Интеграция с AD (удивительное рядом)

[Zorn]

Доброго времени суток!
Подскажите пожалуйста, механизм, описанный viewtopic.php?f=6&t=31 (ВКЛЮЧЕНИЕ АУТЕНФИКАЦИИ LDAP ДЛЯ АГЕНТОВ OTRS) подразумевает первоначальный ввод агента в OTRS руками, до того, как он сможет войти?
(несколько часов гуглил No UserID found for, пока не наткнулся во вложении письма в каком-то архиве писем на Agents need to be added manually before they can be authenticated )

[integral]

В этом методе агенты автоматом заводятся при первом входе в систему.

[Zorn]

хм... сделал один в один, почему-то не заводятся, можно войти только после того, как руками их заведешь.. на 3х сервах и разных доменах пробовал (MS Server 2003 - 2008) - В логах No UserID found for 'usename', пробовал конфиги и с этого форума, и с рубоарда, и с оф. документации - одно и то же.

[integral]

Вот кусок моего конфига связанный с агентами. Оно у меня работает. В AD обязателно должно быть заполнено поле e-mail.

Код: Выделить всё

# Enable LDAP Authentication Sync for Agent #
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'delta.1c.local';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'cn=Users,dc=1c,dc=local';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=otrs,CN=Users,DC=1c,DC=local';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'pass';
    $Self->{'AuthSyncModule::LDAP::Charset'} = 'utf-8';

    # Enable Agent Mapping from LDAP to DB #
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
    UserFirstname => 'givenName',
    UserLastname => 'sn',
    UserEmail => 'mail',
    };
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'delta.1c.local';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=1c, dc=local';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS.Agents,CN=Users,DC=1c,DC=local';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=otrs,CN=Users,DC=1c,DC=local';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'pass';

[Zorn]

integral, спасибо за конфиг. Сделал один в один, свойства заполнены (givenName, sn, mail)

Код: Выделить всё

$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = 'demodc1.demo.local';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=demo,dc=local';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=OTRS System User,OU=Testing OTRS,OU=Directum Users,DC=demo,DC=local';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'pw';
$Self->{'AuthSyncModule::LDAP::Charset'} = 'utf-8';
    
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
];
    
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'demodc1.demo.local';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=demo,dc=local';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS Agents,OU=Testing OTRS,OU=Directum Users,DC=demo,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=OTRS System User,OU=Testing OTRS,OU=Directum Users,DC=demo,DC=local';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'pw';

та же хрееень
В логах 6 12:16:23 2012][Error][Kernel::System::User::UserLookup][746] No UserID found for 'username'!

[integral]

А покажите кусок лога.

[Zorn]

А покажите кусок лога.

Код: Выделить всё

[Thu Feb 16 12:16:23 2012][Notice][Kernel::System::Auth::LDAP::Auth] User: Student1 (CN=Student1,OU=ForStuding,OU=Directum Users,DC=demo,DC=local) authentication ok (REMOTE_ADDR: 192.168.27.43).
[Thu Feb 16 12:16:23 2012][Error][Kernel::System::User::UserLookup][746] No UserID found for 'Student1'!
[Thu Feb 16 12:16:23 2012][Error][Kernel::System::User::UserLookup][746] No UserID found for 'Student1'!
[Thu Feb 16 12:16:23 2012][Notice][Kernel::System::User::GetUserData] Panic! No UserData for user: 'Student1'!!!

[integral]

Всё же смею предположить, что в AD не заполнено какое-то из полей.

[integral]

Провел небольшой эксперимент. Если сервер не находит MX запись для mail то пользователь не создается и в логах "Panic! No UserData for user:"
Нужен правильный e-mail.

[Zorn]

Всё же смею предположить, что в AD не заполнено какое-то из полей.

во вложении скрин свойств в AD

[integral]

А если агент ручками создан уведомления приходят ему ?

[Zorn]

А если агент ручками создан уведомления приходят ему ?

уведомления по почте? Если да, то я еще их не проверял, в ряде случаев они мне вообще не нужны.

