Anbindung von OTRS ans AD (Active Directory)

[zebi]

Hallo Zusammen!

Ich bin Neuling auf dem Gebiet OTRS. Ich benutze OTRS 3.0.5 mit ITSM 2.0. Ich möchte nun mein OTRS mit dem AD verbinden. Ja, ich habe im Forum schon nachgelesen. Dieser Artikel hat mir auch nicht geholfen (http://forums.otrs.org/viewtopic.php?f=35&t=8847).Ich bin am Rande der Verzweiflung! die Gruppe glb_OTRSAgents hat keine speziellen Rechte. Der User otrssearch hat keine speziellen Rechte. Sobald der Code drin steht, kann ich mich nicht mal mehr mit dem root@localhost einloggen.

Meine Config-File:

Agenten-Authentifizierung:

Code: Select all

#Authentifizierung der Agenten:
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'XXX';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'OU=XX,OU=XXX,OU=XX,DC=XX,DC=XX,DC=XX';
    $Self->{'AuthModule::LDAP::UID'} = 'otrssearch';
    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=glb_OTRSAgents,OU=XX,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XX';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrssearch';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'XXX';
    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    };

    # Die if backend can't work, e. g. can't connect to server.
    $Self->{'AuthModule::LDAP::Die'} = 1;

# Syncronisation der Agenten in die lokal OTRS-DB
# agent data sync against ldap
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'DNS-Name des Servers';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'OU=XX,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XX';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'otrssearch';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'otrssearch';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'XXXX';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
		UserLogin => 'samaccountname',
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
        UserPhone => 'telephonenumber',
    };

Customer:

Code: Select all

$Self->{CustomerUser} = {
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
      Host => 'XXX',
      BaseDN => 'OU=XX,OU=XXX,OU=xxx,DC=XXX,DC=xxx,DC=XX',
      SSCOPE => 'sub',
      UserDN => 'CN=XXX,OU=IT,OU=xxx,OU=xxx,DC=XXX,DC=xxx,DC=XX',
      UserPw => 'XXX',
	  SourceCharset => 'utf-8',
      DestCharset => 'utf-8',

    },
    CustomerKey => 'sAMAccountName',
    CustomerID => '[customer_id]',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
      # note: Login, Email and CustomerID needed!
      # var, frontend, storage, shown, required, storage-type
#       [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
      [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
      [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
      [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
      [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
      [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
#       [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#       [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#       [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
    ],
  }; 
 
  $Self->{'AgentLogo'} = {
'StyleHeight' => '67px',
'StyleRight' => '20px',
'StyleTop' => '24px',
'StyleWidth' => '244px',
'URL' => 'skins/Agent/default/img/logo_bg.png'
};

Nun zu den Fehlermeldungen. In meinem Log-File siehts so aus:

Code: Select all

[Tue Feb  7 11:39:46 2012][Error][Kernel::System::CustomerUser::LDAP::_Connect][197] First bind failed! 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 525, v1772
[Tue Feb  7 11:49:05 2012][Error][Kernel::System::Auth::LDAP::Auth][187] First bind failed! 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 525, v1772
[Tue Feb  7 11:49:05 2012][Error][Kernel::System::User::UserLookup][746] No UserID found for 'XXX'!

(Der Benutzer XXX ist hinterlegt in der Gruppe GLB_OTRSAGENTS)

Noch ne kleine Frage zum Schluss:
Wie kann ich den Agents Rechte vergeben oder besser gesagt den Gruppen? Muss ich das in der Config-File machen oder dann, wenn ich mich endlich mal einloggen kann?

Bitte helft mir! Ich bin um jeden Tipp dankbar!

[jojo]

$Self->{'AuthSyncModule::LDAP::UID'} = 'otrssearch'; <- da muss samaccountname rein
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member'; <- sollte memberof sein

Beim DN bitte auch einen DN eintragen und nicht nur den Usernamen


Ansonsten findest Du im Forum dutzende von funktionierenden Beispielen

[zebi]

Hallo jojo

Vielen Dank für Deine Hilfe! Leider funktioniert immer noch nicht, auch wenn ich mich mit Domäne\XX anmelde... Fehlermeldung:

Code: Select all

[Tue Feb  7 15:47:38 2012][Notice][Kernel::System::Auth::LDAP::Auth] User: XXX authentication failed, no LDAP entry found!BaseDN='OU=XX,OU=XX,OU=XX,DC=XX,DC=XX,DC=XX', Filter='(samaccountname=XXX)', (REMOTE_ADDR: 127.0.0.1).
[Tue Feb  7 15:47:38 2012][Error][Kernel::System::User::UserLookup][746] No UserID found for 'XXX'!

