KIX - Forum
Community => Fragen | Konfiguration | Hilfe => Thema gestartet von: DJ_Rakete am 10.08.2021 12:00:41
Hallo Community,
wir haben Probleme mit der LDAP Anmeldung in KIX. Vieleicht kann ja jemand einen hilfreichen Tipp geben. Hier die SysConfig und die Fehlermeldung dazu:
Sysconfig
[
{
"Config": {
"AccessAttr": "memberUid",
"AlwaysFilter": "(!objectclass=computer)",
"BaseDN": "dc=orga,dc=hb",
"Charset": "utf-8",
"Die": 0,
"GroupDN": "CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb",
"Host": "172.16.0.10",
"Params": {
"async": 0,
"port": 389,
"timeout": 120,
"version": 3
},
"SearchUserDN": "CN=TomcatLdap,OU=No GPO,OU=Spz,OU=Usr,OU=Auth,DC=orga,DC=hb",
"SearchUserPw": "password",
"UID": "uid",
"UserAttr": "UID",
"UserSuffix": ""
},
"Enabled": 1,
"Module": "Kernel::System::Auth::LDAP",
"Name": "orga.hb",
"Sync": [
{
"Config": {
"ContactUserSync": {
"DynamicField_Source": "SET:Backend001-LDAP",
"Email": "mail",
"Firstname": "givenname",
"IsAgent": "SET:0",
"IsCustomer": "SET:1",
"Lastname": "sn",
"PrimaryOrganisationID": "SET:1",
"UserLogin": "uid"
},
"GroupDNBasedRoleSync": {
"CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb": {
"Role1": 1,
"Role2": 0,
"Role3": 1
Fehlermeldung in den Logs.
Egal was ich einstelle oben an den Werten ☹
[Tue Aug 10 09:23:51 2021][Error][Kernel::System::Auth::LDAP::Auth][147] First bind
failed! 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data
52e, v2580
Hallo,
die Meldung "First bind failed! 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data 52e, v2580" deutet auf einen Authentifizierungsfehler beim LDAP-/AD-Zugriff hin. Bitte stelle sicher, dass SearchUserDN + SearchUserPw stimmen und der Zugriff auf Port 389 zulässig ist.
CU, T.
PS: zum Test des bloßen Zugangs, kann vom Docker-Host aus z.B. mit "ldapsearch" geprüft werden ob die Zugangsdaten so stimmen - https://linux.die.net/man/1/ldapsearch
nach vielem Test, haben wir den einen Fehler behoben.
Um den nächsten zu bekommen:
System::Auth::LDAP::Auth][170] Search failed! Bad filter
Das hat dann wahrscheinlich mit dem Eintrag hier zutun ?
,"UID":"sAMAccountName","UserAttr":"CN","UserSuffix":
Falsch:
(!objectclass=computer)
Richtig:
!(objectclass=computer)
Siehe auch (ein Treffer in der Suchmaschine des Vertrauens):
https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx (https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx)
CU, T.
Wir kommen der Sachen langsam näher, aber so richtig schlau werde ich hier nicht raus:
[Wed Aug 11 09:30:11 2021][Notice][Kernel::System::Auth::LDAP::Auth] User: ulver
authentication failed, no LDAP group entry
foundGroupDN='CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb',
Filter='(member=ulver)'! (REMOTE_ADDR: ::ffff:172.18.0.5).
Entweder ist der Nutzer der LDAP-/AD-Gruppe nicht zugeteilt oder das AccessAttr ist falsch gesetzt (evtl. memberUid oder . Zum Test kann die Zeile "GroupDN" auch entfernt werden. Die aktuelle und vollständige Konfiguration würde bei der Analyse helfen. Der Fehler zeigt, dass es mehrere Änderungen im Vergleich zum ersten Post gab.
Es gibt übrigens ein schönes Beispiel für eine AD-Anbindung im Handbuch:
https://docs.kixdesk.com/kix18Administration/kix-start/nutzerverwaltung/nutzer/authentifizierung-autorisierung-und-anbindung-active-directory (https://docs.kixdesk.com/kix18Administration/kix-start/nutzerverwaltung/nutzer/authentifizierung-autorisierung-und-anbindung-active-directory)
Das passende auswählen, anpassen und die anderen nicht passenden Backends einfach entfernen (DB möglichst drin lassen während der Testphase).
CU, T.