LDAP AD Agenten anbindung

OLLIWOOD · Post by **OLLIWOOD** » 11 Aug 2009, 11:49

Hallo zusammen!

Ich habe folgendes Problem, beim Login als Agent gibt das Log folgende Fehlermeldung zurück:

User: owxxx1 authentication failed, no LDAP group entry foundGroupDN='cn=otrs,ou=UHG,dc=ad,dc=xxxxx,dc=de', Filter='(memberUid=CN=owxxx1,OU=wirtschaft-und-gesundheit,OU=studierende,DC=ad,DC=xxx,DC=de)'! (REMOTE_ADDR: 127.0.0.1).

Hier meine Config.pm:

# This is an example configuration for an LDAP auth. backend.
# (take care that Net::LDAP is installed!)
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'ldaps://dc01-uhg.ad.xxxxx.de';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=ad,dc=xxxxx,dc=de';
$Self->{'AuthModule::LDAP::UID'} = 'samaccountname';

# Check if the user is allowed to auth in a posixGroup
# (e. g. user needs to be in a group xyz to use otrs)
$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=otrs,ou=UHG,dc=ad,dc=xxxxx,dc=de';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
# for ldap posixGroups objectclass (just uid)
# $Self->{'AuthModule::LDAP::UserAttr'} = 'uid';
# for non ldap posixGroups objectclass (with full user dn)
# $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

# The following is valid but would only be necessary if the
# anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=Internet,ou=UHG,dc=ad,dc=xxxxx,dc=de';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'xxxxx';

# in case you want to add always one filter to each ldap query, use
# this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

# in case you want to add a suffix to each login name, then
# you can use this option. e. g. user just want to use user but
# in your ldap directory exists user@domain.
# $Self->{'AuthModule::LDAP::UserSuffix'} = '@domain.com';

# Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
$Self->{'AuthModule::LDAP::Params'} = {
port => 636,
timeout => 120,
async => 0,
version => 3,
};

Der Costumer Login funktioniert bei mir bereits, nur der Agenten Login nicht. Der User, der sich anzumelden versucht befindet sich in der Gruppe otrs:
$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=otrs,ou=UHG,dc=ad,dc=xxxxx,dc=de';

desweiteren verstehe ich das mit der memberUid nicht:
$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';

Ich bedanke mich schon mal vorab für die Hilfe

Gruß

olli

Joyner · Post by **Joyner** » 11 Aug 2009, 12:08

Hallo Olli,

achte mal auf die Groß-/Kleinschreibung ggf. liegts daran wie u.a. bei

$Self->{'AuthModule::LDAP::UID'} = 'samaccountname';

mfg
Sebastian

garwen · Post by **garwen** » 12 Aug 2009, 07:44

Erst mal beachten, was Sebastian sagte. Die AD verhält sich in Sachen Gross-/Kleinschreibung manchmal wirklich seltsam

Dann Du hast in Deiner Konfiguration drin, dass die Agent User Member einer Gruppe sein müssen, um einloggen zu dürfen:

Code: Select all

# Check if the user is allowed to auth in a posixGroup
# (e. g. user needs to be in a group xyz to use otrs)
$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=otrs,ou=UHG,dc=ad,dc=xxxxx,dc=de';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';

Dazu muss es 1. die Gruppe otrs.UHG.ad.xxxxx.de geben und die User müssen da eingetragen sein.
Deine Fehlermeldung besagt, dass der user owxxx1.wirtschaft-und-gesundheit.studierende.ad.xxx.de in der gruppe otrs.UHG.ad.xxxxx.de nicht eingetragen ist.

Würde erst mal vorschlagen, den Teil auszuklammern und dann versuchen, ob's ohne läuft. Wenn ja, dann kannst es immer noch wieder rein tun. Ich hatte das auch mal versucht mit der Gruppe, da bei uns alle aus der IT einer bestimmten Gruppe sind. Hab das aber nie so wirklich hin bekommen und es dann einfach auf die OU eingeschränkt, da wir auch alle in der gleichen OU sind (ist natürlich nicht in jeder Firma der Fall).

OLLIWOOD · Post by **OLLIWOOD** » 14 Aug 2009, 09:49

Hallo und Danke für die Antworten.
Fredy kannst du mir bitte mal ein Beispiel für die Eingränzung auf eine OU geben?
Ich verstehe nicht so ganz wie du das meinst.

Danke und Gruß

olli

garwen · Post by **garwen** » 14 Aug 2009, 10:15

Dafür ist die BaseDN im Auth Modul zuständig.

Code: Select all

$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=ad,dc=xxxxx,dc=de';

Da gibts Du einfach die OU ein, ab der gesucht werden soll.

cms-lars · Post by **cms-lars** » 26 Mar 2010, 01:15

Ich weiss, der Threat ist schon etwas älter, aber vielleicht hilfts ja noch...

desweiteren verstehe ich das mit der memberUid nicht:
$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';

Bei mir funktioniert die Konfiguration mit:

Code: Select all

$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';

Das liegt daran, dass im AD das Attribut für Mitglieder halt member heißt, zumindest ist das bei meiner 2008 Domäne so! Ich denke das wird bei 2003 genau so sein, aber prüfen kannst Du das, indem du mit einem LDAP Brower auf dein AD gehst und einfach mal in die Gruppe schaust.

Gruß,

Lars