Rechteproblem nur im Customer-Interface (solved)

[wrathbane]

Guten Tag,

ich habe hier ein kleines Rechteproblem mit meinen Customern. Und zwar kann jeder meiner Kundenbenutzer immernoch ein Ticket erstellen, das Problem ist jetzt wenn sie dann unter Tickets->Meine Ticket eines ihrer eröffneten Tickets anschauen kommt die Meldung :
Nicht ausreichende Rechte
Nachricht: No Permission!

Im Apache error_log finde ich folgende Meldung :
[Thu Feb 5 14:12:14 2015] customer.pl: Use of uninitialized value $CustomerData{"UserLogin"} in lc at /opt/otrs/bin/cgi-bin/../../Kernel/System/Ticket/CustomerPermission/CustomerUserIDCheck.pm line 53., referer: http://192.168.77.13/otrs/customer.pl?A ... =MyTickets

Schon klar er kann die variable $CustomerData nicht initialisieren, ich versteh derzeit nur nicht warum es vor 2 Wochen noch perfekt funktioniert hat.

Edit : Otrs log Eintrag -> [Thu Feb 5 14:26:38 2015][Notice][Kernel::System::Ticket::TicketCustomerPermission] Permission denied (UserID: edv-bep@boysen.local 'ro' on TicketID: 663)!

Und das obwohl der user edv-bep volle Adminrechte aufs OTRS hat?

Bin jetzt aber auch nicht so extrem Tief in dem Thema drin.
Weiß jmd an welche Stelle ich die Rechte umschießen kann?

Schönen Tag wünsche ich euch

[schulmann]

ich habe hier ein kleines Rechteproblem mit meinen Customern.
...
Und das obwohl der user edv-bep volle Adminrechte aufs OTRS hat?

Es gibt ein Problem mit dem Customer-Interface.
Als Abhilfe gibst Du einem Agenten volle Adminrechte.
Stimmt das so?

[wrathbane]

Nein natürlich nicht, ich habe nachgeschaut , auf dem Server hat der OTRS user volle rechte aufs /otrs verzeichnis daran kanns schon mal nicht liegen.
Weiterhelfen tut mir das ganze aber leider nicht. Habe auch in der Sysconfig nix gefunden was auf das Problem Hinweisen könnte.

[jojo]

Zu einem vermischt Du hier Kunden und Agenten (Agentenrechte gelten natürlich nicht im Kundeninterface!) zum anderem wäre es schön zu wissen was Du in den 2 Wochen geändert hast. Software funktioniert nicht plötzlich nicht mehr...

Bitte gib noch an welche OTRS version, ob es ein Update gab und welche Module genutzt werden

[wrathbane]

Signatur ist aktuell
OTRS 3.3.5 ITSM
Das ganze läuft auf einem Gentoo Linux Server.
Um ehrlich zu sein habe ich im OTRS selbst schon ewig nichts mehr geändert,
könnte aber auch sein dass es schon länger her ist da das Customer-Interface derzeit noch nicht produktiv genutzt wird (sprich fällt keinem auf).
Das einzige was ich getan habe war apache/mysql zu updaten.
Kann aber nicht sagen ob das Problem davor schon bestand.
Ich glaube kaum dass es am Apache selbst liegt sonst würde das Agent-Interface wohl auch nicht tun oder?

Use of uninitialized value $CustomerData{"UserLogin"} ist mir ein Rätsel , da muss wohl in nem OTRS internen Script etwas nicht so ganz passen.
So wie ich das jetzt verstanden hab überprüft er in diesem Script Kernel/System/Ticket/CustomerPermission/CustomerUserIDCheck.pm ob die UserID auf die das Ticket zugewiesen wurde mit dem UserLogin übereinstimmt und an dem Punkt bringt er mir den Fehler

Laut Error Log ist es diese Stelle im Script

Code: Select all

    # check user login, return access if customer user id is the same
    return   if !$Ticket{CustomerUserID};
    return 1 if ( lc $Ticket{CustomerUserID} eq lc $CustomerData{UserLogin} );

[jojo]

Mach bitte erstmal ein Update auf das letzte Patchlevel von OTRS und OTRS::ITSM

[wrathbane]

Ist erledigt, Problem bleibt bestehen.

[schulmann]

Du könntest auf einer anderen Maschine Deine jetzige OTRS-Version neu installieren.
Falls dort das Problem nicht vorhanden ist könntest Du die OTRS-Dateien (insbesondere die *.pm-Dateien) miteinander vergleichen.

[wrathbane]

Das war auch mein Gedanke das wollte ich allerding nur im Notfall machen.
Das ganze sieht ja so aus dass der Kunde sich weiterhin einloggen kann, er sieht welche Tickets Offen oder Geschlossen sind
Nur beim Zoom kommt dann eine Fehlermeldung mit "Permission Denied". In der Sysconfig unter Customer TicketZoom hab ich aber leider nichts mehr gefunden. Den Apache hab ich (zumindest bis jetzt) ausgeschlossen da das Agent-Interface tadellos funktioniert.
Hat wirklich niemand mehr eine Idee? Ich habe meinen OTRS-Server geklont und darauf die alte OTRS-Version komplett raus geworfen und dafür Die Version 4 installiert. Hab dann auch direkt meine Configs eingespielt und das Problem besteht weiterhin. Also Fällt die Version als Ursache auch schon mal raus.
Bin langsam echt am verzweifeln ....

[Rooobaaat]

Dann verschiebe dochmal deine ZZZAuto.pm nach ZZZAuto.bak um einen Konfigurationsfehler auszuschließen.

