Ошибки авторизации в AD

[justbox]

Всем привет.

Настройки:

Код: Выделить всё

#	Модуль авторизации клиентов через Ldap	#
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
#	Имя контроллера домена
$Self->{'Customer::AuthModule::LDAP::Host'} = 'dom1.k12.local';
#	Параметры домена
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=k12,dc=local';
#	Идентификатор пользователя в виде его доменного имени
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'dc=k12,dc=local';
$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::UserSuffix'} = '@k12.local';
#	Расположение учетной записи администратора домена пользователей и пароль
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'cn=otrs,ou=otrs,ou=k12,dc=k12,dc=local';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'qwerty123';
#	Параметры подключения по LDAP
$Self->{'Customer::AuthModule::LDAP::Params'} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    };
#	Пользовательский бэкенд LDAP	#
$Self->{CustomerUser} = {
	
	#	Имя бэкенда
	Name => 'Active Directory',
	Module => 'Kernel::System::CustomerUser::LDAP',
	Params => {
	#	Имя контроллера домена
	Host => 'dom1.k12.local',
	#	Где расположены клиенты
	BaseDN => 'dc=k12,dc=local',
	SSCOPE => 'sub',
	UserDN => 'cn=otrs,ou=otrs,ou=k12,dc=k12,dc=local',
	UserPw => 'qwerty123',
	#	Фильтр
	AlwaysFilter => '(&(objectcategory=person)(objectclass=user)(mail=*)(!(description=built-In))(!(userAccountControl:1.2.840.113556.1.4.803:=2)))',
	SourceCharset => 'utf-8',
	DestCharset   => 'utf-8',
        },
	ReadOnly => 1,
	CustomerKey => 'sAMAccountName',
	CustomerID => 'mail',
	CustomerUserListFields => ['givenname', 'sn', 'mail'],
	CustomerUserSearchFields => ['displayName','sAMAccountName','givenName', 'sn', 'mail','description'],
	CustomerUserSearchPrefix => '',
	CustomerUserSearchSuffix => '*',
	CustomerUserPostMasterSearchFields => ['displayName','sAMAccountName','givenName','sn','mail','description'],
	CustomerUserNameFields => ['givenname', 'sn'],
	CustomerUserExcludePrimaryCustomerID => 0,
	CacheTTL => 120,
	Map => [
         [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
         [ 'UserFirstname', 'Firstname', 'givenName', 1, 1, 'var' ],
         [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
         [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
         [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
         [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
         [ 'UserPhone', 'Phone', 'telephoneNumber', 1, 0, 'var' ],
         [ 'UserAddress', 'Address', 'postalAddress', 1, 0, 'var' ],
         [ 'UserStreet', 'Street', 'streetAddress', 1, 0, 'var' ],
         [ 'UserCity', 'City', 'l', 1, 0, 'var' ],
         [ 'UserZip', 'ZIP', 'postalCode', 1, 0, 'var' ],
         [ 'UserCountry', 'Country', 'co', 1, 0, 'var' ],
         [ 'UserComment', 'Comment', 'wWWHomePage', 1, 0, 'var' ],
         ],
   };

[justbox]

Ошибки:

Код: Выделить всё

Wed Oct 17 00:39:37 2012 	error 	OTRS-CGI-10 	First bind failed! 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1
Wed Oct 17 00:39:37 2012 	error 	OTRS-CGI-10 	First bind failed! 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1
Wed Oct 17 00:39:20 2012 	error 	OTRS-CGI-10 	First bind failed! 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1
Wed Oct 17 00:39:20 2012 	error 	OTRS-CGI-10 	First bind failed! 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1
Wed Oct 17 00:37:14 2012 	error 	OTRS-CGI-10 	First bind failed! 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1
Wed Oct 17 00:37:14 2012 	error 	OTRS-CGI-10 	First bind failed! 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1

Мне нужна АД авторизация только для клиентов, агенты будут статичны.Где я допустил ошибки ?

Заранее благодарен за помощь.

Ubuntu Server
OTRS 3.1.3

[justbox]

Сделал как написано в мануале на оф сайте :

Код: Выделить всё

  $Self->{CustomerUser} = {
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
      Host => '10.8.254.2',
      BaseDN => 'DC=k12,DC=local',
      SSCOPE => 'sub',
      UserDN => 'CN=otrs admin,CN=Users,DC=k12,DC=local',
      UserPw => 'qwerty123',
    },
    CustomerKey => 'sAMAccountName',
    CustomerID => '[customer_id]',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
      # note: Login, Email and CustomerID needed!
      # var, frontend, storage, shown, required, storage-type
      [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
      [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
      [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
      [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
      [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
      [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
      [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
      [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
      [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
    ],
  };

Теперь не может найти пользователя :

Код: Выделить всё

Wed Oct 17 11:56:32 2012 	notice 	OTRS-CGI-10 	CustomerUser: No auth record in 'customer_user' for 'justbox' (REMOTE_ADDR: 10.8.248.1)

Что я не так делаю ?

