LDAP Customer Fehler

abc_ch · Post by **abc_ch** » 06 Mar 2009, 12:30

Hallo zusammen

Seit ein paar Tagen beschäftige ich mich mit OTRS. Nun möchte ich eine LDAP Anbindung für die Kunden realisieren.
Die Agenten werden normal über das Webinterface erstellt, und benötigten keine LDAP Auth.

Leider komme ich mit der Customer Auth einfach nicht weiter. Ich habe nun schon diverse Configs ausprobiert, aber es klappt einfach nicht.

Im OTRS-log bekomme ich folgende Fehlermeldung:

Code: Select all

[Fri Mar  6 11:04:55 2009][Error][Kernel::System::CustomerAuth::LDAP::Auth][199] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

Meine momentane Config habe ich von diesem Thread hier kopiert und angepasst: http://www.otrs-forum.de/viewtopic.php?f=16&t=2887

Mit der sollte es ja eigentlich klappen, da es sich hierbei auch um eine aktuelle OTRS Version handelt.

Noch eine andere Frage im voraus: Habe ich es richtig verstanden, dass ich im "Adminbereich -> SysConfig -> Gruppe Framework" keine Änderungen vornehmen muss? Also reicht es wenn ich einfach nur die Config in die Config.pm einfüge?

Hier mal ein Teil aus meiner Config.pm:

Code: Select all

   
 # ---------------------------------------------------- #
    # fs root directory
    # ---------------------------------------------------- #
    $Self->{Home} = 'C:/OTRS/OTRS';

    # ---------------------------------------------------- #
    # insert your own config settings "here"               #
    # config settings taken from Kernel/Config/Defaults.pm #
    # ---------------------------------------------------- #
    # $Self->{SessionUseCookie} = 0;
    # $Self->{'CheckMXRecord'} = 1;



$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'xxxx';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=xxx,dc=xxx';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'samaccountname';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'cn=otrs, ou=xxx, dc=xxx, dc=xxx';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'xxx';

# CustomerUser
# (customer user ldap backend and settings)
$Self->{CustomerUser} = {
Name => 'LDAP Datenquelle',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
# ldap host
Host => 'xxx',
# ldap base dn
BaseDN => 'dc=xxx,dc=xxx',
# search scope (one|sub)
SSCOPE => 'sub',
# # The following is valid but would only be necessary if the
# # anonymous user does NOT have permission to read from the LDAP tree
UserDN => 'cn=otrs, ou=xxx, dc=xxx, dc=xxx',
UserPw => 'xxx',
# in case you want to add always one filter to each ldap query, use
# this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
AlwaysFilter => '',
# if your frontend is e. g. iso-8859-1 and the charset of your
# ldap server is utf-8, use this options (if not, ignore it)
# SourceCharset => 'utf-8',
# DestCharset => 'iso-8859-1',
# Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
Params => {
port => 389,
timeout => 120,
async => 0,
version => 3,
},
},
# customer uniq id
CustomerKey => 'samaccountname',
# customer #
CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['samaccountname', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
# show now own tickets in customer panel, CompanyTickets
CustomerUserExcludePrimaryCustomerID => 0,
# add a ldap filter for valid users (expert setting)
# CustomerUserValidFilter => '(!(description=gesperrt))',
# admin can't change customer preferences
AdminSetPreferences => 0,
Map => [
# note: Login, Email and CustomerID needed!
# var, frontend, storage, shown (1=always,2=lite), required, storage-type, http-link, readonly
[ 'UserSalutation', 'Title', 'title', 1, 0, 'var', '', 0 ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var', '', 0 ],
[ 'UserLogin', 'Username', 'samaccountname', 1, 1, 'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var', '', 0 ],
# [ 'UserCustomerIDs', 'CustomerIDs', 'second_customer_ids', 1, 0, 'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var', '', 0 ],
[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var', '', 0 ],
[ 'UserComment', 'Comment', 'description', 1, 0, 'var', '', 0 ],
],
};



    # ---------------------------------------------------- #

    # ---------------------------------------------------- #
    # data inserted by installer                           #
    # ---------------------------------------------------- #

OTRS Server: Windows 2003 SP2
Active Directory: Windows 2003 SP2
OTRS Version: 2.3.4

Vielen Dank im voraus

ferrosti · Post by **ferrosti** » 09 Mar 2009, 11:33

Den Fehler könntest Du auch mit der Such Funktion herausbekommen.

Deine Fehlermeldung sagt aus, dass der BIND User keine Berechtigung hat die Daten aus dem LDAP zu lesen.
Du musst also die Daten für den "SearchUserDN" überprüfen.

my .02€

Ferrosti

abc_ch · Post by **abc_ch** » 20 Mar 2009, 09:11

Die Fehlermeldung war mir schon klar

. Jedoch bin ich mir sicher, dass die Daten stimmen. Deshalb dachte ich dabei eher an einen Fehler in der Konfiguration

update:

Mit "Domänenadmin" Rechte funktioniert es!!

apocalyps · Post by **apocalyps** » 24 Mar 2009, 18:00

dafür braucht man keinen domadmin
es reicht vollkommen aus wenn man im ad lesen darf (und das darf norm jeder authentifizierte user)