Die LDAP Anbindung

[Alexx]

Hallo zusammen,

Ich bin leider ein absoluter OTRS Newbe und versuche so Schritt für Schritt weiter zu kommen.
Aber diese LDAP Anbindung ans OTRS 3 raubt mir noch den letzten Nerv.

Ich weiß, dass dieses Thema schon x-mal diskutiert wurde, denoch komme ich hier alleine nicht weiter.
Ich habe schon sämtliche configs ausprobiert die ich im Netz gefunden habe, aber irgendwie brachte keine den gewünschten Erfolg - ich bekomme einfach keine Beutzer des AD ins OTRS eingelesen. Somit ist auch keine Anmeldung mit einem Domänenbenutzer im OTRS möglich und auch in der Kundenansicht im Admin-Bereich findet sich nur der von mir bereits vorher im OTRS angelege Kunde "test" aber leider kein Bentzer aus dem AD.

Ich habe mir auch schon einen LDAP-Browser installiert für die bessere Übersicht bei BaseDN, GroupDN usw. finde den Fehler aber nicht...

Ich Danke euch für jegliche Hilfe und Unterstützung!!!

Hier mal der relevante Teil aus meiner Config - die Betriebsinteren Dinge wurden natürlich geändert.

#Agenten Authentifizierung DB
# Backend DB fuer Agenten
$Self->{'AuthModule10'} = 'Kernel::System::Auth::DB';
$Self->{'AuthModule::DB::CryptType10'} = 'crypt';

#------------------------------------------------------------------------------------------------------------------------------#
# Authentifizierung Agenten via LDAP (AD) Firma #
#------------------------------------------------------------------------------------------------------------------------------#
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'IP';
$Self->{'AuthModule::LDAP::BaseDN'} = 'DC=super,DC=domain,DC=de';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS-Admin,OU=Software,OU=Gruppen,DC=super,DC=domain,DC=de';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUID';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'ldapotrs@super.domain.de';
$Self->{'AuthModule::LDAP::SearchUserPw'} = '*******';

$Self->{'UserSyncLDAPMap'} = {
'UserEmail' => 'mail',
'UserFirstname' => 'givenName',
'UserLastname' => 'sn',
'UserLogin' => 'sAMAccountName'
};

#------------------------------------------------------------------------------------------------------------------------------#
# Customer #
#------------------------------------------------------------------------------------------------------------------------------#
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'IP';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} ='DC=super,DC=domain,DC=de';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'CN=OTRS-Users,OU=Software,OU=Gruppen,DC=super,DC=domain,DC=de';
$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'memberUID';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'ldapotrs@super.domain.de';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = '*******';
$Self->{'Customer::AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};

#------------------------------------------------------------------------------------------------------------------------------#
# LDAP System Users #
#------------------------------------------------------------------------------------------------------------------------------#
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'IP';
$Self->{'AuthModule::LDAP::BaseDN'} = 'DC=super,DC=domain,DC=de';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'ladpotrs@super.domain.de';
$Self->{'AuthModule::LDAP::SearchUserPw'} = '*******';
$Self->{'AuthModule::LDAP::Params'} = {
'async' => '0',
'timeout' => '120',
'version' => '3',
'port' => '389'
};

$Self->{'AuthModule::LDAP::Die'} = 1;

#------------------------------------------------------------------------------------------------------------------------------#
# UserSyncLDAPMap #
#------------------------------------------------------------------------------------------------------------------------------#

$Self->{'UserSyncLDAPMap'} = {
'UserEmail' => 'mail',
'UserFirstname' => 'givenName',
'UserLastname' => 'sn',
'UserLogin' => 'sAMAccountName'
};

$Self->{CustomerUser} = {
Name => 'LDAPOTRS',
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => 'IP',
BaseDN => 'DC=super,DC=domain,DC=de',
SSCOPE => 'sub',
UserDN => 'ldapotrs@super.domain.de',
UserPw => '*******',
AlwaysFilter => '(&(objectclass=user)(mail=*.*@Firma.de))',

},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserSearchListLimit => 1000,

Map => [
[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
],
};

[fossil]

Hi Alexx,

hast du schon geprüft ob dein OTRS-Searcher die richtigen Berechtigungen hat? Siehe:

http://forums.otrs.org/viewtopic.php?f=35&t=7703

Im letzten Beitrage habe ich dann folgendes geprüft:

Hi alle zusammen,

hier mal meine kleine Zusammenfassung für den AlwaysFilter, der für die Verwendung des UserSyncLDAPMap um nur die LDAP Benutzer mit dem OTRS zu syncronisieren, wie z.B. so:

Code: Alles auswählen
AlwaysFilter => '(&(objectCategory=person)(objectClass=user)(memberOf=CN=OTRS-Customers,OU=xxxxxxxxxx,DC=xxxxxxxxxx,DC=xxxxxxxxxx,DC=de))',



Benötigt der OTRS-Searcher User zwingend für das "memberOf" Attribut, dass bei jedem User hinterlegt ist, wenn dieser in der Sicherheitsgruppe "OTRS-Customers" Mitglieder ist das Recht:
"pre 2000 compatible users group" + "Domain-User" + "Windows-Autorisierungszugriffsgruppe"

Somit können alle Attribute, je nach dem was gewünscht ist gefiltert werden!

Boris,

nochmals einen großen Dank für deine Denkanstöße!

MfG, fossil

Dies war bei mir ein "mittelschweres" Disaster *graue Haare inklusive...
Vielleicht hilft es dir weiter.

VG, Fossil

[Alexx]

Vielen Dank für deine schnelle Antwort Fossil!

Also mein OTRS-Searcher ist Domänen-Admin und verfügt eigentlich somit eigentlich über die benötigen Berechtigungen.

Aber ich werde das nochmals prüfen und arbeite mich mal duch deinen geposteten Link durch

Einen guten Wochenanfang!
Alexx

[Alexx]

Ich bin mittlerweile etwas weitergekommen - leider Funktioniert aber die Anmeldung als User und als Admin im OTRS immer noch nicht

Das hier wird im Log gespeichert - mir hilft es leider nicht weiter:

[Mon Mar 21 09:45:17 2011][Notice][Kernel::System::CustomerAuth::DB::Auth] CustomerUser: No auth record in 'customer_user' for 'otrstest' (REMOTE_ADDR: 127.0.0.1)

[Mon Mar 21 09:45:44 2011][Notice][Kernel::System::CustomerAuth::DB::Auth] CustomerUser: No auth record in 'customer_user' for 'LDAPOTRS' (REMOTE_ADDR: 127.0.0.1)

Weiß vielleicht jemand wie ich dieser Meldung im Log entgegenwirken könnte??

[Alexx]

... ich habe sie gefunden
... und musste feststellen, dass ich an einer Klammer gescheitert bin