AW: [otrs-de] Agent LDAP Authentifizierung für Benutzer-Gruppe
Teuber, Michael
Michael.Teuber at eberspaecher.com
Don Mai 11 18:48:37 CEST 2006
Hallo Andreas,
wir haben ADS auf 2003,
Hier die Config.pm:
# --------------------------------------------------- #
# LDAP authentication for Agent
# --------------------------------------------------- #
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'LNSDCDEES1';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=xyz,dc=,dc=com';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::Params'} = {
#port => 3268,
port => 389,
version => 3,
scope => 'sub',
};
# Parameter wurde erweitert von maibaum
# Wird ben igt, damit Name in Agentliste angezeigt wird
$Self->{DatabaseUserTableUserName} = 'last_name';
# The following is valid but would only be necessary if the
# anonymous user do NOT have permission to read from the LDAP tree
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=otrsuser,cn=users,dc=xyz,dc=com';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort';
# Parameter wurde erweiter von Michael Teuber
# Pruefen ob ADS-User Berechtigt ist sich als OTRS-Agent anzumelden
# Check if the user is allowed to auth in a posixGroup
# (e. g. user needs to be in a group xyz to use otrs)
$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=dl_OTRSAgentsNK,ou=PERMGROUPS,ou=BER_E,ou=Standard,ou=Neunkirchen,dc=xyz,dc=com';
#$Self->{'AuthModule::LDAP::GroupDN'} = 'OTRSAgentsNK';
#$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
#$Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
# $Self->{'AuthModule::LDAP::UserAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
# --------------------------------------------------- #
# LDAP Kundenbenutzer Daten
# --------------------------------------------------- #
$Self->{CustomerUser} = {
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
# ldap host
Host => 'LE1SDCEBER2.xyz.com',
# ldap base dn
BaseDN => 'DC=xyz,DC=com',
# search scope (one|sub)
SSCOPE => 'sub',
AlwaysFilter => '(&(objectClass=Person)(!(objectClass=Computer))(!(objectClass=publicFolder)))',
# The following is valid but would only be necessary if the
# anonymous user does NOT have permission to read from the LDAP tree
#
# Dummy User ohne Rechte
#
UserDN => 'CN=otrsuser,CN=Users,DC=xyz,DC=com',
UserPw => 'passwort',
Params => {
port => 3268,
version => 3,
},
UserSearchListLimit => 150,
},
# customer uniq id
CustomerKey => 'sAMAccountName',
# customer #
CustomerID => 'sAMAccountName',
# CustomerUserListFields => ['login', 'first_name', 'last_name', 'customer_id', 'email','Kst','UserPhone','UserComment','UserCity'],
CustomerUserListFields => ['mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
# var, frontend, storage, shown, required, storage-type
[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'sAMAccountName', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
[ 'UserComment', 'Abteilung', 'department', 1, 0, 'var' ],
[ 'UserCity', 'City', 'extensionAttribute1', 1, 0, 'var' ],
[ 'Kst', 'Kostenstelle', 'extensionAttribute2', 1, 0, 'var' ],
],
};
============================================================================
Hier noch ein Auszug aus einen "ldapsearch" von der Linux-Kiste (auf dem das OTRS läuft) gegen die ADS:
