LDAP Anbindung - Nested Groups in Rollen

Allgemein Fragen, deutsche News, Ankündigungen & Events zum OTRS
Post Reply
NiCeDiCe
OTRS newbie
Posts: 2
Joined: 19 Oct 2015, 10:19
OTRS Version?: 3.3.14
Real Name: Christian Müller
Company: Otto-von-Guericke Universität Magdeburg

LDAP Anbindung - Nested Groups in Rollen

Post by NiCeDiCe » 17 May 2016, 10:49

Hallo liebe OTRS-Community,

aktuell nutzen wir OTRS 3.3.15, also eine nicht mehr ganz so aktuelle Version. Ich habe nun angefangen mich mit dem Upgrade zu beschäftigen, was bei unserem OTRS einiges an Aufwand sein könnte.
So nutzt unser System im Moment zum Beispiel noch das Modul ConnectAD zur Anbindung an unser Active Directory. Ich habe nun zwar dank der Anleitung die ich in diesem Forum gefunden habe soweit alles zum laufen gebracht, damit wir ohne Zusatzmodul eine Anbindung realisieren können, allerdings gibt es noch ein Problem.

Die Agenten sollen automatisch aus den AD-Gruppen in die Rollen im OTRS synchronisiert werden. Das funktioniert leider nicht mit Nested groups, zumindest bekomme ich es bei Nested groups nicht hin.
Gibt es dort einen bestimmten Trick? Bei der Authentifizierung funktioniert es ja mit einem Filter. Kann man den auch irgendwie bei der Rollendefintion einbauen?

Damit funktioniert es nur für "normale" Gruppen:

Code: Select all

 $Self->{'AuthSyncModule::LDAP::UserSyncRolesDefinition'} = {
         'CN=OTRSAdmins,OU=Default,OU=Groups,DC=xxx,DC=yyy,DC=de' => {
               	'otrsadmin' => 1,
        },
Danke im Voraus.

Christian

User avatar
tto
Moderator
Posts: 315
Joined: 09 Jan 2007, 15:24
OTRS Version?: OTRS 5.0.x
Real Name: Torsten
Company: c.a.p.e. IT GmbH
Location: Chemnitz
Contact:

Re: LDAP Anbindung - Nested Groups in Rollen

Post by tto » 17 May 2016, 12:27

NiCeDiCe wrote: Die Agenten sollen automatisch aus den AD-Gruppen in die Rollen im OTRS synchronisiert werden. Das funktioniert leider nicht mit Nested groups, zumindest bekomme ich es bei Nested groups nicht hin.
Gibt es dort einen bestimmten Trick? Bei der Authentifizierung funktioniert es ja mit einem Filter. Kann man den auch irgendwie bei der Rollendefintion einbauen?
sofern Du mittels einer Abfrage mittels ldapsearch die Zugehörigkeit eines Nutzers zu einer Gruppe nicht ermitteln kannst (was bei verschachtelten Gruppen IMHO nicht geht), wird das nichts. OTRS bringt keine autom. Auflösung von verschachtelten Gruppen mit. So wird für jede angegebene Gruppe geschaut, ob der Nutzer in dieser Mitglied ist. "Besteht die Gruppe aus Gruppen" werden diese Subgruppen nicht weiter aufgelöst/analysiert.

vG, T.
--
KIX 17.x (fork of OTRS)
Professional KIX-, or OTRS-integration, development and consulting by c.a.p.e. IT - http://www.cape-it.de
For questions and hints regarding KIX(4OTRS) please go to https://forum.kixdesk.com/
Bei Fragen und Hinweisen zu KIX(4OTRS) bitte an https://forum.kixdesk.com/ wenden.

NiCeDiCe
OTRS newbie
Posts: 2
Joined: 19 Oct 2015, 10:19
OTRS Version?: 3.3.14
Real Name: Christian Müller
Company: Otto-von-Guericke Universität Magdeburg

Re: LDAP Anbindung - Nested Groups in Rollen

Post by NiCeDiCe » 17 May 2016, 13:37

Danke für die schnelle Antwort.

Bei der Authentifizierung funktioniert es ja. Anstatt einer Gruppe zu berechtigen, müssen eben alle berechtigt werden, die die Filterbedingung erfüllen:

Code: Select all

	# $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=it-service,OU=URZ,OU=infrastruktur,OU=Groups,DC=xxx,DC=yyy,DC=de';
	$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
	$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
	$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(objectCategory=user)(memberOf:1.2.840.113556.1.4.1941:=CN=it-service,OU=URZ,OU=Infrastruktur,OU=Groups,DC=xxx,DC=yyy,DC=de)';
Ich hatte gehofft, dass man auf ähnlichem Weg auch die Gruppen in die entsprechenden Rollen bekommt, trotz verschachtelter Gruppen. Mit ConnectAD hat das ja funktioniert.

Gibt es denn mit KIX4OTRS eine Lösung für dieses Problem?

