AD / LDAP vs. OTRS

asxo · Post by **asxo** » 28 Apr 2009, 11:50

Hallo Zusammen.

Ich habe OTRS Win32 Standartmäßig installiert - komme aber nun nicht weiter mit der LDAP Anbindungen.

Vielleicht hat hier ja jemand eine Idee, was ich hier falsch mache.
Das habe ich in der config.pm eingetrage:

OU=Benuzer,DC=test,DC=test

#_____________________________________________
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'xx.xx.xx.xx';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'OU=Benuzer,DC=test,DC=test;
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'xxxxx';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'xxxxx';

$Self->{CustomerUser} = {
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => 'xx.xx.xx.xx',
BaseDN => 'OU=Benuzer,DC=test,DC=test',
SSCOPE => 'sub',
UserDN => 'xxxxxx
UserPw => 'xxxxxx
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
# var, frontend, storage, shown, required, storage-type
# [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
# [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
# [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
# [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
# [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
# [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
],
};

$Self->{UserSyncLDAPMap} =
{
# DB -> LDAP
Firstname => 'givenName',
Lastname => 'sn',
Email => 'mail',
};
#______________________________________________________________

Anmelden an der index.pl funktioniert, aber nicht an der customer.pl Seite
Was mache ich falsch?

Danke für eure Ideen und Anregungen.

asxo

jojo · Post by **jojo** » 28 Apr 2009, 13:06

Fehlermeldung im Log?

asxo · Post by **asxo** » 28 Apr 2009, 13:43

Wohin schreibt er das Log?

jojo · Post by **jojo** » 28 Apr 2009, 13:54

Normalerweise nach var/log im OTRS Verzeichnis, ist aber abhängig von Deiner Konfiguration

asxo · Post by **asxo** » 28 Apr 2009, 15:06

[Tue Apr 28 13:19:31 2009][Error][Kernel::System::CustomerAuth::LDAP::Auth][226] Search failed! 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best match of:
'OU=Test,OU=Test'

Gruß
asxo

asxo · Post by **asxo** » 29 Apr 2009, 14:50

So, nun habe ich diese Fehlermeldung bei mir stehen.

Die eine habe ich gelöst bekommen.
Jemand eine Idee???

[Wed Apr 29 14:47:47 2009][Error][Kernel::System::CustomerUser::LDAP::new][144] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

jojo · Post by **jojo** » 29 Apr 2009, 14:59

Falscher Benutzername bzw. falsches Passwort für den Binduser

asxo · Post by **asxo** » 29 Apr 2009, 15:13

Habe gerade nochmal alles kontrolliert - UserID & PW stimmen.

Andere möglichkeiten?

(mal für "Nicht Profis?")

Thks
asxo

jojo · Post by **jojo** » 29 Apr 2009, 15:14

hast Du den DN des Bindusers eingetragen?

asxo · Post by **asxo** » 29 Apr 2009, 15:21

Ich habe in unserer AD einen User angelegt, wo nun LDAP über die DN und OU drauf zugreifen kann.

Hoffe ich habe das richtig verstanden und der Binduser ist auch dieser, welchen ich meine - oder reden wir hier von 2 Verschiedenen?

asxo · Post by **asxo** » 30 Apr 2009, 10:02

Ich komme einfach nicht weiter.

Habe jetzt folgenden Code eingefügt:

Code: Select all

# Customer Authentifizirung via LDAP                   
      # ---------------------------------------------------- #
        $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
        $Self->{'Customer::AuthModule::LDAP::Host'} = 'xx.xx.xx';
        $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'xxxxxxxx';
        $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
        $Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'xxxxxxx';
        $Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'xxxxxxxxx';
        $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'xxxxxxxxxx';
        $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'xxxxxxxxxxxx';

