Hallo, Koennte mir bitte jemand einen Tip zur Konfiguration des OTRS-Logins fuer eine bestimmte Gruppe geben? Ich moechte, dass saemtliche User im Customer-Interface einloggen koennen (das funktioniert). Zusaetzlich sollen manche aber, die auch administrative Taetigkeiten zu erfuellen haben, im Agent-Interface einloggen koennen (dzt. koennen alle Customer dort einloggen). Ich habe also im LDAP eine posixGroup 'otrsallow' angelegt, wie es schon so schoen im Beispiel steht :) Ich habe testweise meinen eigenen User dieser Gruppe hinzugefuegt (meine uid bei memberUid der Gruppe eingetragen). Nun versteh ich aber etwas nicht ganz: Wenn ich - zusaetzlich zur allgemeinen GroupBaseDN-Definition - den folgenden Eintrag aktiviere
$Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
koennen nach wie vor _alle_ User einloggen. Wenn ich entweder stattdessen oder zusaetzlich dies aktiviere
$Self->{'AuthModule::LDAP::AccessAttr'} = 'gidNumber';
dann kann keiner der User mehr im Agent-Interface einloggen. Im Logfile findet sich folgendes:
[Mon Mar 15 15:53:12 2004][Notice][Kernel::System::Auth::LDAP::Auth] User: 'nber' tried to login with Pw: 'XXX' (REMOTE_ADDR: 127.0.0.1) [Mon Mar 15 15:53:12 2004][Notice][Kernel::System::Auth::LDAP::Auth] check for groupdn! [Mon Mar 15 15:53:12 2004][Notice][Kernel::System::Auth::LDAP::Auth] User: nber login failed, no LDAP group entry foundGroupDN='cn=otrsallow,ou=groups,dc=efkon,dc=com', Filter='(gidNumber=uid=nber,ou=people,dc=efkon,dc=com)'! (REMOTE_ADDR: 127.0.0.1).
Mich wundert das: gidNumber=uid=nber Die gidNumber ist doch numerisch, wieso wird hier mit dem uid-String verglichen? Das kann dann doch nicht funktionieren - oder hab ich da einen Denkfehler? Schoenen Nachmittag! -- Nora Bernhard Systems Administrator - Linux A vivid and creative mind characterizes you.
On Monday, March 15, 2004 3:57 PM
Nora Bernhard
Nun versteh ich aber etwas nicht ganz: Wenn ich - zusaetzlich zur allgemeinen GroupBaseDN-Definition - den folgenden Eintrag aktiviere
$Self->{'AuthModule::LDAP::UserAttr'} = 'UID';
koennen nach wie vor _alle_ User einloggen.
Klar, das ist der Defaults-Eintrag.
Wenn ich entweder stattdessen oder zusaetzlich dies aktiviere
$Self->{'AuthModule::LDAP::AccessAttr'} = 'gidNumber';
dann kann keiner der User mehr im Agent-Interface einloggen.
Auch klar, probier es mit: $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid'; Du fragst das (immer gleiche) Attribut 'gidNumber' ab, das ist in diesem Zusammenhang irrelevant. Schönen Gruß, Robert Kehl -- ((otrs.de)) :: OTRS GmbH :: Norsk-Data-Str. 1 :: 61352 Bad Homburg http://www.otrs.de/ :: Tel. +49 (0)6172 4832388
Auch klar, probier es mit: $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
Noe, funktioniert nicht, ich meine, funktioniert schon, aber nicht wie gewuenscht - es koennen nach wie vor alle User einloggen:
[Tue Mar 16 07:52:54 2004][Notice][Kernel::System::Auth::LDAP::Auth] User: 'nber' tried to login with Pw: 'XXX' (REMOTE_ADDR: 127.0.0.1) [Tue Mar 16 07:52:54 2004][Notice][Kernel::System::Auth::LDAP::Auth] User: nber logged in (REMOTE_ADDR: 127.0.0.1). [Tue Mar 16 07:53:00 2004][Notice][Kernel::System::AuthSession::IPC::RemoveSessionID] Removed SessionID 106c9de49e72c8975731d4ec88c79ce65a. [Tue Mar 16 07:53:08 2004][Notice][Kernel::System::Auth::LDAP::Auth] User: 'fmad' tried to login with Pw: 'XXX' (REMOTE_ADDR: 127.0.0.1) [Tue Mar 16 07:53:08 2004][Notice][Kernel::System::Auth::LDAP::Auth] User: fmad logged in (REMOTE_ADDR: 127.0.0.1).
