Benutzer aus zwei AD Gruppen zu Agentgruppen zuordnen

[kleinemeise]

Hallo Leute,

wir haben aktuell im AD eine Gruppe "OTRS_User" angelegt. Welche automatisch im OTRS in die "users" geschoben werden.
Jetzt benötige ich aber eine zweite AD Gruppe "OTRS_User_BLA" welche im OTRS in eine andere Gruppe geschoben wird.

Kann mir da jemand helfen? Das AuthSyncModule bezieht sich ja nicht auf die AD Gruppe.

Meine aktuelle Konfig:

Code: Select all

# lokale Authenifikation
 $Self->{AuthModule1} = 'Kernel::System::Auth::DB';
	
# AD Authentifikation	
	
	 # This is an example configuration for using an MS AD backend
    $Self->{'AuthModule2'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host2'} = 'firma.intern';
    $Self->{'AuthModule::LDAP::BaseDN2'} = 'DC=firma,DC=intern';
    $Self->{'AuthModule::LDAP::UID2'} = 'sAMAccountName';
 
    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group OTRS_Agents to use otrs)
    $Self->{'AuthModule::LDAP::GroupDN2'} = 'CN=OTRS_User,OU=OTRS,OU=Gruppen,OU=FIRMA,DC=firma,DC=intern';
    $Self->{'AuthModule::LDAP::AccessAttr2'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr2'} = 'DN';
 
    # Bind credentials to log into AD
	
	$Self->{'AuthModule::LDAP::SearchUserDN2'} = 'CN=OTRS,OU=OTRS,OU=Accounts,OU=FIRMA,DC=firma,DC=intern';
	
	$Self->{'AuthModule::LDAP::SearchUserPw2'} = 'XXX';
 
    # in case you want to add always one filter to each ldap query, use
    # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
    $Self->{'AuthModule::LDAP::AlwaysFilter2'} = '';
 
    # in case you want to add a suffix to each login name,  then
    # you can use this option. e. g. user just want to use user but
    # in your ldap directory exists user@domain.
    #$Self->{'AuthModule::LDAP::UserSuffix'} = '';
 
    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params2'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    };
 
   # Now sync data with OTRS DB
#    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'firma.intern';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'DC=firma,DC=intern';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
  	$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=OTRS,OU=OTRS,OU=Accounts,OU=FIRMA,DC=firma,DC=intern';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'XXX';
 
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
		UserPosition  => 'title',
		
    };
 
    # AuthSyncModule::LDAP::UserSyncInitialGroups
    # (sync following group with rw permission after initial create of first agent
    # login)
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];
	
	
	

[Sulaco]

Hi

Bei UserSyncInitialGroups werden neue Nutzer einmalig einer oder mehreren Gruppen mit rw-Berechtigung zugewiesen.
Bitte korrigiert mich, wenn ich falsch liege, meines Wissens nach funktioniert das nur über Rollen. Du musst die Rollen erstellen, bei mir sinds 3 für Admin, Users1 und Users2, diesen die jeweiligen Berechtigungen in den Gruppen zuweisen und in der Config was ändern.
$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [ ... ]
zu

Code: Select all

$Self->{'AuthSyncModule::LDAP::UserSyncRolesDefinition'} = {
	# ldap group
	'cn=otrs-admin,ou=someOU,dc=example,dc=net' => {
		# OTRS Group
		'admin' => 1,
	},
	'cn=otrs-users1,ou=someOU,dc=example,dc=net' => {
		'users1' => 1,
	},
	'cn=otrs-users2,ou=someOU,dc=example,dc=net' => {
		'users2' => 1,
	},
};