LDAP Anbindung - Nested Groups in Rollen

[NiCeDiCe]

Hallo liebe OTRS-Community,

aktuell nutzen wir OTRS 3.3.15, also eine nicht mehr ganz so aktuelle Version. Ich habe nun angefangen mich mit dem Upgrade zu beschäftigen, was bei unserem OTRS einiges an Aufwand sein könnte.
So nutzt unser System im Moment zum Beispiel noch das Modul ConnectAD zur Anbindung an unser Active Directory. Ich habe nun zwar dank der Anleitung die ich in diesem Forum gefunden habe soweit alles zum laufen gebracht, damit wir ohne Zusatzmodul eine Anbindung realisieren können, allerdings gibt es noch ein Problem.

Die Agenten sollen automatisch aus den AD-Gruppen in die Rollen im OTRS synchronisiert werden. Das funktioniert leider nicht mit Nested groups, zumindest bekomme ich es bei Nested groups nicht hin.
Gibt es dort einen bestimmten Trick? Bei der Authentifizierung funktioniert es ja mit einem Filter. Kann man den auch irgendwie bei der Rollendefintion einbauen?

Damit funktioniert es nur für "normale" Gruppen:

Code: Select all

 $Self->{'AuthSyncModule::LDAP::UserSyncRolesDefinition'} = {
         'CN=OTRSAdmins,OU=Default,OU=Groups,DC=xxx,DC=yyy,DC=de' => {
               	'otrsadmin' => 1,
        },

Danke im Voraus.

Christian

[tto]

Die Agenten sollen automatisch aus den AD-Gruppen in die Rollen im OTRS synchronisiert werden. Das funktioniert leider nicht mit Nested groups, zumindest bekomme ich es bei Nested groups nicht hin.
Gibt es dort einen bestimmten Trick? Bei der Authentifizierung funktioniert es ja mit einem Filter. Kann man den auch irgendwie bei der Rollendefintion einbauen?

sofern Du mittels einer Abfrage mittels ldapsearch die Zugehörigkeit eines Nutzers zu einer Gruppe nicht ermitteln kannst (was bei verschachtelten Gruppen IMHO nicht geht), wird das nichts. OTRS bringt keine autom. Auflösung von verschachtelten Gruppen mit. So wird für jede angegebene Gruppe geschaut, ob der Nutzer in dieser Mitglied ist. "Besteht die Gruppe aus Gruppen" werden diese Subgruppen nicht weiter aufgelöst/analysiert.

vG, T.

[NiCeDiCe]

Danke für die schnelle Antwort.

Bei der Authentifizierung funktioniert es ja. Anstatt einer Gruppe zu berechtigen, müssen eben alle berechtigt werden, die die Filterbedingung erfüllen:

Code: Select all

	# $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=it-service,OU=URZ,OU=infrastruktur,OU=Groups,DC=xxx,DC=yyy,DC=de';
	$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
	$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
	$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(objectCategory=user)(memberOf:1.2.840.113556.1.4.1941:=CN=it-service,OU=URZ,OU=Infrastruktur,OU=Groups,DC=xxx,DC=yyy,DC=de)';

Ich hatte gehofft, dass man auf ähnlichem Weg auch die Gruppen in die entsprechenden Rollen bekommt, trotz verschachtelter Gruppen. Mit ConnectAD hat das ja funktioniert.

Gibt es denn mit KIX4OTRS eine Lösung für dieses Problem?

Grüße
Christian

[wurzel]

Hi,

nested groups sollte schon gehen. Ist Perl::LDAP search. Ich such nachher mal was raus - hoffe, dass ich es finde.

Viele Grüße
Flo

[fraenki]

Hi Flo,

Hi,
nested groups sollte schon gehen. Ist Perl::LDAP search. Ich such nachher mal was raus - hoffe, dass ich es finde.
Viele Grüße
Flo

hast du eine Lösung gefunden? Ich suche schon seit einer Weile eine Lösung, um OTRS mit Nested Groups verwenden zu können.


Ciao
- Frank

[Charmacas]

Schließe mich da an. Ich habe leider auch bisher noch keine Möglichkeit gefunden und das Addon ConnectAD ist nur bis OTRS Version 3 gültig.

[wurzel]

Hi,

leider hab' ich in meinem Fundus nichts mehr gefunden. Sonst hätt ich schon was geschrieben. Tut mir leid.



viele Grüße
Flo

[jojo]

https://msdn.microsoft.com/en-us/librar ... 85%29.aspx

[fraenki]

Nach meinem Verständnis hat das LDAP Sync Modul einfach keinen vollständigen Nested Group Support. Ich habe eine Erweiterung geschrieben und hier den Entwickerln vorgeschlagen. Damit ist es dem Modul in meinen Tests möglich, die Zuordnung der Gruppen auch dann zu erkennen, wenn es eine stark verschachtelte LDAP-Struktur ist (siehe Link für ein konkretes Beispiel).

(Bei diesem Vorschlag geht es zwar um die Gruppen, aber das lässt sich auch auf die Rollen übertragen, wenn die Entwickler mit der Idee einverstanden sind.)

Ciao
- Frank

[Charmacas]

Hey fraenki,

richtig klasse dein Einsatz für diese Sache. Ich denke viele werden dir dafür dankbar sein, denn wenn man eine ordentliche AD Struktur hat, sind Nested Groups sehr hilfreich und erleichtern das tägliche Arbeiten auch sehr.

Danke für deine Nachfrage gestern. Ich hoffe das OTRS Team könnte das schon näher analysieren. Warten wir mal ab. Ich hoffe ja sehr, dass es schon in der Version 5 Einzug hält, auch wenn ich mir gut vorstellen kann das es zu einem neuen Feature von der 6er wird.

Auf jeden Fall, und deswegen wollte ich hier eigentlich nur schreiben, danke für deine Mühe! Bleib da bitte dran!


Viele Grüße