Verständnisproblem - UserSyncAttributeGroupsDefinition

[gmozilla78]

Moin zusammen,

wir versuchen gerade user anhand eines LDAP Attributes einer Gruppe in OTRS (KiX) zuzuweisen.
LDAP auth verwenden wir eh schon, daher hielt ich das für sinnvoll auch ein ldap attribut zu verwenden.

Aus der defaults.pm haben wir diesen Codeblock kopiert und angepasst.

Code: Select all

   # AuthSyncModule::LDAP::UserSyncAttributeGroupsDefinition
   # (If "LDAP" was selected for AuthModule and you want to sync LDAP
   # attributes to otrs groups, define the following.)

    $Self->{'AuthSyncModule::LDAP::UserSyncAttributeGroupsDefinition'} = {
#        # ldap attribute
        'info' => {
#            # ldap attribute value
            'MA' => {
#                # otrs group
                'G_MA' => {
#                    # permission
                    rw => 1,
                    ro => 1,
                },
         }
    };

Das müsste doch eigentlich funktionieren, oder? Im Moment tuts das nämlich ( noch ) nicht ....

[root]

Hi,

bitte noch die anderen AuthSync Einstellungen posten.

- Roy

P.S.: Ich kann nur dringen empfehlen auf Version 6 der Community Edition zu aktualisieren, die eine oder andere Verbesserung beim AuthSync ist da schon..

[gmozilla78]

Wir benutzen Kix 17.3.3-0

Code: Select all

#-------------------------------------#
# LDAP Konfiguration / Kunden Auth #
#-------------------------------------#
        my $LDAPHost = 'xxxxxxxxxx';
        my $LDAPBase = 'OU=001 Dienste,OU=Domain Struktur,DC=xxx,DC=xxx';
        my $LDAPSearchDN = 'CN=Service: Ticket-System,OU=003 Funktionskonten-Gruppen,OU=Domain Struktur,DC=xxx,DC=xxx';
        my $LDAPSearchPW = 'xxxxxxx';

        $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
        $Self->{'Customer::AuthModule::LDAP::Host'} = $LDAPHost;
        $Self->{'Customer::AuthModule::LDAP::BaseDN'} = $LDAPBase;
        $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';

        $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = $LDAPSearchDN;
        $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = $LDAPSearchPW;

        $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
        $Self->{'AuthModule::LDAP::Host'} = $LDAPHost;
        $Self->{'AuthModule::LDAP::BaseDN'} = $LDAPBase;
        $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
        $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=Service: Ticket-Agents,OU=003 Funktionskonten-Gruppen,OU=Domain Struktur,DC=XXX,DC=XXX';
        $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
        $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

        $Self->{'AuthModule::LDAP::SearchUserDN'} = $LDAPSearchDN;
        $Self->{'AuthModule::LDAP::SearchUserPw'} = $LDAPSearchPW;

        $Self->{'AuthModule::UseSyncBackend'} = 'AuthSyncBackend';

        # agent data sync against ldap

        $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
        $Self->{'AuthSyncModule::LDAP::Host'} = $LDAPHost;
        $Self->{'AuthSyncModule::LDAP::BaseDN'} = $LDAPBase;
        $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
        $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = $LDAPSearchDN;
        $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = $LDAPSearchPW;
        $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {

        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname => 'sn',
        UserEmail => 'mail',
        CustomerID => 'pager',

};

        #AuthSyncModule::LDAP::UserSyncInitialGroups
        #(sync following group with rw permission after initial create of first agent
        #login)

        $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
            'users',
 ];


        $Self->{CustomerUserMap}->{CustomerUserSearchListLimit} = 1000;
        $Self->{CustomerUser} = {
        Name => 'LDAP Datenquelle',
        Module => 'Kernel::System::CustomerUser::LDAP',
        Params => {
        Host => $LDAPHost,
        BaseDN => $LDAPBase,
        SSCOPE => 'sub',
        UserDN => $LDAPSearchDN,
        UserPw => $LDAPSearchPW,
},
        CustomerKey => 'sAMAccountName',
        CustomerID => 'pager',
        CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
        CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
        CustomerUserPostMasterSearchFields => ['mail'],
        CustomerUserNameFields => ['givenname', 'sn'],
        Map => [


#  note: Login, Email and CustomerID needed! var, frontend, storage, shown, required, storage-type

        [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
        [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
        [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
        [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
        [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
        [ 'UserCustomerID', 'CustomerID', 'pager', 1, 0, 'var' ],
        [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
        [ 'UserAddress', 'Address', 'StreetAddress', 1, 0, 'var' ],
        [ 'UserComment', 'Comment', 'department', 1, 0, 'var' ],
],
};

        $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
};

    # AuthSyncModule::LDAP::UserSyncAttributeGroupsDefinition
    # (If "LDAP" was selected for AuthModule and you want to sync LDAP
    # attributes to otrs groups, define the following.)
  
    $Self->{'AuthSyncModule::LDAP::UserSyncAttributeGroupsDefinition'} = {

#        # ldap attribute
        'info' => {
            # ldap attribute value
            'MA' => {
#                # otrs group
                'G_MA' => {
#                 # permission
                    rw => 1,
                    ro => 1,
                },
            },
         }
    };

Ich denke das sind alle relevanten Daten aus der Config.pm
Ldap auth ansich funktioniert auch prima. Vll ist auch einfach nur irgendwo nen kleiner Fehler, den wir gerade nicht sehen.
Beschäftigen uns leider nicht sooo oft mit der Konfiguration.

[root]

Hi,

kommentiere dich mal $Self->{'AuthModule::UseSyncBackend'} = 'AuthSyncBackend'; aus. Und as CustomerID in deer UserSyncMap macht auch keinen Sinn.

- Roy

[gmozilla78]

Servus,
habe ich auskommentiert, leider ohne Erfolg.
Vll ist das auch ein Verständnisproblem meinerseits.
Das Ziel ist alle user, die in dem AD-Feld "Anmerkung" (info) den Wert MA stehen haben, automatisch in die Gruppe G_MA des Ticketsystems zu schieben. Das müsste doch mit dem genannten Modul doch funktionieren,oder etwa nicht?


Leider verstehe ich nicht ganz, was Du genau mit dem Punkt CustomerID meinst, sprich warum das in der UserSyncMap keinen Sinn macht.

[root]

Hi,

Servus,
habe ich auskommentiert, leider ohne Erfolg.
Vll ist das auch ein Verständnisproblem meinerseits.
Das Ziel ist alle user, die in dem AD-Feld "Anmerkung" (info) den Wert MA stehen haben, automatisch in die Gruppe G_MA des Ticketsystems zu schieben. Das müsste doch mit dem genannten Modul doch funktionieren,oder etwa nicht?

korrekt, wobei in OTRS mit User der Agent gemeint ist.

Leider verstehe ich nicht ganz, was Du genau mit dem Punkt CustomerID meinst, sprich warum das in der UserSyncMap keinen Sinn macht.

Weil ein Agent keine CustomerID hat.

Soweit kann ich sonst nix entdecken was das verhindern sollte.

Allerdings habe ich gesehen das das KIX AuthSync Module nicht dem der OTRS Community Edition entspricht, da bin ich dann raus.

- Roy