(User nber ist bei memberUid der posixGroup otrsallow eingetragen, User fmad nicht) Froehlich, obwohl krank, gruesst -- Nora Bernhard Systems Administrator - Linux Who goeth a-borrowing goeth a-sorrowing. -- Thomas Tusser
On Tuesday, March 16, 2004 7:57 AM
Nora Bernhard
Auch klar, probier es mit: $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
Noe, funktioniert nicht, ich meine, funktioniert schon, aber nicht wie gewuenscht - es koennen nach wie vor alle User einloggen: (User nber ist bei memberUid der posixGroup otrsallow eingetragen, User fmad nicht)
Achtung, auch bei dieser Einstellung gibt es wiederum zwei Bereiche, die zu unterscheiden sind: a) Agenten-AUTH - gilt für index.pl $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=otrs-agents,ou=group,o=example'; $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid'; $Self->{'AuthModule::LDAP::UserAttr'} = 'UID'; # $Self->{'AuthModule::LDAP::UserAttr'} = 'DN'; b) CustomerUser-AUTH - gilt für customer.pl $Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'cn=otrsallow,ou=group,o=example'; $Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'memberUid'; $Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'UID'; # $Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'DN'; Da Du oben die Gruppe 'otrsallow' erwähnst - könnte es sein, dass Du die beiden Einstellungen verwechselt hast? Natürlich ist es vollkommen egal, wie die posixGruppe heisst, kannst sie auch 'haenschenkleingingallein' nennen ;) war nur der erste Gedanke.
Froehlich, obwohl krank, gruesst
Kamilletee, Zwieback, WLAN, ab ins Bett! Jetzt kannst Du doch endlich mal c't _und_ iX durchlesen, hat alles seine Vorteile... Fröhlich grüßt Robert Kehl -- Die Spieler von Ghana erkennen Sie an den gelben Stutzen. Marcel Reif beim Länderspiel Deutschland-Ghana -- ((otrs.de)) :: OTRS GmbH :: Norsk-Data-Str. 1 :: 61352 Bad Homburg http://www.otrs.de/ :: Tel. +49 (0)6172 4832388
Da Du oben die Gruppe 'otrsallow' erwähnst - könnte es sein, dass Du die beiden Einstellungen verwechselt hast? Natürlich ist es vollkommen egal, wie die posixGruppe heisst, kannst sie auch 'haenschenkleingingallein' nennen ;) war nur der erste Gedanke.
Nein, ich krieg das schon schoen langsam auf die Reihe ... glaub ich ;) Bei den Customer::AuthModule::LDAP::...-Optionen ist alles auskommentiert, es sollen sowieso alle, die bei mir im LDAP angelegt sind, als Customer ins OTRS duerfen. Bei den AuthModule::LDAP::...-Optionen hab ich noch ein bisschen herumgespielt, war aber weiterhin erfolglos. Im Moment stehe ich bei
$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=otrsallow,ou=groups,dc=efkon,dc=com'; $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
Immer noch hab ich im Logfile folgendes:
[Tue Mar 16 14:28:13 2004][Notice][Kernel::System::CustomerAuth::LDAP::Auth] CustomerUser: nber login failed, no LDAP group entry foundGroupDN='cn=otrsallow,ou=groups,dc=efkon,dc=com', Filter='(memberUid=uid=nber,ou=people,dc=efkon,dc=com)'! (REMOTE_ADDR: 127.0.0.1).
Ich hab auch schon testweise statt meiner (Zahlen-)memberUid meine (Buchstaben-)uid in der posixGroup angegeben, macht aber auch keinen Unterschied.
Kamilletee, Zwieback, WLAN, ab ins Bett! Jetzt kannst Du doch endlich mal c't _und_ iX durchlesen, hat alles seine Vorteile...