        # ---------------------------------------------------- #
        # customer Auth                                        #
        # ---------------------------------------------------- #
        # CustomerUser
        # (customer user ldap backend and settings)
          $Self->{CustomerUser} = {
          Module => 'Kernel::System::CustomerUser::LDAP',
          Params => {
                # ldap host
                Host => 'xxxxxxxx',
                # ldap base dn
                BaseDN => 'xxxxxxxx',
                # search scope (one|sub)
                SSCOPE => 'sub',
                UserDN => 'xxxxxxxx, [base_dn]',
                UserPw => 'xxxxxxxxxxx',
                AlwaysFilter => '',
                SourceCharset => 'utf-8',
                DestCharset => 'iso-8859-1',
                },
        # customer uniq id
        CustomerKey => 'sAMAccountName',
        # customer #
        CustomerID => 'mail',
        CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
        CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
        CustomerUserSearchPrefix => '',
        CustomerUserSearchSuffix => '*',
        CustomerUserSearchListLimit => 250,
        CustomerUserPostMasterSearchFields => ['mail'],
        CustomerUserNameFields => ['givenname', 'sn'],
        Map => [
        # note: Login, Email and CustomerID needed!
        # var, frontend, storage, shown, required, storage-type
                #[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
                [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
                [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
                [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
                [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
                [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
                [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
                #[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
                #[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
                ],
        };

anmelden an index.pl klappt
anmelden an customer.pl nicht

Fehlermeldung nach Anmelden an index.pl

Code: Select all


[Thu Apr 30 09:57:39 2009][Notice][Kernel::System::Auth::DB::Auth] User: xxxxxx.xxxxxx authentication ok (REMOTE_ADDR: xx.xx.xx.xx).
[Thu Apr 30 09:57:39 2009][Error][Kernel::System::CustomerUser::LDAP::new][144] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece 
[Thu Apr 30 09:57:39 2009][Error][Kernel::System::CustomerUser::LDAP::new][144] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece 
[Thu Apr 30 09:57:39 2009][Error][Kernel::System::CustomerUser::LDAP::new][144] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece 
[Thu Apr 30 09:57:39 2009][Error][Kernel::System::CustomerUser::LDAP::new][144] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

Jemand eine Idee???

jojo · Post by **jojo** » 30 Apr 2009, 10:20

solange an den relevanten Stellen wie Username und BaseDN nur xxxx steht, lässt sich das nicht nachvollziehen

asxo · Post by **asxo** » 30 Apr 2009, 10:45

Ok, dann vereinfache ich das mal kurz:

Code: Select all

# Customer Authentifizirung via LDAP                   
      # ---------------------------------------------------- #
        $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
        $Self->{'Customer::AuthModule::LDAP::Host'} = '192.168.2.10';
        $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'OU=Abteilung,DC=Niederlassung,DC=West,DC=Client';
        $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
        $Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'OU=Gruppen,OU=Abteilung,DC=Niederlassung,DC=West,DC=Client';
        $Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'Gruppe_OTRS';
        $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'cn=OTRS_account, cn=Benutzer, [base_dn]';
        $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'kennwort';

        # ---------------------------------------------------- #
        # customer Auth                                        #
        # ---------------------------------------------------- #
        # CustomerUser
        # (customer user ldap backend and settings)
          $Self->{CustomerUser} = {
          Module => 'Kernel::System::CustomerUser::LDAP',
          Params => {
                # ldap host
                Host => '192.168.2.10',
                # ldap base dn
                BaseDN => 'OU=Abteilung,DC=Niederlassung,DC=West,DC=Client',
                # search scope (one|sub)
                SSCOPE => 'sub',
                UserDN => 'cn=OTRS_account, cn=Benutzer, [base_dn]',
                UserPw => 'kennwort',
                AlwaysFilter => '',
                SourceCharset => 'utf-8',
                DestCharset => 'iso-8859-1',
                },
        # customer uniq id
        CustomerKey => 'sAMAccountName',
        # customer #
        CustomerID => 'mail',
        CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
        CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
        CustomerUserSearchPrefix => '',
        CustomerUserSearchSuffix => '*',
        CustomerUserSearchListLimit => 250,
        CustomerUserPostMasterSearchFields => ['mail'],
        CustomerUserNameFields => ['givenname', 'sn'],
        Map => [
        # note: Login, Email and CustomerID needed!
        # var, frontend, storage, shown, required, storage-type
                #[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
                [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
                [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
                [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
                [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
                [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
                [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
                #[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
                #[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
                ],
        };

