AW: [otrs-de] Agent LDAP Authentifizierung für Benutzer-Gruppe

11 May 2006

      Hallo Andreas,

wir haben ADS auf 2003, 

Hier die Config.pm:

    # --------------------------------------------------- #
    # LDAP authentication for Agent
    # --------------------------------------------------- #

    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';

    $Self->{'AuthModule::LDAP::Host'} = 'LNSDCDEES1';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=xyz,dc=,dc=com';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    $Self->{'AuthModule::LDAP::Params'} = {
        #port => 3268,
        port => 389,
        version => 3,
        scope => 'sub',
    };

    # Parameter wurde erweitert von maibaum
    # Wird ben igt, damit Name in Agentliste angezeigt wird
    $Self->{DatabaseUserTableUserName} = 'last_name';

    # The following is valid but would only be necessary if the
    # anonymous user do NOT have permission to read from the LDAP tree
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=otrsuser,cn=users,dc=xyz,dc=com';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'passwort';

    # Parameter wurde erweiter von Michael Teuber
    # Pruefen ob ADS-User Berechtigt ist sich als OTRS-Agent anzumelden
    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group xyz to use otrs)
    $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=dl_OTRSAgentsNK,ou=PERMGROUPS,ou=BER_E,ou=Standard,ou=Neunkirchen,dc=xyz,dc=com';
    #$Self->{'AuthModule::LDAP::GroupDN'} = 'OTRSAgentsNK';
    #$Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';

    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';

    #$Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
    # $Self->{'AuthModule::LDAP::UserAttr'} = 'member';

    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    # --------------------------------------------------- #
    # LDAP Kundenbenutzer Daten
    # --------------------------------------------------- #

    $Self->{CustomerUser} = {
        Module => 'Kernel::System::CustomerUser::LDAP',
        Params => {
            # ldap host
            Host => 'LE1SDCEBER2.xyz.com',
            # ldap base dn
            BaseDN => 'DC=xyz,DC=com',
            # search scope (one|sub)
            SSCOPE => 'sub',
            AlwaysFilter => '(&(objectClass=Person)(!(objectClass=Computer))(!(objectClass=publicFolder)))',
            # The following is valid but would only be necessary if the
            # anonymous user does NOT have permission to read from the LDAP tree

        #
        # Dummy User ohne Rechte
        #
            UserDN => 'CN=otrsuser,CN=Users,DC=xyz,DC=com',
            UserPw => 'passwort',
            Params => {
                port => 3268,
                version => 3,
            },
            UserSearchListLimit => 150,
        },
        # customer uniq id
        CustomerKey => 'sAMAccountName',
        # customer #
        CustomerID => 'sAMAccountName',
#       CustomerUserListFields => ['login', 'first_name', 'last_name', 'customer_id', 'email','Kst','UserPhone','UserComment','UserCity'],
        CustomerUserListFields => ['mail'],
        CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
        CustomerUserPostMasterSearchFields => ['mail'],
        CustomerUserNameFields => ['givenname', 'sn'],
        Map => [
            # note: Login, Email and CustomerID needed!
            # var, frontend, storage, shown, required, storage-type
            [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
            [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
            [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
            [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
            [ 'UserCustomerID', 'CustomerID', 'sAMAccountName', 0, 1, 'var' ],
            [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
            [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
            [ 'UserComment', 'Abteilung', 'department', 1, 0, 'var' ],
            [ 'UserCity', 'City', 'extensionAttribute1', 1, 0, 'var' ],
            [ 'Kst', 'Kostenstelle', 'extensionAttribute2', 1, 0, 'var' ],
        ],
    };

============================================================================

Hier noch ein Auszug aus einen "ldapsearch" von der Linux-Kiste (auf dem das OTRS läuft) gegen die ADS:

oldschlapor:/opt/otrs/Kernel # ldapsearch -Hldap://x.x.x.x -b "dc=xyz,dc=com" "(&(objectclass=Group) (cn=dl_OTRSAgentsNK))" -x -W -Ddees\\Administrator
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base  with scope sub
# filter: (&(objectclass=Group) (cn=dl_OTRSAgentsNK))
# requesting: ALL
#

