Active Directory Authentifizierung aus Domäne und Subdomäne geht nicht

[Dirk23]

Hallo,

ich habe mit ein frisches OTRS5 aufgesetzt und mit der LDAP Authentifizeriung herumprobiert. Soweit funktionierte das auch, allerdings muss ich die Authentifizierung mehr hierachisch aufbauen. Wir haben eine Windows Stammdomäne und eine Windows Subdomäne. Alle Techniker (L1 und L2 Supporter) die Tickets bearbeiten sind in der Subdomäne, ich und weitere Kollegen (L3 Support) sind allerdings in der Stammdomäne. Zwischen den Domänen besteht eine Vertrauensstellung und ich habe alle L3 Supporter aus der Stammdomäne in einer Gruppe der OTRS-Agents aufgenommen und diese Gruppe aus der Stammdomäne ist Mitglied der OTRS-Agents Gruppe der Subdomäne ( ich habe auch schon die L3 Supporter direkt in der Gruppe der Subdomäne hinzugefügt, also nicht Gruppe in Gruppe sondern User in Gruppe, hlaf leider auch nichts).

Hier mal eine Zeichnung um die Verwirrung kompletzte zu machen

dom-subdom.PNG

Leider kann ich mich als User aus der Stammdomäne NICHT am OTRS anmelden, ein Benutzer aus der Subdomäne kann es.
Meine LDAP Config sieht so aus:

Code: Select all

    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'sub.domain.tld';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'DC=sub,DC=domain,DC=tld';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group OTRS_Agents to use otrs)
    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS-Agents,OU=OTRS-OU,DC=sub,DC=domain,DC=tld';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    # Bind credentials to log into AD
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=OTRS LDAP,OU=LDAP-Zugriff,DC=sub,DC=domain,DC=tld';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'Geh Heim';

    # in case you want to add always one filter to each ldap query, use
    # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
    #$Self->{'AuthModule::LDAP::AlwaysFilter'} = '(objectclass=user)';

    # in case you want to add a suffix to each login name,  then
    # you can use this option. e. g. user just want to use user but
    # in your ldap directory exists user@domain.
    #$Self->{'AuthModule::LDAP::UserSuffix'} = '';

    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
        sscope => 'sub'
    };

   # Now sync data with OTRS DB
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
      #     DB       ->    LDAP
       UserFirstname => 'givenName',
       UserLastname  => 'sn',
       UserEmail     => 'mail',
    };

    $Self->{'AuthSyncModule::LDAP::Host'} = 'sub.domain.tld';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'DC=sub,DC=domain,DC=tld';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=OTRS LDAP,OU=LDAP-Zugriff,DC=sub,DC=domain,DC=tld';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Geh Heim';

Ich vermute das OTRS NICHT die benutzer aus der Stammdomäne auslesen kann, aber wie bekomme ich es denn dann hin, das ich User aus der Stamm- und der Subdomäne Authentifizieren kann?

Schon mal Danke im voraus!

Gruß

Dirk

[KlausNehrer]

Lautet die Stammdomäne Sub.Domain.Tld?
Was steht in den Logs?

[Dirk23]

die Subdomäne heißt sub.domain.tld die Stammdomain heißt domain.tld

Ich finde keine Logs von OTRS, in /opt/otrs/var/log/ gibt es nur das Unterverzeichniss Deamon und in /var/log/ finde ich nur in den Apache2 logs ab und zu was.

Gruß

Dirk

[KlausNehrer]

Dein Bind und Search beginnt erst ab Sub.Domain.tld.
Die "fehlerhaften" Logins sollten im Log stehen und Du solltest auch eine Fehlermeldung erhalten.

[Dirk23]

in welchem Log?

[Dirk23]

Ich habe Bind und Base DN auf die domain.tld gesetzt, das Ergebniss:
nun kommen die domain.tld user rein, aber der sub.domain.tld benutzer nicht.

Die User der sub.domain.tld sind in der Gruppe sub.domain.tld\OTRS-Agents und die User der domain.tld sind in der Gruppe domain.tld\OTRS-Agents. Die beiden Gruppen sind Univeral Gruppen und sind jeweils Mitglieder von einander.

[Dirk23]

Ich habe endlich herausgefunden warum ich nichts im Syslog gesehen haben von den Loginversuche: das Loglevel stand auf Error aber die Meldungen sind eine Notice

Die Konfig sieht nun so aus, das OTRS gegen die domain.tld Server Authentifiziert und die User der domain.tld auch rein kommen, aber die User der sub.domain.tld kommen nicht rein mit der Meldung:

[Notice][Kernel::System::Auth::LDAP::Auth] User: agent2 authentication failed, no LDAP entry found!BaseDN='DC=domain,DC=tld', Filter='(sAMAccountName=agent2)', (REMOTE_ADDR: 192.168.xxx.yyy).

agent2 ist in der Domain sub.domain.tld und in der Gruppe der OTRS-Agents und meine LDAP Abfrage scheint nicht bis in die Subdomain zu kommen.

Muss das denn überhaupt so funktionieren wie ich mir das ausgedacht habe?

Gruß

Dirk

[Dirk23]

und gelöst nach dem ich das hier gefunden habe:

viewtopic.php?t=2842

an die URL zum DC muss noch der Port 3268 für den Globalen Katalog angehängt werden, schon gehts!


Danke


Gruß

Dirk