Code: Select all


[Thu Apr 30 09:57:39 2009][Notice][Kernel::System::Auth::DB::Auth] User: vorname.nachname authentication ok (REMOTE_ADDR: 192.168.2.10).
[Thu Apr 30 09:57:39 2009][Error][Kernel::System::CustomerUser::LDAP::new][144] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece 
[Thu Apr 30 09:57:39 2009][Error][Kernel::System::CustomerUser::LDAP::new][144] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece 
[Thu Apr 30 09:57:39 2009][Error][Kernel::System::CustomerUser::LDAP::new][144] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece 
[Thu Apr 30 09:57:39 2009][Error][Kernel::System::CustomerUser::LDAP::new][144] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

jojo · Post by **jojo** » 30 Apr 2009, 11:03

Hallo,

das hier:

$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'OU=Abteilung,DC=Niederlassung,DC=West,DC=Client';

sieht nicht nach einer korrekten BaseDN eines MS AD aus.

Das nicht nach einer Gruppe:

$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'OU=Gruppen,OU=Abteilung,DC=Niederlassung,DC=West,DC=Client';

Hier gehört statt "Gruppe_OTRS" das Wort "member" rein. Und in Customer::AuthModule::LDAP::GroupDN natürlich die richtige Filtergruppe:

$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'Gruppe_OTRS';

Das ist sicherlich nicht der korrekte DN wie er in Deiner Config.pm steht?:

$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'cn=OTRS_account, cn=Benutzer, [base_dn]';

asxo · Post by **asxo** » 30 Apr 2009, 11:26

Ich weiss, etwas nervig - aber ich dreh hier noch durch

So, expliziet steht (nun)das drin:

Code: Select all

# Customer Authentifizirung via LDAP                   
      # ---------------------------------------------------- #
        $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
        $Self->{'Customer::AuthModule::LDAP::Host'} = 10.10.50.20';
        $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'OU=Niederlassung,OU=West,OU=Client,DC=ger,DC=win,DC=int,DC=KO';
        $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
        $Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'cn=KO_All_GG,OU=1Gruppen,OU=West,OU=Client,DC=ger,DC=win,DC=int,DC=KO';
        $Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';
        $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'otrs.rt_account, cn=Benutzer, [base_dn]';
        $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'kennwort';
#____________________
#CustomerUser
# (customer user ldap backend and settings)
$Self->{CustomerUser} = {
       Name => 'LDAP Backend',
        Module => 'Kernel::System::CustomerUser::LDAP',
        Params => {
            # ldap host
            Host => '10.10.50.20',
            # ldap base dn
            BaseDN => 'OU=Niederlassung,OU=West,OU=Client,DC=ger,DC=win,DC=int,DC=KO',
            # search scope (one|sub)
            SSCOPE => 'sub',
            # The following is valid but would only be necessary if the
            # anonymous user does NOT have permission to read from the LDAP tree
            UserDN => 'otrs.rt_account, cn=Benutzer, [base_dn]',
            UserPw => 'kennwort',
            # in case you want to add always one filter to each ldap query, use
            # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
            AlwaysFilter => '',
            # if your frontend is e. g. iso-8859-1 and the charset of your
            # ldap server is utf-8, use this options (if not, ignore it)
            SourceCharset => 'utf-8',
            DestCharset => 'iso-8859-1',
            # die if backend can't work, e. g. can't connect to server
            Die => 1,
            # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
            Params => {
                port => 389,
                timeout => 120,
                async => 0,
                version => 3,
            },
        },
        # customer uniq id
        CustomerKey => 'uid',
        # customer #
        CustomerID => 'sAMAccountName',
        CustomerUserListFields => ['cn', 'mail'],
        CustomerUserSearchFields => ['uid', 'cn', 'mail'],
        CustomerUserSearchPrefix => '',
        CustomerUserSearchSuffix => '*',
        CustomerUserSearchListLimit => 250,
        CustomerUserPostMasterSearchFields => ['mail'],
        CustomerUserNameFields => ['givenname', 'sn'],
        # show now own tickets in customer panel, CompanyTickets
        CustomerUserExcludePrimaryCustomerID => 0,
        # add a ldap filter for valid users (expert setting)
        # CustomerUserValidFilter => '(!(description=gesperrt))',
        # admin can't change customer preferences
        AdminSetPreferences => 0,
        # cache time to life in sec. - cache any ldap queris
        CacheTTL => 0,
        Map => [
            # note: Login, Email and CustomerID needed!
            # var, frontend, storage, shown (1=always,2=lite), required, storage-type, http-link, readonly
            [ 'UserSalutation', 'Title',      'title',           1, 0, 'var', '', 0 ],
            [ 'UserFirstname',  'Firstname',  'givenname',       1, 1, 'var', '', 0 ],
            [ 'UserLastname',   'Lastname',   'sn',              1, 1, 'var', '', 0 ],
            [ 'UserLogin',      'Username',   'uid',             1, 1, 'var', '', 0 ],
            [ 'UserEmail',      'Email',      'mail',            1, 1, 'var', '', 0 ],
            [ 'UserCustomerID', 'CustomerID', 'mail',            0, 1, 'var', '', 0 ],
            # [ 'UserCustomerIDs', 'CustomerIDs', 'second_customer_ids', 1, 0, 'var', '', 0 ],
            [ 'UserPhone',      'Phone',      'telephonenumber', 1, 0, 'var', '', 0 ],
            [ 'UserAddress',    'Address',    'postaladdress',   1, 0, 'var', '', 0 ],
            [ 'UserComment',    'Comment',    'description',     1, 0, 'var', '', 0 ],
        ],
    };