# dl_OTRSAgentsNK, PERMGROUPS, BER_E, Standard, Neunkirchen, xyz.com
dn: CN=dl_OTRSAgentsNK,OU=PERMGROUPS,OU=BER_E,OU=Standard,OU=Neunkirchen,DC=xyz,DC=com
objectClass: top
objectClass: group
cn: dl_OTRSAgentsNK
member: CN=Teuber\, Michael,OU=USER,OU=BER_E,OU=Standard,OU=Neunkirchen,DC=xyz,DC=com
distinguishedName: CN=dl_OTRSAgentsNK,OU=PERMGROUPS,OU=BER_E,OU=Standard,OU=Ne
 unkirchen,DC=xyz,DC=com
instanceType: 4
whenCreated: 20060509094005.0Z
whenChanged: 20060511152925.0Z
uSNCreated: 5042134
uSNChanged: 5117632
name: dl_OTRSAgentsNK
objectGUID:: xSAFIY4LeU2bk6Kcb0GCtA==
objectSid:: AQUAAAAAAAUVAAAAcFK4Rd8Z3zAkDbESHTwAAA==
sAMAccountName: dl_OTRSAgentsNK
sAMAccountType: 536870912
groupType: -2147483644
objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=xyz,DC=com
msSFU30Name: dl_OTRSAgentsNK
msSFU30GidNumber: 200249
msSFU30NisDomain: xyz
msSFU30PosixMember: CN=Teuber\, Michael,OU=USER,OU=BER_E,OU=Standard,OU=Neunki
 rchen,DC=xyz,DC=com

# search reference
ref: ldap://DomainDnsZones.xyz.com/DC=DomainDnsZones,DC=xyz,DC=com

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 1
# numReferences: 1
oldschlapor:/opt/otrs/Kernel #

Gruß

		Best regards / Mit freundlichen Grüssen

		Michael Teuber

		Abt.: DAT, Netzwerk, Telekommunikation, PC-Support

		mailto: michael.teuber@eberspaecher.com

		Tel.: +49 6821 183869

		Fax.: +49 6821 184444

		Eberspächer GmbH & Co.KG

		Homburger Straße

		D-66539 Neunkirchen

		Net: www.eberspaecher.com

-----Ursprüngliche Nachricht-----
Von: otrs-de-bounces@otrs.org [mailto:otrs-de-bounces@otrs.org] Im Auftrag von Andreas Rothlauf
Gesendet: Donnerstag, 11. Mai 2006 10:11
An: User questions and discussions about OTRS.org in German
Betreff: Re: [otrs-de] Agent LDAP Authentifizierung für Benutzer-Gruppe

Hallo Michael,

Am 11.05.06 schrieb Teuber, Michael :
...
May 11 09:31:43 oldschlapor OTRS-CGI-10[25256]:
[Notice][Kernel::System::Auth::LDAP::Auth] User: n05027
authentication failed, no LDAP group entry found
GroupDN='cn=OTRSAgentsNK,ou=PERMGROUPS,ou=BER_E,ou=Standard,ou=Neunkirchen,dc=xyz,dc=com',
Result='Net::LDAP::Search=HASH(0x9a130a0)'
Filter='(member=CN=Teuber\,
Michael,OU=USER,OU=BER_E,OU=Standard,OU=Neunkirchen,DC=xyz,DC=com)'!
(REMOTE_ADDR: 10.101.1.254).
Welche Windows-Version verwendet Ihr? 2000, 2003?

Der GroupDN stimmt auch komplett? Sind im Gruppen-Namen vielleicht Blanks
enthalten (ist der CN!)

Poste mal bitte die Config für die User-Authentifizierung noch dazu.

Gruß
Andreas

-- 
Andreas Rothlauf
OpenBC: https://www.openbc.com/hp/Andreas_Rothlauf/
_______________________________________________
OTRS Mailingliste: otrs-de - Webpage: http://otrs.org/
Archiv: http://lists.otrs.org/pipermail/otrs-de/
Listenabo verwalten: http://lists.otrs.org/cgi-bin/listinfo/otrs-de/
Support oder Consulting fuer Ihr OTRS System?
=http://www.otrs.de/