Vorgenommene Änderungen am Config-File:

Code: Select all

#Authentifizierung der Agenten:
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'XXX';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'OU=XX,OU=XXX,OU=XX,DC=XX,DC=XX,DC=XX';
    $Self->{'AuthModule::LDAP::UID'} = 'samaccountname';
    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=glb_OTRSAgents,OU=XX,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XX';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberof';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'OTRS Search';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'XXX';
    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    };

    # Die if backend can't work, e. g. can't connect to server.
    $Self->{'AuthModule::LDAP::Die'} = 1;

# Syncronisation der Agenten in die lokal OTRS-DB
# agent data sync against ldap
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'DNS-Name des Servers';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'OU=XX,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XX';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'samaccountname';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'OTRS Search';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'XXXX';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
      UserLogin => 'samaccountname',
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
        UserPhone => 'telephonenumber',
    };

Was läuft schief?

[jojo]

der Agent ist nicht unterhalb der BaseDN zu finden

[zebi]

Dann müsste ich ich ja theoretisch mit dem OTRS Search anmelden können? Dieser ist in dieser OU und Mitglied bei der Gruppe GLB_OTRSAgents...

Muss ich der Gruppe nicht noch irgendwie Rechte zuweisen?

Code: Select all

[Tue Feb  7 16:20:37 2012][Notice][Kernel::System::Auth::LDAP::Auth] User: otrssearch authentication failed, no LDAP group entry foundGroupDN='CN=glb_OTRSAgents,OU=xx,OU=xx,OU=xx,DC=xx,DC=xx,DC=xx', Filter='(memberof=CN=OTRS Search,OU=xx,OU=xx,OU=xx,DC=xx,DC=xx,DC=xx)'! (REMOTE_ADDR: 127.0.0.1).
[Tue Feb  7 16:20:37 2012][Error][Kernel::System::User::UserLookup][746] No UserID found for 'otrssearch'!

[ferrosti]

$Self->{'AuthModule::LDAP::SearchUserDN'} = 'OTRS Search';

ist aber immer noch kein DN!

[jojo]

und der user ist kein Mitglieder der Gruppe. Besorg Dir mal ein LDIF des Users und ein LDIF der Gruppe

[zebi]

$Self->{'AuthModule::LDAP::SearchUserDN'} = 'OTRS Search';

ist aber immer noch kein DN!

DN = Display Name?

Der User otrssearch heisst OTRS Search... Oder versteh ich das Falsch?

[jojo]

Distinguished Name (siehe http://de.wikipedia.org/wiki/Lightweigh ... s_Protocol)

Bitte frag Deinen AD Admin, damit er Dir einen entsprechenden LDIF erstellt, mit den Daten

[lobmayec]

Ich habe den Teil für die LDAP Synchronisierung folgendermaßen:

Code: Select all

   	 $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
   	 $Self->{'AuthSyncModule::LDAP::Host'} = '10.127.9.185';
   	 $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'DC=otrs,DC=test';
   	 $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
 	 $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=otrsldap,ou=otrs_agent,dc=otrs,dc=test';
 	 $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = '0NoUse1';
   
   	 # Informationszuweisung
   	 $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
		UserLogin => 'sAMAccountName',
		UserEmail => 'mail',
		UserFirstname => 'givenName',
		UserLastname => 'sn',
		};
	$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = 'otrs_agent';

Wenn ich mich mit einem vorhandenen Benutzer Anmelden will z.B. Agent1 dieser auch in der Organisationseinheit otrs_agent ist, steht im OTRS Log folgende Meldung

Code: Select all

[Fri Apr 13 11:47:53 2012][Notice][Kernel::System::Auth::DB::Auth] User: lobmayer doesn't exist or is invalid!!! (REMOTE_ADDR: 10.127.9.174)
[Fri Apr 13 11:47:53 2012][Error][Kernel::System::User::UserLookup][765] No UserID found for 'lobmayer'!

Ich kann mich nur mit dem Benutzer "otrsldap" Anmelden.

[lobmayec]

Hallo Zusammen!