Gruß, asxo

jojo · Post by **jojo** » 30 Apr 2009, 11:38

Tja, ein Supportvertrag oder ein Consultant vor Ort zur Einrichtung kann schon hilfreich sein

'otrs.rt_account, cn=Benutzer, [base_dn]'; ist kein! DN

asxo · Post by **asxo** » 30 Apr 2009, 11:43

Auf jeden Fall

'cn=otrs.rt_account, OU=Benutzer, [base_dn]'; schon

Ich wechsel gleich zur Konkurenz *lach*
Nein, Spaß bei Seite, das muss doch mal laufen.

jojo · Post by **jojo** » 30 Apr 2009, 11:46

asxo wrote: 'cn=otrs.rt_account, OU=Benutzer, [base_dn]'; schon

Wenn ist es "cn=otrs.rt_account, OU=Benutzer, DC=int,DC=KO" (sofern Benutzer direkt unter int liegt)

asxo · Post by **asxo** » 30 Apr 2009, 11:58

So, ich bin einen Schritt weiter.

Aber jetzt bekomme ich die nächste Fehlermeldung:

"Panic! No UserData!!! "

.....und wieder das nächste Problem *lach*

jojo · Post by **jojo** » 30 Apr 2009, 13:17

Dann bekommst Du aus $Self->{CustomerUser} = {
Module => 'Kernel::System::CustomerUser::LDAP',...

keine Kundendaten. Also vielleicht dort auch noch ein Authentifizierungsproblem?

asxo · Post by **asxo** » 30 Apr 2009, 13:21

Ich muss doch eine neue Datenbank anlegen und die dann hier benennen, oder?

Self->{CustomerUser} = {
Name => 'xxx-Datenbank-xxx,
Module => 'Kernel::System::CustomerUser::LDAP',

Falls ja - wie kann die die Datenbank anlegen?

jojo · Post by **jojo** » 30 Apr 2009, 13:27

Ne, die Daten kommen aus dem LDAP und werden nicht gespeichert. Da aber CustomerUser eine eigene Authentifizierung am LDAP Server vornimmt wirst Du dort wahrscheinlich noch den selben Fehler haben wie in CustomerAuth vorher

asxo · Post by **asxo** » 30 Apr 2009, 14:22

HA - Ich hab´s !!!!!

Hab folgendes ersetzt:

[ 'UserLogin', 'Username', 'uid', 1, 1, 'var', '', 0 ],

[ 'UserLogin', 'Username', 'sAMAccountName', 1, 1, 'var', '', 0 ],

Nun läuft es!

Greeeeeeetz
asxo

jojo · Post by **jojo** » 30 Apr 2009, 15:15

prima