[justbox]

Разобрался , тему можно закрыть , спасибо alexus
Если у кого возникнут вопросы просьба обращаться , чем смогу помогу.

[ykolesnikov]

Лучшим завершением темы было бы описание сделанной ошибки

[justbox]

Главная ошибка была не правильно описывал авторизацию в AD, все группы OU и пользователь авторизации должен быть на английском !
помогла утилита

Код: Выделить всё

ADSI

Конфиг часть1:

Код: Выделить всё

# Enable LDAP Authentication Sync for Agent #
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = 'dom1.dom.local';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=dom,dc=local';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';

$Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';


$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=ldaplookup,ou=Service Accounts,dc=dom,dc=local';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Qw123456';

# Enable Agent Mapping from LDAP to DB #
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
UserComment => 'wWWHomePage',
};
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];
    # Authenticate customer users against an LDAP backend  #
   $Self->{CustomerUser} = {
      Name => 'Active Directory',
      Module => 'Kernel::System::CustomerUser::LDAP',
      Params => {
         Host => 'dom1.dom.local',
         BaseDN => 'dc=dom,dc=local',
         SSCOPE => 'sub',
         UserDN => 'cn=ldaplookup,ou=Service Accounts,dc=dom,dc=local',
         UserPw => 'Qw123456',
       AlwaysFilter => '(&(objectcategory=person)(objectclass=user)(mail=*)(!(description=built-In))(!(userAccountControl:1.2.840.113556.1.4.803:=2)))',
      SourceCharset => 'utf-8',
      DestCharset   => 'utf-8',
        },

[justbox]

Конфиг часть 2:

Код: Выделить всё

ReadOnly => 1,
      CustomerKey => 'sAMAccountName',
      CustomerID => 'mail',
      CustomerUserListFields => ['givenname', 'sn', 'mail'],
      CustomerUserSearchFields => ['displayName','sAMAccountName','givenName', 'sn', 'mail','description'],
    CustomerUserSearchPrefix => '',
    CustomerUserSearchSuffix => '*',
   CustomerUserPostMasterSearchFields => ['displayName','sAMAccountName','givenName','sn','mail','description'],
      CustomerUserNameFields => ['givenname', 'sn'],
                CustomerUserExcludePrimaryCustomerID => 0,
             CacheTTL => 120,
      Map => [
         [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
         [ 'UserFirstname', 'Firstname', 'givenName', 1, 1, 'var' ],
         [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
         [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
         [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
         [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
         [ 'UserPhone', 'Phone', 'telephoneNumber', 1, 0, 'var' ],
         [ 'UserAddress', 'Address', 'postalAddress', 1, 0, 'var' ],
         [ 'UserStreet', 'Street', 'streetAddress', 1, 0, 'var' ],
         [ 'UserCity', 'City', 'l', 1, 0, 'var' ],
         [ 'UserZip', 'ZIP', 'postalCode', 1, 0, 'var' ],
         [ 'UserCountry', 'Country', 'co', 1, 0, 'var' ],
         [ 'UserComment', 'Comment', 'wWWHomePage', 1, 0, 'var' ],
         ],
   };
    $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
    $Self->{'Customer::AuthModule::LDAP::Host'} = 'dom1.dom.local';
    $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=dom,dc=local';
    $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'cn=ldaplookup,ou=Service Accounts,dc=dom,dc=local';
    $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'Qw123456';

[justbox]

$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OTRS_Agents,ou=Service Group,dc=ndm,dc=local';
$Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

Добавил строки , добавил агентов в группу безопасности OTRS_Agents , авторизация не проходит =( что я не так делаю , кустомеров через ад пускает.

[Romano]

Код: Выделить всё

$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OTRS_Agents,ou=Service Group,dc=ndm,dc=local';

В этом поле я указывал 'OU=DIT,OU=Domain Users,DC=domen,DC=local' - т.е. разрешил заходить в юзерский интерфейс всем участникам АУшки ДИТ - это коллеги моего ИТ департамента.

А вообще то, как я считаю, самым простым и правильным вариантом было бы указать 'DC=domen,DC=local' или, например 'OU=Domain Users,DC=domen,DC=local' - чтобы логинится могли все юзеры, которые заведены в домене(если такой вариант устраивает). И получается, что не надо создавать никакой доп группы в АДшке и добавлять в неё юзерей. Вообщем все зависит от ваших требований.