По поводу MX записи - в Framework -> Core CheckMXRecord = Нет...
Я пробовал и с учетками с реальными почтовыми адресами... а как он проверяет?
nslookup
set type=MX и правда ничего не резолвит

[mms]

nslookup
set type=MX и правда ничего не резолвит

Я столкнулся с похожей проблемой. Попробуйте закомментировать в Defaults.pm строчку

#$Self->{'AuthModule::UseSyncBackend'} = '';

[Yamaneko]

Уважаемое сообщество. При интергации с LDAP в лог вываливается ошибка авторизации
[Fri May 4 15:02:58 2012][Error][Kernel::System::Auth::LDAP::Auth][187] First bind failed! 00002028: LdapErr: DSID-0C0901FC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1
Куда копать подскажите. LDAP сервер Win 2008 R2

[Yamaneko]

Собственно решение данной проблемы таково:
На контроллере домена ищем вот эту ветку и меняем на значение по умолчанию
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity = 1
После этого авторизация проходит успешно.

[harison]

Ребята, прошу помощи.

Пытаюсь настроить авторизацию по АД. Вроде все делаю как написано. Изучал родной (правда на англ) мануал, но все четно. При сохранении конфига Config.pm и перезапуске Apach наблюдаю ошибку:

Код: Выделить всё

500 Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webmaster@somenet.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Что делать? Подскажите пожалуйста. Выкладываю конфиг файл

Код: Выделить всё

       # Enable LDAP Authentication Sync for Agent #
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'dc02.****.com.ua';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'ou=otrs, cn=users,dc=****,dc=com,dc=ua';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'test1';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Qq123456';
    $Self->{'AuthSyncModule::LDAP::Charset'} = 'utf-8';

    # Enable Agent Mapping from LDAP to DB #
    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
    UserFirstname => 'givenName',
    UserLastname => 'sn',
    UserEmail => 'mail',
    };
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'dc02.****.com.ua';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'ou=otrs, cn=users,dc=****,dc=com,dc=ua';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthModule::LDAP::GroupDN'} = 'ou=OTRS,CN=Users,dc=****,DC=com,DC=ua';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'test1';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'Qq123456';
        $Self->{CustomerUser} = {
         Module => 'Kernel::System::CustomerUser::LDAP',
         Params => {
          Host => 'dc02.****.com.ua',
          BaseDN => 'dc=****,dc=com,dc=ua',
          SSCOPE => 'sub',
          UserDN => 'test1',
          UserPw => 'Qq123456',

И кстати не могу понять. Я должен прописывать 1 пользователя? Это служебная должна быть учетка в будущем? С помощью нее подключение к АД происходит? Какие группы безопастности должны быть у учетной записи?
Установлено на Windows XP Sp3 corp. + last update\Nod32 antivirus\Брандмауэр выключен\компьютер в домене

Строка закомментирована по умолчанию.

#$Self->{'AuthModule::UseSyncBackend'} = '';

Параметр установлен.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity = 1

[harison]

В логах апатча значится следующее:

Код: Выделить всё

ERROR: Can't read /opt/otrs/RELEASE: No such file or directory This file is needed by central system parts of OTRS, the system will not work without this file.
[Mon Oct 08 16:52:42 2012] [error] [Mon Oct  8 16:52:42 2012] -e: Died at C:/PROGRA~1/OTRS/OTRS//Kernel/Config/Defaults.pm line 1914.\n
ERROR: Can't read /opt/otrs/RELEASE: No such file or directory This file is needed by central system parts of OTRS, the system will not work without this file.
[Mon Oct 08 16:52:46 2012] [error] [Mon Oct  8 16:52:46 2012] -e: Died at C:/PROGRA~1/OTRS/OTRS//Kernel/Config/Defaults.pm line 1914.\n 

Возникли вопросы...
Где должен быть расположен каталог opt?
Создав структуру каталогов можно будет избежать ошибки или в каталоге что-то должно быть?

[Romano]

Возникли вопросы...
Где должен быть расположен каталог opt?
Создав структуру каталогов можно будет избежать ошибки или в каталоге что-то должно быть?

Пакет OTRS, который под винду, лучше ставить в папку без пробелов. Я с самого начала так ошибся, поставил в с\програм файлс\отрс...
Лучше ставить сверху на диск С\отрс... Тогда и не будет проблем с установкой LDAP модуля и т.д.

p.s. дай свои альтернативные контакты в ПМ, ибо у меня тоже никак не получается настроить привязку к АД. Может вместе размебемся