Tjo, leider, solange ich "nur" Halsweh hab, als ob ein Tennisball drin stecken wuerde, kann ich nicht zu Hause bleiben :/ Trotzdem froehliche Gruesse (aufgrund des Prachtwetters *sonnt sich*) -- Nora Bernhard Systems Administrator - Linux Who goeth a-borrowing goeth a-sorrowing. -- Thomas Tusser
On Tuesday, March 16, 2004 2:48 PM
Nora Bernhard
Bei den AuthModule::LDAP::...-Optionen hab ich noch ein bisschen herumgespielt, war aber weiterhin erfolglos. Im Moment stehe ich bei
$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=otrsallow,ou=groups,dc=efkon,dc=com'; $Self->{'AuthModule::LDAP::AccessAttr'} = 'memberUid';
Immer noch hab ich im Logfile folgendes:
[Tue Mar 16 14:28:13 2004][Notice][Kernel::System::CustomerAuth::LDAP::Auth] CustomerUser: nber login failed, no LDAP group entry foundGroupDN='cn=otrsallow,ou=groups,dc=efkon,dc=com', Filter='(memberUid=uid=nber,ou=people,dc=efkon,dc=com)'! (REMOTE_ADDR: 127.0.0.1).
Ich hab auch schon testweise statt meiner (Zahlen-)memberUid meine (Buchstaben-)uid in der posixGroup angegeben, macht aber auch keinen Unterschied.
Die Zahlen-UID vergiss mal schnell wieder, das wäre die uidNumber ;) UID ist bei Dir 'nber'. Was Deiner Konfiguration noch fehlt, ist: $Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'UID'; Defaultmäßig wird hier vom OTRS die Einstellung 'DN' genommen, was bedeuten würde, dass in der Liste der 'memberUid's nicht 'nber', sondern 'uid=nber,ou=people,dc=efkon,dc=com' stehen sollte. Umständlich, wie ich finde, und damit natürlich keine posixGroup mehr, sondern eine 'groupOfUniqueNames'. Bei der ist die Form sogar gefordert - allerdings heisst das AccessAttr dann nicht mehr memberUid, sondern 'uniqueMember'. Bevor wir das ganze LDAP von hinten aufrollen: Setz' obige Einstellung, und bingo, es klappt. ;)
Kamilletee, Zwieback, WLAN, ab ins Bett! Jetzt kannst Du doch endlich mal c't _und_ iX durchlesen, hat alles seine Vorteile...
Tjo, leider, solange ich "nur" Halsweh hab, als ob ein Tennisball drin stecken wuerde, kann ich nicht zu Hause bleiben :/
"Zu Risiken und Nebenwirkungen befragen Sie Ihren Chef oder Vorgesetzte." Fröhlich grüßt Robert Kehl -- ((otrs.de)) :: OTRS GmbH :: Norsk-Data-Str. 1 :: 61352 Bad Homburg http://www.otrs.de/ :: Tel. +49 (0)6172 4832388
Die Zahlen-UID vergiss mal schnell wieder, das wäre die uidNumber ;) UID ist bei Dir 'nber'.
Ah, das war wohl mein Fehler.
Was Deiner Konfiguration noch fehlt, ist: $Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'UID';
Ich denke, du meinst $Self->{'AuthModule::LDAP::UserAttr'} = 'UID'; (ohne Customer:: vorne dran)!? Hab grad gesehen, dass ich das eh schon einkommentiert hatte. Also war die UID im LDAP im falschen Format schuld ... mea culpa ... *streut Asche auf ihr Haupt* Beschwingt gruesst -- Nora Bernhard Systems Administrator - Linux Who goeth a-borrowing goeth a-sorrowing. -- Thomas Tusser
On Tuesday, March 16, 2004 3:40 PM
Nora Bernhard
Was Deiner Konfiguration noch fehlt, ist: $Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'UID';
Ich denke, du meinst $Self->{'AuthModule::LDAP::UserAttr'} = 'UID'; (ohne Customer:: vorne dran)!?
DA hab' ich ja schon die letzte Zeit drauf gewartet - dass mir genau der Fehler passiert, der am häufigsten bei OTRS vs. LDAP passiert... (blush)
Hab grad gesehen, dass ich das eh schon einkommentiert hatte. Also war die UID im LDAP im falschen Format schuld ... mea culpa ... *streut Asche auf ihr Haupt*
Sorry, Couldn't resist: "Asche gehört in die Urne oder auf's Glatteis, aber bestimmt nicht auf's Haupt." Karl-Eduard von Schnitzler (1918-2001) Fröhlich grüßt Robert Kehl -- ((otrs.de)) :: OTRS GmbH :: Norsk-Data-Str. 1 :: 61352 Bad Homburg http://www.otrs.de/ :: Tel. +49 (0)6172 4832388 -- Schalke 05 Carmen Thomas
participants (2)
-
Nora Bernhard -
Robert Kehl