ubuntu 12.10 - Kernel 3.2.0-40
Apache2 with mod_perl
Top
MrSpoocy
Znuny newbie
Posts: 19
Joined: 04 Apr 2013, 09:11
Znuny Version: OTRS 3.2.4
Real Name: Manuel

Re: AuthSyncModule +LDAP arbeitet nicht

Post by MrSpoocy »

ich hab mir jetzt mal den Code angeschaut von Auth:Sync:LDAP, und durfte zum erschrecken feststellen das bei UserSyncGroupsDefinition zwar ein Abgleich zwischen LDAP -> DB erfolgt, jedoch niemals eine jemals gesetzte Gruppe aus der Datenbank gelöscht wird. Es wird ein Logeintrag erzeugt und direkt zur nächsten Gruppe gesprungen. Für mein Verständnis ist das aber falsch, normal müsste vor der Gruppen Prüfung alles auf UserSyncInitialGroups gestetzt werden und dann erst der Abgleich. Dann würde auch das SSO nicht so das Problem machen, weil zwar jeder Customer sich als Agent einlogen kann aber nur in die Gruppe von UserSyncInitialGroups kommen würde.

Oder sehe / verstehe ich da irgendwas falsch?
OTRS: 3.2.5
Ubuntu 12.10 - Kernel 3.2.0-40
Apache2 with mod_perl
Top
Locked

Return to “Allgemeines”