Ich bin Neuling auf dem Gebiet OTRS. Ich benutze OTRS 3.0.5 mit ITSM 2.0. Ich möchte nun mein OTRS mit dem AD verbinden. Ja, ich habe im Forum schon nachgelesen. Dieser Artikel hat mir auch nicht geholfen (http://forums.otrs.org/viewtopic.php?f=35&t=8847).Ich bin am Rande der Verzweiflung! die Gruppe glb_OTRSAgents hat keine speziellen Rechte. Der User otrssearch hat keine speziellen Rechte. Sobald der Code drin steht, kann ich mich nicht mal mehr mit dem root@localhost einloggen.

Meine Config-File:

Agenten-Authentifizierung:

Code: Select all

#Authentifizierung der Agenten:
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'XXX';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'OU=XX,OU=XXX,OU=XX,DC=XX,DC=XX,DC=XX';
    $Self->{'AuthModule::LDAP::UID'} = 'otrssearch';
    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=glb_OTRSAgents,OU=XX,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XX';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrssearch';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'XXX';
    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    };

    # Die if backend can't work, e. g. can't connect to server.
    $Self->{'AuthModule::LDAP::Die'} = 1;

# Syncronisation der Agenten in die lokal OTRS-DB
# agent data sync against ldap
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'DNS-Name des Servers';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'OU=XX,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XX';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'otrssearch';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'otrssearch';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'XXXX';
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
		UserLogin => 'samaccountname',
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
        UserPhone => 'telephonenumber',
    };

Customer:

Code: Select all

$Self->{CustomerUser} = {
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
      Host => 'XXX',
      BaseDN => 'OU=XX,OU=XXX,OU=xxx,DC=XXX,DC=xxx,DC=XX',
      SSCOPE => 'sub',
      UserDN => 'CN=XXX,OU=IT,OU=xxx,OU=xxx,DC=XXX,DC=xxx,DC=XX',
      UserPw => 'XXX',
	  SourceCharset => 'utf-8',
      DestCharset => 'utf-8',

    },
    CustomerKey => 'sAMAccountName',
    CustomerID => '[customer_id]',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
      # note: Login, Email and CustomerID needed!
      # var, frontend, storage, shown, required, storage-type
#       [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
      [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
      [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
      [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
      [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
      [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
#       [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#       [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#       [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
    ],
  }; 
 
  $Self->{'AgentLogo'} = {
'StyleHeight' => '67px',
'StyleRight' => '20px',
'StyleTop' => '24px',
'StyleWidth' => '244px',
'URL' => 'skins/Agent/default/img/logo_bg.png'
};

Nun zu den Fehlermeldungen. In meinem Log-File siehts so aus:

Code: Select all

[Tue Feb  7 11:39:46 2012][Error][Kernel::System::CustomerUser::LDAP::_Connect][197] First bind failed! 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 525, v1772
[Tue Feb  7 11:49:05 2012][Error][Kernel::System::Auth::LDAP::Auth][187] First bind failed! 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 525, v1772
[Tue Feb  7 11:49:05 2012][Error][Kernel::System::User::UserLookup][746] No UserID found for 'XXX'!

(Der Benutzer XXX ist hinterlegt in der Gruppe GLB_OTRSAGENTS)

Noch ne kleine Frage zum Schluss:
Wie kann ich den Agents Rechte vergeben oder besser gesagt den Gruppen? Muss ich das in der Config-File machen oder dann, wenn ich mich endlich mal einloggen kann?

Bitte helft mir! Ich bin um jeden Tipp dankbar!

Hast du über die Rechte schon was rausgefunden? Da ein User der neu Angelegt wird bzw. sich das erste mal einloggt eigentich keine speziellen Rechte hat. Kann man die Rechte über die AD zuweisen oder evtl. Standardrechte in OTRS umstellen?

[ferrosti]

Dein SearchUserDN ist kein DN, daher schlägt der First Bind fehl.

[root]

Dein SearchUserDN ist kein DN, daher schlägt der First Bind fehl.

Beim AD koennen der DN, der userPrincipalName (UPN) oder der sAMAccountName verwendet werden.

[root]

Tausche doch mal

Code: Select all

$Self->{'AuthModule::LDAP::UID'} = 'otrssearch';

gegen

Code: Select all

$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

aus.

Mit UID will OTRS wissen in welchem LDAP-Attribut der Username steht.