Grüße
Christian

wurzel
OTRS guru
Posts: 2710
Joined: 08 Jul 2010, 22:25
OTRS Version?: 6.0.x

Re: LDAP Anbindung - Nested Groups in Rollen

Post by wurzel » 17 May 2016, 13:59

Hi,

nested groups sollte schon gehen. Ist Perl::LDAP search. Ich such nachher mal was raus - hoffe, dass ich es finde.

Viele Grüße
Flo
    ((OTRS)) Community Edition 6.0.x, LAMP LIVE auf Debian 9
    OTRS 7 SILVER

    -- Ich beantworte keine Forums-Fragen PN - No PN please

    I won't answer to unfriendly users any more. A greeting and regards are just polite.

    fraenki
    OTRS newbie
    Posts: 5
    Joined: 06 Mar 2009, 12:54
    OTRS Version?: 5.x.x

    Re: LDAP Anbindung - Nested Groups in Rollen

    Post by fraenki » 06 Jul 2016, 14:14

    Hi Flo,
    wurzel wrote:Hi,
    nested groups sollte schon gehen. Ist Perl::LDAP search. Ich such nachher mal was raus - hoffe, dass ich es finde.
    Viele Grüße
    Flo
    hast du eine Lösung gefunden? Ich suche schon seit einer Weile eine Lösung, um OTRS mit Nested Groups verwenden zu können.


    Ciao
    - Frank

    Charmacas
    OTRS wizard
    Posts: 103
    Joined: 18 Jan 2016, 10:27
    OTRS Version?: 5.0.26 on Debian 8

    Re: LDAP Anbindung - Nested Groups in Rollen

    Post by Charmacas » 06 Jul 2016, 14:32

    Schließe mich da an. Ich habe leider auch bisher noch keine Möglichkeit gefunden und das Addon ConnectAD ist nur bis OTRS Version 3 gültig.

    wurzel
    OTRS guru
    Posts: 2710
    Joined: 08 Jul 2010, 22:25
    OTRS Version?: 6.0.x

    Re: LDAP Anbindung - Nested Groups in Rollen

    Post by wurzel » 06 Jul 2016, 17:50

    Hi,

    leider hab' ich in meinem Fundus nichts mehr gefunden. Sonst hätt ich schon was geschrieben. Tut mir leid.

    :(

    viele Grüße
    Flo
      ((OTRS)) Community Edition 6.0.x, LAMP LIVE auf Debian 9
      OTRS 7 SILVER

      -- Ich beantworte keine Forums-Fragen PN - No PN please

      I won't answer to unfriendly users any more. A greeting and regards are just polite.

      jojo
      Moderator
      Posts: 14535
      Joined: 26 Jan 2007, 14:50
      OTRS Version?: Git Master
      Contact:

      Re: LDAP Anbindung - Nested Groups in Rollen

      Post by jojo » 06 Jul 2016, 20:39

      "Production": OTRS™ 6, STORM powered by OTRS
      "Testing": ((OTRS Community Edition)) git Master

      Never change Defaults.pm! :: Blog
      Professional Services:: http://www.otrs.com :: enjoy@otrs.com :: Share your ideas

      fraenki
      OTRS newbie
      Posts: 5
      Joined: 06 Mar 2009, 12:54
      OTRS Version?: 5.x.x

      Re: LDAP Anbindung - Nested Groups in Rollen

      Post by fraenki » 12 Jul 2016, 18:59

      Nach meinem Verständnis hat das LDAP Sync Modul einfach keinen vollständigen Nested Group Support. Ich habe eine Erweiterung geschrieben und hier den Entwickerln vorgeschlagen. Damit ist es dem Modul in meinen Tests möglich, die Zuordnung der Gruppen auch dann zu erkennen, wenn es eine stark verschachtelte LDAP-Struktur ist (siehe Link für ein konkretes Beispiel).

      (Bei diesem Vorschlag geht es zwar um die Gruppen, aber das lässt sich auch auf die Rollen übertragen, wenn die Entwickler mit der Idee einverstanden sind.)

      Ciao
      - Frank

      Charmacas
      OTRS wizard
      Posts: 103
      Joined: 18 Jan 2016, 10:27
      OTRS Version?: 5.0.26 on Debian 8

      Re: LDAP Anbindung - Nested Groups in Rollen

      Post by Charmacas » 17 Aug 2016, 14:17

      Hey fraenki,

      richtig klasse dein Einsatz für diese Sache. Ich denke viele werden dir dafür dankbar sein, denn wenn man eine ordentliche AD Struktur hat, sind Nested Groups sehr hilfreich und erleichtern das tägliche Arbeiten auch sehr.

      Danke für deine Nachfrage gestern. Ich hoffe das OTRS Team könnte das schon näher analysieren. Warten wir mal ab. Ich hoffe ja sehr, dass es schon in der Version 5 Einzug hält, auch wenn ich mir gut vorstellen kann das es zu einem neuen Feature von der 6er wird. :-)

      Auf jeden Fall, und deswegen wollte ich hier eigentlich nur schreiben, danke für deine Mühe! Bleib da bitte dran!


      Viele Grüße

      Post Reply