[maxbacks]

Wie wäre es denn mit einem Restore des jetzigen Standes auf einer neuen Maschine? Dann kann man testen ohne dass der Echtbetrieb mehr beeinträchtigt wird.

Was ist denn mit "CustomerGroupSupport"? Damit kann man das Fehlerbild doch auch provozieren..

[wrathbane]

CustomerGruopSupport ist nicht mal aktiviert (siehe Anhang) deswegen verstehe ich auch die Fehlermeldung nicht. Haben unsere Customer ja auch via LDAP drin war nie notwendig für die Customer irgendwelche Gruppen anzulegen

[wrathbane]

Die ZZZAuto hab ich auch mal umbenannt, leider kein Erfolg. Dennoch Danke für die Tipps

[wrathbane]

Hat wirklich niemand ne Lösung?

Habe zuerst das gleiche System auf einer anderen Maschine installiert -> selbes Ergebnis
dann habe ich OTRS 4.0.5 auf einer anderen Maschine installiert -> selbes Ergebnis

greenshot_2015-03-10_10-40-09.jpg

Die Customer sehen welche Tickets offen sind, nur sobald auf eins geklickt wird kommt diese Meldung.
Das kann doch eigentlich kein Berechtigungsproblem vom System sein sonst würden doch die Agents die selbe Meldung bekommen.
Kann mir niemand helfen an welcher Stelle im OTRS ich noch suchen könnte?

[Stoanze]

Was passiert wenn du in der SysConfig -> Frontend::Customer::Ticket::ViewNew -> Frontend::Customer::TicketMessage###NextScreenAfterNewTicket auf CustomerTicketZoom stellst!?

Es sollte der Customer dann nach der Ticket-Erstellung in den TicketZoom gehen... funktioniert dies?

[wrathbane]

hab ich getan, es kommt dann diekt nach dem erstellen die gleiche Fehlermeldung.
Ich bin mit meinem Latein so langsam am Ende

[wrathbane]

Könnte es sein, dass da mit der AD-Anbindung etwas schief läuft?
Wenn wie oben beschrieben Die Variable $CustomerData anscheinend einen falschen oder keinen Wert bekommt, könnte es doch sein das ihm die Daten die er von der AD-Anbindung bekommt nicht passen.

Ich hab mir jetzt auch nochmal die Originalen .pm Dateien gezogen, zumindest von denen die in meinen Logs vorkommen. Selbes Ergebnis

Edit :
Habe mir einen User Lokal angelegt, mit dem Funktioniert alles ohne Probleme. Muss also die AD-Anbindung sein.
Könnte es sein, dass der Fehler im Kundendaten Teil liegt an dieser Stelle CustomerID => 'mail', ? sollte ich hier was anderes als die mail benutzen?

Hier die AD-Anbindung in der Config.pm

Code: Select all

#--------------------------------------------------------------------------------------------
#                                   Agenten Authentifizeirung                               #
#--------------------------------------------------------------------------------------------
$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host1'} = 'DC.test.local'; 
$Self->{'AuthModule::LDAP::BaseDN1'} = 'DC=test, DC=local';
$Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN1'} = 'CN=GG-BWB-ACL-OTRS,OU=Gruppen,OU=BWB-ALTENSTEIG,DC=test,DC=local';    
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';                                        
$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'ldap-user';	
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'ldap-pw';

#--------------------------------------------------------------------------------------------#
#                                   Agenten Sync                                             #
#--------------------------------------------------------------------------------------------#
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'DC.test.local';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'DC=test, DC=local';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'ldap-user';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'ldap-pw';
 
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
	];
#--------------------------------------------------------------------------------------------
#                                  Kunden Authentifizeirung                                 #
#--------------------------------------------------------------------------------------------
  $Self->{'Customer::AuthModule1'} = 'Kernel::System::CustomerAuth::LDAP';
  $Self->{'Customer::AuthModule::LDAP::Host1'} = 'DC.test.local';
  $Self->{'Customer::AuthModule::LDAP::BaseDN1'} = 'DC=test, DC=local';
  $Self->{'Customer::AuthModule::LDAP::UID1'} = 'sAMAccountName';
  $Self->{'Customer::AuthModule::LDAP::SearchUserDN1'} = 'ldap-user';
  $Self->{'Customer::AuthModule::LDAP::SearchUserPw1'} = 'ldap-pw';
#-------------------------------------------------------------------------------------------- 
#                                     Kundendaten                                           #
#--------------------------------------------------------------------------------------------
   $Self->{CustomerUser1} = {
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
      Host => 'DC.test.local',
      BaseDN => 'DC=test, DC=local',
      SSCOPE => 'sub',
      UserDN => 'ldap-user',
      UserPw => 'ldap-pw',
      SourceCharset => 'utf-8',
      DestCharset => 'utf-8',
    },
    CustomerKey => 'sAMAccountName',
    CustomerID => 'mail',
    CustomerUserListFields => ['givenname', 'sn', 'sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['givenname', 'sn', 'sAMAccountName', 'cn', 'mail'],
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
	
	
#       [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
      [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
      [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
      [ 'UserLogin', 'Login', 'userPrincipalName', 1, 1, 'var' ],
      [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
      [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
      [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
      [ 'UserAddress', 'Ort', 'l', 1, 1, 'var' ],
      [ 'UserComment', 'Company', 'company', 1, 1, 'var' ],
    ],
  };

[wrathbane]

Habe die Lösung in diesem thread gefunden , Fehler in der Config.pm
viewtopic.php?t=21947