Frontend::Agent::Auth::LDAP

[pfaffi]

[align=justify]Hallo,

ich hätte folgende Frage zu OTRS 2.1.5. Wie erreiche ich, dass die Authentifikation der Agenten über LDAP läuft?
Ich habe unter (sysconfig) Frontend::Agent::Auth::LDAP 2 Einstellungsmöglichkeiten gefunden. Allerdings steht hier, dass als AuthModule LDAP gewählt werden muss. Wo kann ich das einstellen? Muss zusätzlich etwas installiert werden? Finde so etwas nur für Customer. Hier kann man einstellen, ob man die DB oder LDAP verwenden möchte.
Im Forum habe ich einige Sachen dazu gefunden, wo man allerdings in der config.pl Ergänzungen durchführen muss. Sind diese zwingend, inzwischen veraltet, oder lassen diese Einstellungen sich auch irgendwie über die Weboberfläche unter sysconfig steuern?
Die Ergänzungen in der config-Datei haben mich leider nicht weitergebracht. Anmeldung erfolgt nachwievor über die DB.

Freue mich über jeden Tipp.

Gruß
pfaffi[/align]

[jojo]

Hallo,

zur Anbindung von Datenbanken/LDAP empfehle ich die Config.pm zu nutzen. (Und nicht die SysConfig).

Ein komplettes Beispiel findest Du in der Kernel/Config/Defaults.pm

[pfaffi]

Ich hab jetzt die Datei ein bisschen bearbeitet.
Die Loginmaske sieht jetzt anders aus. Passwort ändern ist jetzt nicht mehr möglich.

Allerdings kann ich mich dennoch nicht mit meinem Windowsbenutzer und Windowspasswort anmelden. Es kommt jedes Mal die Meldung fehlgeschlagen. Was mach ich falsch?

Ich hab jetzt nur mal folgendes hinzugefügt
[php]
# This is an example configuration for an LDAP auth. backend.
# (take care that Net::LDAP is installed!)
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'Server';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=xy,dc=de';
$Self->{'AuthModule::LDAP::UID'} = 'uid';

# UserSyncLDAPMap
# (map if agent should create/synced from LDAP to DB after login)
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
Firstname => 'givenName',
Lastname => 'sn',
Email => 'mail',
};



# Check if the user is allowed to auth in a posixGroup
# (e. g. user needs to be in a group xyz to use otrs)
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=IT,OU=Gruppen,OU=xy,DC=xy,DC=de';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
# for ldap posixGroups objectclass (just uid)
$Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
# for non ldap posixGroups objectclass (with full user dn)
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

# The following is valid but would only be necessary if the
# anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'benutzer';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort';
[/php]

[jojo]

Ich hab jetzt die Datei ein bisschen bearbeitet.
Die Loginmaske sieht jetzt anders aus. Passwort ändern ist jetzt nicht mehr möglich.

Allerdings kann ich mich dennoch nicht mit meinem Windowsbenutzer und Windowspasswort anmelden. Es kommt jedes Mal die Meldung fehlgeschlagen. Was mach ich falsch?

Hast Du den Benutzer in OTRS angelegt und ihm Rechte gegeben?

[pfaffi]

Also die Benutzer waren vorher schon angelegt in OTRS. Stehen in der Datenbank. Kann diese ja auch nciht mehr löschen. Hatte die gleich benannnt wie unter LDAP. Muss ich da innerhalb von OTRS etwas ändern? Bisher habe ich nur Agents angelegt mit Adminrechten. Bin erst noch am Anfang und teste, was geht und was nicht geht.

[jojo]

wie ist die genaue Fehlermeldung? Was für eine Meldung steht im Logfile?

[pfaffi]

Es kommt einfach, dass entweder der Benutzername oder das Passwort falsch sei, wenn ich mich bei OTRS anmelden will.
Wenn ich die Änderungen rückgängig mache und mich wieder über die DB anmelde, dann gibts keine Probleme. Unter Systemlog steht nichts, wie ich gerade festgestellt habe.

[jojo]

was sagt das Logfile?

[pfaffi]

Sorry. Habs jetzt erst gefunden. Also im Logfile steht folgendes, nachdem ich die LDAP-Funktion in der config.pm eingestellt habe und versuche mich anzumelden.

[Fri Mar 2 17:52:07 2007][Error][Kernel::System::Auth::LDAP::Auth][138] First bind failed! 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece


Mach jetzt aber Feierabend und probier am Montag wieder ein bisschen.
Scho mal Danke und schönes Wochenende!

[jojo]

Du musst einen User in der Config.pm angeben um die Abfragen gegen den LDAP Server zu machen. (Und natürlich das Passwort)

$Self->{'AuthModule::LDAP::SearchUserDN'} = 'benutzer';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort';

Evtl. ist dieser User fehlerhaft....

[pfaffi2106]

Welche Zeilen muss man denn alle anpassen? Die rot markierten oder noch andere?

# This is an example configuration for an LDAP auth. backend.
# (take care that Net::LDAP is installed!)
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
[highlight=red] $Self->{'AuthModule::LDAP::Host'} = 'Server';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=xy,dc=de';[/highlight]
$Self->{'AuthModule::LDAP::UID'} = 'uid';

# UserSyncLDAPMap
# (map if agent should create/synced from LDAP to DB after login)
$Self->{UserSyncLDAPMap} = {
# DB -> LDAP
Firstname => 'givenName',
Lastname => 'sn',
Email => 'mail',
};


# Check if the user is allowed to auth in a posixGroup
# (e. g. user needs to be in a group xyz to use otrs)
[highlight=red] $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=IT,OU=Gruppen,OU=xy,DC=xy,DC=de';[/highlight]
$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
# for ldap posixGroups objectclass (just uid)
$Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
# for non ldap posixGroups objectclass (with full user dn)
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

# The following is valid but would only be necessary if the
# anonymous user do NOT have permission to read from the LDAP tree
[highlight=red] $Self->{'AuthModule::LDAP::SearchUserDN'} = 'benutzer';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort'; ?>[/highlight]

[pfaffi2106]

Hat sich erledigt. Hab den Fehler gefunden...

$Self->{'AuthModule::LDAP::SearchUserDN'} = 'benutzer';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort'; ?>

Bei Benutzer (distinguishedName) hatte ich einen \ vergessen.