Hallo, ich versuche gerade erste Gehversuche mit der LDAP-Anbindung. Dabei ist aufgefallen, dass Passwortänderungen wohl nicht 100%ig übernommen werden. Gegeben: OTRS 2.3.4 auf Ubuntu 8.10; Windows 2003 mit AD; Ändert ein Nutzer der Domäne sein Passwort, so kann er sich auch weiterhin mit seinem alten sowie seinem neu eingerichteten Passwort einloggen. Dies ändert sich auch nicht, wird das Passwort mehrmals hintereinander geändert - immer das aktuelle, so wie dass zuvor genutzte Passwort werden zum Login zugelassen (nur an OTRS, Windows akzeptiert nur noch das Neue). Ist dieses Verhalten Absicht oder so eigentlich nicht vorgesehen? Ist die Ursache bei OTRS oder direkt bei Windows zu suchen? Lässt sich dies eventuell durch Änderungen an der Config in OTRS oder Windows korrigieren? Widerspricht ja eigentlich der Idee der Passwortänderung, oder? ;) Danke, gruß Markus
Hallo Markus! Bei uns funktioniert die LDAP Anbindung einwandfrei. 2.2.4 im Produktivbetrieb und 2.3.3 im Test. Vielleicht versuchst Du mal folgendes in der config.pm # ============================================================================================ # Wird lt. Handbuch zur Benutzerverwaltung LDAP benoetigt # ============================================================================================ $Self->{'Ticket::Frontend::CustomerInfoCompose'} = 1; $Self->{'Ticket::Frontend::CustomerInfoZoom'} = 1; $Self->{'Ticket::Frontend::CustomerQueue'} = 0; # ============================================================================================ # Hier Anfang der Bearbeiter Authentifizierung gegen LDAP / AD AGENTEN !!! index.pl # ============================================================================================ $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP'; $Self->{'AuthModule::LDAP::Host'} = 'dc.DOMAIN.int'; $Self->{'AuthModule::LDAP::BaseDN'} = 'OU=COMPANY,DC=EUROPE,DC=MYDC,DC=INT'; $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName'; # for non ldap posixGroups objectclass (with full user dn) $Self->{'AuthModule::LDAP::UserAttr'} = 'UID'; # The following is valid but would only be necessary if the # anonymous user do NOT have permission to read from the LDAP tree $Self->{'AuthModule::LDAP::SearchUserDN'} = 'ldap@DOMAIN.int'; $Self->{'AuthModule::LDAP::SearchUserPw'} = 'PASSWORD'; # in case you want to add always one filter to each ldap query, use # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)' $Self->{'AuthModule::LDAP::AlwaysFilter'} = '(&(mail=*)(objectclass=Person)(objectclass=User))'; # in case you want to add a suffix to each login name, then # you can use this option. e. g. user just want to use user but # in your ldap directory exists user@domain. $Self->{'AuthModule::LDAP::UserSuffix'} = ''; # In case you want to convert all given usernames to lower letters you # should activate this option. It might be helpfull if databases are # in use that do not distinguish selects for upper and lower case letters # (Oracle, postgresql). User might be synched twice, if this option # is not in use. #$Self->{'AuthModule::LDAP::UserLowerCase'} = 1; # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP) $Self->{'AuthModule::LDAP::Params'} = { port => 389, timeout => 120, async => 0, version => 3, }; # ============================================================================================ # Hier Ende der Bearbeiter Authentifizierung gegen LDAP / AD # ============================================================================================ # ============================================================================================ # Hier Anfang der KUNDEN (customer.pl) Authentifizierung gegen LDAP / AD # ============================================================================================ # This is an example configuration for an LDAP auth. backend. # (take care that Net::LDAP is installed!) $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP'; $Self->{'Customer::AuthModule::LDAP::Host'} = 'dc.DOMAIN.int; $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'OU=COMPANY,DC=EUROPE,DC=DOMAIN,DC=INT'; $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName'; # Check if the user is allowed to auth in a posixGroup # (e. g. user needs to be in a group xyz to use otrs) # $Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'cn=otrsallow,ou=posixGroups,dc=example,dc=com'; # $Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'memberUid'; # for ldap posixGroups objectclass (just uid) # $Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'UID'; # for non ldap posixGroups objectclass (full user dn) # $Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'DN'; # The following is valid but would only be necessary if the # anonymous user do NOT have permission to read from the LDAP tree $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'ldap@DOMAIN.int'; $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'PASSWORD'; # in case you want to add always one filter to each ldap query, use # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)' $Self->{'Customer::AuthModule::LDAP::AlwaysFilter'} = '(mail=*)'; # in case you want to add a suffix to each customer login name, then # you can use this option. e. g. user just want to use user but # in your ldap directory exists user@domain. # $Self->{'Customer::AuthModule::LDAP::UserSuffix'} = '@domain.com'; # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP) $Self->{'Customer::AuthModule::LDAP::Params'} = { port => 389, timeout => 120, async => 0, version => 3, }; # ============================================================================================ # Hier Ende der KUNDEN (customer.pl) Authentifizierung gegen LDAP / AD # ============================================================================================ Damit frage ich 5 Domänen weltweit ab. Aber zum Testen reich erst mal eine, falls Du weitere hast. Das Passwort des Users wird zwar in der DB gespeichert, jedoch bei jeder Anmeldung gegen die LDAP überprüft und aktaulisiert. Dein Problem kann ich nicht nachvollziehen. Hoffe das hielft Dir weiter! Mit freundlichen Grüßen Gerald Böhle
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo, ich konnte übrigens bei mir das gleiche Verhalten beobachten. Mein setup war identisch mit dem von Herrn Hummel. Die Konfiguration werde ich noch mal abgleichen. Danke für den Hinweis - -- Ronny Trommer (Germany) IRC: irc.freenode.org - #opennms PGP key: 7ED9 1A00 0BD9 EB84 9F63 5808 B1BC E829 E383 98A0 Keyserver: keyserver.pgp.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.8 (Darwin) iEYEARECAAYFAkmmrT8ACgkQsbzoKeODmKBNVwCfeefbdqtA4ctE1FzzA0dXJx9W y0AAn1PXOKolF0zp3Y6i/DiYeCIXGA5p =/mIq -----END PGP SIGNATURE-----
Hallo, von dieser Auffälligkeit mit dem Passwort abgesehen, gibt es ansonsten eigentlich keine Probleme mit der LDAP-Anbindung. Größtenteils scheint unsere Config überein zu stimmen. Der wichtigste Unterschied dürfte sein, dass bei mir noch zusätzlich steht: # UserSyncLDAPMap # (map if agent should create/synced from LDAP to DB after login) $Self->{UserSyncLDAPMap} = { # DB -> LDAP UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', UserSalutation => 'telephonNumber', }; # UserTable $Self->{DatabaseUserTable} = 'users'; $Self->{DatabaseUserTableUserID} = 'id'; $Self->{DatabaseUserTableUserPW} = 'pw'; $Self->{DatabaseUserTableUser} = 'login'; Könnte dies der entscheidende Unterschied sein? Ich verwende LDAP nur für die Agenten, nicht wie du auch für Customer. Gruß Markus -----Ursprüngliche Nachricht----- Von: otrs-de-bounces@otrs.org [mailto:otrs-de-bounces@otrs.org] Im Auftrag von Boehle, Gerald Gesendet: Donnerstag, 26. Februar 2009 15:26 An: User questions and discussions about OTRS.org in German Betreff: Re: [otrs-de] LDAP Kennwortänderungen Hallo Markus! Bei uns funktioniert die LDAP Anbindung einwandfrei. 2.2.4 im Produktivbetrieb und 2.3.3 im Test. Vielleicht versuchst Du mal folgendes in der config.pm # ============================================================================================ # Wird lt. Handbuch zur Benutzerverwaltung LDAP benoetigt # ============================================================================================ $Self->{'Ticket::Frontend::CustomerInfoCompose'} = 1; $Self->{'Ticket::Frontend::CustomerInfoZoom'} = 1; $Self->{'Ticket::Frontend::CustomerQueue'} = 0; # ============================================================================================ # Hier Anfang der Bearbeiter Authentifizierung gegen LDAP / AD AGENTEN !!! index.pl # ============================================================================================ $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP'; $Self->{'AuthModule::LDAP::Host'} = 'dc.DOMAIN.int'; $Self->{'AuthModule::LDAP::BaseDN'} = 'OU=COMPANY,DC=EUROPE,DC=MYDC,DC=INT'; $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName'; # for non ldap posixGroups objectclass (with full user dn) $Self->{'AuthModule::LDAP::UserAttr'} = 'UID'; # The following is valid but would only be necessary if the # anonymous user do NOT have permission to read from the LDAP tree $Self->{'AuthModule::LDAP::SearchUserDN'} = 'ldap@DOMAIN.int'; $Self->{'AuthModule::LDAP::SearchUserPw'} = 'PASSWORD'; # in case you want to add always one filter to each ldap query, use # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)' $Self->{'AuthModule::LDAP::AlwaysFilter'} = '(&(mail=*)(objectclass=Person)(objectclass=User))'; # in case you want to add a suffix to each login name, then # you can use this option. e. g. user just want to use user but # in your ldap directory exists user@domain. $Self->{'AuthModule::LDAP::UserSuffix'} = ''; # In case you want to convert all given usernames to lower letters you # should activate this option. It might be helpfull if databases are # in use that do not distinguish selects for upper and lower case letters # (Oracle, postgresql). User might be synched twice, if this option # is not in use. #$Self->{'AuthModule::LDAP::UserLowerCase'} = 1; # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP) $Self->{'AuthModule::LDAP::Params'} = { port => 389, timeout => 120, async => 0, version => 3, }; # ============================================================================================ # Hier Ende der Bearbeiter Authentifizierung gegen LDAP / AD # ============================================================================================ # ============================================================================================ # Hier Anfang der KUNDEN (customer.pl) Authentifizierung gegen LDAP / AD # ============================================================================================ # This is an example configuration for an LDAP auth. backend. # (take care that Net::LDAP is installed!) $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP'; $Self->{'Customer::AuthModule::LDAP::Host'} = 'dc.DOMAIN.int; $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'OU=COMPANY,DC=EUROPE,DC=DOMAIN,DC=INT'; $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName'; # Check if the user is allowed to auth in a posixGroup # (e. g. user needs to be in a group xyz to use otrs) # $Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'cn=otrsallow,ou=posixGroups,dc=example,dc=com'; # $Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'memberUid'; # for ldap posixGroups objectclass (just uid) # $Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'UID'; # for non ldap posixGroups objectclass (full user dn) # $Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'DN'; # The following is valid but would only be necessary if the # anonymous user do NOT have permission to read from the LDAP tree $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'ldap@DOMAIN.int'; $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'PASSWORD'; # in case you want to add always one filter to each ldap query, use # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)' $Self->{'Customer::AuthModule::LDAP::AlwaysFilter'} = '(mail=*)'; # in case you want to add a suffix to each customer login name, then # you can use this option. e. g. user just want to use user but # in your ldap directory exists user@domain. # $Self->{'Customer::AuthModule::LDAP::UserSuffix'} = '@domain.com'; # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP) $Self->{'Customer::AuthModule::LDAP::Params'} = { port => 389, timeout => 120, async => 0, version => 3, }; # ============================================================================================ # Hier Ende der KUNDEN (customer.pl) Authentifizierung gegen LDAP / AD # ============================================================================================ Damit frage ich 5 Domänen weltweit ab. Aber zum Testen reich erst mal eine, falls Du weitere hast. Das Passwort des Users wird zwar in der DB gespeichert, jedoch bei jeder Anmeldung gegen die LDAP überprüft und aktaulisiert. Dein Problem kann ich nicht nachvollziehen. Hoffe das hielft Dir weiter! Mit freundlichen Grüßen Gerald Böhle --------------------------------------------------------------------- OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de NEU! ENTERPRISE SUBSCRIPTION - JETZT informieren und buchen! http://www.otrs.com/de/support/enterprise-subscription/
Hallo! Markus! Bei mir ist folgendes eingetragen: # UserSyncLDAPMap # (map if agent should create/synced from LDAP to DB after login) $Self->{UserSyncLDAPMap} = { # DB -> LDAP UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', }; # UserTable $Self->{DatabaseUserTable} = 'users'; $Self->{DatabaseUserTableUserID} = 'id'; $Self->{DatabaseUserTableUserPW} = 'pw'; $Self->{DatabaseUserTableUser} = 'login'; Ich verzichte auf die Telefonnummer im Abschnitt # UserSyncLDAPMap. Die Telefonnummer trage ich bei Anlegen des Agenten manuell ein. Aber ich denke, dass das nicht die Ursache für Dein Problem ist. Gruß Gerald PS: Sorry für die Rechtschreibfehler in der ersten Mail. Musste halt schnell gehen.
-----Ursprüngliche Nachricht----- Von: otrs-de-bounces@otrs.org [mailto:otrs-de-bounces@otrs.org] Im Auftrag von Markus Hummel Gesendet: Donnerstag, 26. Februar 2009 16:19 An: User questions and discussions about OTRS.org in German Betreff: Re: [otrs-de] LDAP Kennwortänderungen
Hallo,
von dieser Auffälligkeit mit dem Passwort abgesehen, gibt es ansonsten eigentlich keine Probleme mit der LDAP-Anbindung.
Größtenteils scheint unsere Config überein zu stimmen. Der wichtigste Unterschied dürfte sein, dass bei mir noch zusätzlich steht:
# UserSyncLDAPMap # (map if agent should create/synced from LDAP to DB after login) $Self->{UserSyncLDAPMap} = { # DB -> LDAP UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', UserSalutation => 'telephonNumber', };
# UserTable $Self->{DatabaseUserTable} = 'users'; $Self->{DatabaseUserTableUserID} = 'id'; $Self->{DatabaseUserTableUserPW} = 'pw'; $Self->{DatabaseUserTableUser} = 'login';
Könnte dies der entscheidende Unterschied sein? Ich verwende LDAP nur für die Agenten, nicht wie du auch für Customer.
