Agenten LDAP 2 AD

Allgemein Fragen, deutsche News, Ankündigungen & Events zum OTRS
Post Reply
Rabauke84
Znuny newbie
Posts: 8
Joined: 04 Apr 2017, 07:45
Znuny Version: 4.013

Agenten LDAP 2 AD

Post by Rabauke84 »

Guten Morgen,

ich muss eine LDAP-Kopplung hinbekommen für die Agenten zweier ADs hinbekommen.
Die Anbindung eines ADs für die Agenten funktioniert. Nur für die andere AD leider nicht.

Hier meine Config.pm

Code: Select all

# -----------------AD CONNECT erste Domaine-----------------------------
$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host1'} = 'IP erste Domaine';
$Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=domain1,dc=de';
 $Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
#$Self->{'AuthModule::LDAP::UID1'} = 'uid';

$Self->{'AuthModule::LDAP::GroupDN1'} = 'cn=OTRS_Agenten,ou=Groups,ou=Administration,dc=domain1,dc=de'; # nur Mitlieder dieser Gruppe dürfen sich einloggen
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member'; # bei 2008er Domänen ist es 'member' bei 2003er ist es 'memberUID'*
#$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';

#$Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=OTRSLDAP,ou=Users,dc=domain1,dc=de'; #hier geht es auch mit dem user Principal Name, 
# oder eben die DN des Bindusers, war bei mir ne böse Falle weil ich es nicht wörtlich genug genommen habe. Die SearchUserDN ist nicht die DN 
# in der der User liegt sondern die eindeutige des Users, das gleiche gilt für die GroupDNs
# der Search User muss Mitglied in "Domänen-Benutzer" und in "Windows-Authentifizierungszugriffgruppe" sein
$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'OTRSL@domain1.de';
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'geheim';

$Self->{'AuthModule::LDAP::Params1'} = {
    port => 389,
    timeout => 120,
    async => 0,
    version => 3,
};

# defines AuthSyncBackend (AuthSyncModule) for AuthModule
# if this key exists and is empty, there won't be a sync.
# example values: AuthSyncBackend, AuthSyncBackend2
$Self->{'AuthModule::UseSyncBackend'} = 'AuthSyncBackend1';

# agent data sync against ldap
$Self->{'AuthSyncModule1'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host1'} = 'IP erste Domaine';
$Self->{'AuthSyncModule::LDAP::BaseDN1'} = 'dc=domain1, dc=de';
$Self->{'AuthSyncModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::AccessAttr1'} = 'member';
$Self->{'AuthSyncModule::LDAP::SearchUserDN1'} = 'OTRSL@domain1.de';
$Self->{'AuthSyncModule::LDAP::SearchUserPw1'} = 'geheim';
$Self->{'AuthSyncModule::LDAP::UserSyncMap1'} = {
     # DB -> LDAP
     UserFirstname => 'givenName',
     UserLastname  => 'sn',
     UserEmail     => 'mail',
 };
	
 # Agent erhält folgende Gruppenzugehörigkeit bei erstem Login
 $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups1'} = [
     'users',
 ];


# -----------------AD CONNECT 2 DOMAIN-----------------------------
########################################################################################


$Self->{'AuthModule2'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host2'} = 'IP zweite Domaine';
$Self->{'AuthModule::LDAP::BaseDN2'} = 'dc=domain2,dc=de';
 $Self->{'AuthModule::LDAP::UID2'} = 'sAMAccountName';
#$Self->{'AuthModule::LDAP::UID1'} = 'uid';

$Self->{'AuthModule::LDAP::GroupDN2'} = 'CN=OTRSusers,OU=Admin,DC=domain2,DC=de'; # nur Mitlieder dieser Gruppe dürfen sich einloggen
$Self->{'AuthModule::LDAP::AccessAttr2'} = 'member'; # bei 2008er Domänen ist es 'member' bei 2003er ist es 'memberUID'*
#$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';

#$Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=OTRSLDAP,ou=Users,dc=kjc-netz,dc=de'; #hier geht es auch mit dem user Principal Name, 
# oder eben die DN des Bindusers, war bei mir ne böse Falle weil ich es nicht wörtlich genug genommen habe. Die SearchUserDN ist nicht die DN 
# in der der User liegt sondern die eindeutige des Users, das gleiche gilt für die GroupDNs
# der Search User muss Mitglied in "Domänen-Benutzer" und in "Windows-Authentifizierungszugriffgruppe" sein
$Self->{'AuthModule::LDAP::SearchUserDN2'} = 'OTRSL@domain2.de';
$Self->{'AuthModule::LDAP::SearchUserPw2'} = 'geheim';

$Self->{'AuthModule::LDAP::Params2'} = {
    port => 389,
    timeout => 120,
    async => 0,
    version => 3,
};

# defines AuthSyncBackend (AuthSyncModule) for AuthModule
# if this key exists and is empty, there won't be a sync.
# example values: AuthSyncBackend, AuthSyncBackend2
$Self->{'AuthModule::UseSyncBackend'} = 'AuthSyncBackend2';

# agent data sync against ldap
$Self->{'AuthSyncModule2'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host2'} = 'IP zweite Domain';
$Self->{'AuthSyncModule::LDAP::BaseDN2'} = 'OU=Admin,dc=domain2,dc=de';
$Self->{'AuthSyncModule::LDAP::UID2'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::AccessAttr2'} = 'member';
$Self->{'AuthSyncModule::LDAP::SearchUserDN2'} = 'OTRSL@domain2.de';
$Self->{'AuthSyncModule::LDAP::SearchUserPw2'} = 'geheim';
$Self->{'AuthSyncModule::LDAP::UserSyncMap2'} = {
     # DB -> LDAP
     UserFirstname => 'givenName',
     UserLastname  => 'sn',
     UserEmail     => 'mail',
 };
	
 # Agent erhält folgende Gruppenzugehörigkeit bei erstem Login
 $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups2'} = [
     'users',
 ];
Die Customers aus beiden ADs funktionieren komischerweise.

Danke für eure Hilfe!!

LG
Post Reply