oldschlapor:/opt/otrs/Kernel # ldapsearch -Hldap://x.x.x.x -b "dc=xyz,dc=com" "(&(objectclass=Group) (cn=dl_OTRSAgentsNK))" -x -W -Ddees\\Administrator
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <dc=xyz,dc=com> with scope sub
# filter: (&(objectclass=Group) (cn=dl_OTRSAgentsNK))
# requesting: ALL
#
# dl_OTRSAgentsNK, PERMGROUPS, BER_E, Standard, Neunkirchen, xyz.com
dn: CN=dl_OTRSAgentsNK,OU=PERMGROUPS,OU=BER_E,OU=Standard,OU=Neunkirchen,DC=xyz,DC=com
objectClass: top
objectClass: group
cn: dl_OTRSAgentsNK
member: CN=Teuber\, Michael,OU=USER,OU=BER_E,OU=Standard,OU=Neunkirchen,DC=xyz,DC=com
distinguishedName: CN=dl_OTRSAgentsNK,OU=PERMGROUPS,OU=BER_E,OU=Standard,OU=Ne
unkirchen,DC=xyz,DC=com
instanceType: 4
whenCreated: 20060509094005.0Z
whenChanged: 20060511152925.0Z
uSNCreated: 5042134
uSNChanged: 5117632
name: dl_OTRSAgentsNK
objectGUID:: xSAFIY4LeU2bk6Kcb0GCtA==
objectSid:: AQUAAAAAAAUVAAAAcFK4Rd8Z3zAkDbESHTwAAA==
sAMAccountName: dl_OTRSAgentsNK
sAMAccountType: 536870912
groupType: -2147483644
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=xyz,DC=com
msSFU30Name: dl_OTRSAgentsNK
msSFU30GidNumber: 200249
msSFU30NisDomain: xyz
msSFU30PosixMember: CN=Teuber\, Michael,OU=USER,OU=BER_E,OU=Standard,OU=Neunki
rchen,DC=xyz,DC=com
# search reference
ref: ldap://DomainDnsZones.xyz.com/DC=DomainDnsZones,DC=xyz,DC=com
# search result
search: 2
result: 0 Success
# numResponses: 3
# numEntries: 1
# numReferences: 1
oldschlapor:/opt/otrs/Kernel #
Gruß
Best regards / Mit freundlichen Grüssen
Michael Teuber
Abt.: DAT, Netzwerk, Telekommunikation, PC-Support
mailto: michael.teuber at eberspaecher.com
Tel.: +49 6821 183869
Fax.: +49 6821 184444
Eberspächer GmbH & Co.KG
Homburger Straße
D-66539 Neunkirchen
Net: www.eberspaecher.com
-----Ursprüngliche Nachricht-----
Von: otrs-de-bounces at otrs.org [mailto:otrs-de-bounces at otrs.org] Im Auftrag von Andreas Rothlauf
Gesendet: Donnerstag, 11. Mai 2006 10:11
An: User questions and discussions about OTRS.org in German
Betreff: Re: [otrs-de] Agent LDAP Authentifizierung für Benutzer-Gruppe
Hallo Michael,
Am 11.05.06 schrieb Teuber, Michael <Michael.Teuber at eberspaecher.com>:
> May 11 09:31:43 oldschlapor OTRS-CGI-10[25256]:
> [Notice][Kernel::System::Auth::LDAP::Auth] User: n05027
> authentication failed, no LDAP group entry found
> GroupDN='cn=OTRSAgentsNK,ou=PERMGROUPS,ou=BER_E,ou=Standard,ou=Neunkirchen,dc=xyz,dc=com',
> Result='Net::LDAP::Search=HASH(0x9a130a0)'
>
> Filter='(member=CN=Teuber\,
> Michael,OU=USER,OU=BER_E,OU=Standard,OU=Neunkirchen,DC=xyz,DC=com)'!
> (REMOTE_ADDR: 10.101.1.254).
Welche Windows-Version verwendet Ihr? 2000, 2003?
Der GroupDN stimmt auch komplett? Sind im Gruppen-Namen vielleicht Blanks
enthalten (ist der CN!)
Poste mal bitte die Config für die User-Authentifizierung noch dazu.
Gruß
Andreas
--
Andreas Rothlauf
OpenBC: https://www.openbc.com/hp/Andreas_Rothlauf/
_______________________________________________
OTRS Mailingliste: otrs-de - Webpage: http://otrs.org/
Archiv: http://lists.otrs.org/pipermail/otrs-de/
Listenabo verwalten: http://lists.otrs.org/cgi-bin/listinfo/otrs-de/
Support oder Consulting fuer Ihr OTRS System?
=http://www.otrs.de/