Gruß Markus
Hallo, der Vollständigkeit halber kurz die Lösung des Problems ;-) It's Not a Bug, It's a Feature: http://support.microsoft.com/kb/906305/en-us Schönen Feierabend, gruß Markus -----Ursprüngliche Nachricht----- Von: otrs-de-bounces@otrs.org [mailto:otrs-de-bounces@otrs.org] Im Auftrag von Boehle, Gerald Gesendet: Freitag, 27. Februar 2009 07:16 An: User questions and discussions about OTRS.org in German Betreff: Re: [otrs-de] LDAP Kennwortänderungen Hallo! Markus! Bei mir ist folgendes eingetragen: # UserSyncLDAPMap # (map if agent should create/synced from LDAP to DB after login) $Self->{UserSyncLDAPMap} = { # DB -> LDAP UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', }; # UserTable $Self->{DatabaseUserTable} = 'users'; $Self->{DatabaseUserTableUserID} = 'id'; $Self->{DatabaseUserTableUserPW} = 'pw'; $Self->{DatabaseUserTableUser} = 'login'; Ich verzichte auf die Telefonnummer im Abschnitt # UserSyncLDAPMap. Die Telefonnummer trage ich bei Anlegen des Agenten manuell ein. Aber ich denke, dass das nicht die Ursache für Dein Problem ist. Gruß Gerald PS: Sorry für die Rechtschreibfehler in der ersten Mail. Musste halt schnell gehen.
-----Ursprüngliche Nachricht----- Von: otrs-de-bounces@otrs.org [mailto:otrs-de-bounces@otrs.org] Im Auftrag von Markus Hummel Gesendet: Donnerstag, 26. Februar 2009 16:19 An: User questions and discussions about OTRS.org in German Betreff: Re: [otrs-de] LDAP Kennwortänderungen
Hallo,
von dieser Auffälligkeit mit dem Passwort abgesehen, gibt es ansonsten eigentlich keine Probleme mit der LDAP-Anbindung.
Größtenteils scheint unsere Config überein zu stimmen. Der wichtigste Unterschied dürfte sein, dass bei mir noch zusätzlich steht:
# UserSyncLDAPMap # (map if agent should create/synced from LDAP to DB after login) $Self->{UserSyncLDAPMap} = { # DB -> LDAP UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', UserSalutation => 'telephonNumber', };
# UserTable $Self->{DatabaseUserTable} = 'users'; $Self->{DatabaseUserTableUserID} = 'id'; $Self->{DatabaseUserTableUserPW} = 'pw'; $Self->{DatabaseUserTableUser} = 'login';
Könnte dies der entscheidende Unterschied sein? Ich verwende LDAP nur für die Agenten, nicht wie du auch für Customer.
Gruß Markus
--------------------------------------------------------------------- OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de NEU! ENTERPRISE SUBSCRIPTION - JETZT informieren und buchen! http://www.otrs.com/de/support/enterprise-subscription/
Vielen Dank für die Info, so eine Erklärung hab ich mir gewünscht :) -- Ronny Trommer (Germany) Web: http://www.open-factory.org IRC: irc.freenode.org - #opennms PGP key: 7ED9 1A00 0BD9 EB84 9F63 5808 B1BC E829 E383 98A0 Keyserver: keyserver.pgp.com On Mar 3, 2009, at 5:40 PM, Markus Hummel wrote:
It's Not a Bug, It's a Feature: http://support.microsoft.com/kb/906305/en-us
Hi markus, agents: ich mappe openldap-konten so mit der otrs-db: dann wird bei jedem login über openldap konto das passwort ggf. im otrs nachgesetzt. => funktioniert super. für customers hab ich MS-AD und lokale db (unterschiedlicher userstamm ohne sync) wenn das AD nicht verfügbar, gibt's kein login config: # UserSyncLDAPMap # (map if agent should create/synced from LDAP to DB after login) $Self->{'UserSyncLDAPMap1'} = { # DB -> LDAP Firstname => 'givenName', Lastname => 'sn', Email => 'mail', UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', }; such generell mal nach "UserSyncLDAPMap", da müsste was zu finden sein ... https://portal.otrs.com/otrs/public.pl?Action=PublicFAQ&ItemID=219 lg josy ------------------------------------------------------------------ BioFach 2009. Die weltweit größte Bio-Messe steht vor der Tür. Und gugler* ist mit dabei. Besuchen Sie uns in der Halle 3, Stand 1-121; Do, 19. - So, 22.2.2009, Messezentrum Nürnberg.
participants (4)
-
Boehle, Gerald -
it-news (Josef Lahmer) -
Markus Hummel -
Ronny Trommer