KIX - Forum

Community => Fragen | Konfiguration | Hilfe => Thema gestartet von: DJ_Rakete am 10.08.2021 12:00:41

Titel: KIX 18 Start - Probleme bei der LDAP Anmeldung
Beitrag von: DJ_Rakete am 10.08.2021 12:00:41
Hallo Community,
wir haben Probleme mit der LDAP Anmeldung in KIX. Vieleicht kann ja jemand einen hilfreichen Tipp geben. Hier die SysConfig und die Fehlermeldung dazu:
Sysconfig

[
   {
     "Config": {
       "AccessAttr": "memberUid",
       "AlwaysFilter": "(!objectclass=computer)",
       "BaseDN": "dc=orga,dc=hb",
       "Charset": "utf-8",
       "Die": 0,
       "GroupDN": "CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb",
       "Host": "172.16.0.10",
       "Params": {
         "async": 0,
         "port": 389,
         "timeout": 120,
         "version": 3
       },
       "SearchUserDN": "CN=TomcatLdap,OU=No GPO,OU=Spz,OU=Usr,OU=Auth,DC=orga,DC=hb",
       "SearchUserPw": "password",
       "UID": "uid",
       "UserAttr": "UID",
       "UserSuffix": ""
     },
     "Enabled": 1,
     "Module": "Kernel::System::Auth::LDAP",
     "Name": "orga.hb",
     "Sync": [
       {
         "Config": {
           "ContactUserSync": {
             "DynamicField_Source": "SET:Backend001-LDAP",
             "Email": "mail",
             "Firstname": "givenname",
             "IsAgent": "SET:0",
             "IsCustomer": "SET:1",
             "Lastname": "sn",
             "PrimaryOrganisationID": "SET:1",
             "UserLogin": "uid"
           },
           "GroupDNBasedRoleSync": {
             "CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb": {
               "Role1": 1,
               "Role2": 0,
               "Role3": 1


Fehlermeldung in den Logs.
Egal was ich einstelle oben an den Werten ☹
[Tue Aug 10 09:23:51 2021][Error][Kernel::System::Auth::LDAP::Auth][147] First bind
failed! 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data
52e, v2580
Titel: Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
Beitrag von: Torsten Thau am 10.08.2021 17:01:16
Hallo,

die Meldung "First bind failed! 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data 52e, v2580" deutet auf einen Authentifizierungsfehler beim LDAP-/AD-Zugriff hin. Bitte stelle sicher, dass SearchUserDN + SearchUserPw stimmen und der Zugriff auf Port 389 zulässig ist.

CU, T.


PS: zum Test des bloßen Zugangs, kann vom Docker-Host aus z.B. mit "ldapsearch" geprüft werden ob die Zugangsdaten so stimmen - https://linux.die.net/man/1/ldapsearch

Titel: Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
Beitrag von: DJ_Rakete am 11.08.2021 08:35:00
nach vielem Test, haben wir den einen Fehler behoben.
Um den nächsten zu bekommen:

System::Auth::LDAP::Auth][170] Search failed! Bad filter

Das hat dann wahrscheinlich mit dem  Eintrag hier zutun ?

,"UID":"sAMAccountName","UserAttr":"CN","UserSuffix":
Titel: Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
Beitrag von: Torsten Thau am 11.08.2021 08:47:38
Falsch:
(!objectclass=computer)



Richtig:
!(objectclass=computer)

Siehe auch (ein Treffer in der Suchmaschine des Vertrauens):
https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx (https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx)

CU, T.
Titel: Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
Beitrag von: DJ_Rakete am 11.08.2021 09:50:18
Wir kommen der Sachen langsam näher, aber so richtig schlau werde ich hier nicht raus:

[Wed Aug 11 09:30:11 2021][Notice][Kernel::System::Auth::LDAP::Auth] User: ulver
authentication failed, no LDAP group entry
foundGroupDN='CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb',
Filter='(member=ulver)'! (REMOTE_ADDR: ::ffff:172.18.0.5).
Titel: Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
Beitrag von: Torsten Thau am 13.08.2021 08:44:40
Entweder ist der Nutzer der LDAP-/AD-Gruppe nicht zugeteilt oder das AccessAttr ist falsch gesetzt (evtl. memberUid oder . Zum Test kann die Zeile "GroupDN" auch entfernt werden. Die aktuelle und vollständige Konfiguration würde bei der Analyse helfen. Der Fehler zeigt, dass es mehrere Änderungen im Vergleich zum ersten Post gab.


Es gibt übrigens ein schönes Beispiel für eine AD-Anbindung im Handbuch:


https://docs.kixdesk.com/kix18Administration/kix-start/nutzerverwaltung/nutzer/authentifizierung-autorisierung-und-anbindung-active-directory (https://docs.kixdesk.com/kix18Administration/kix-start/nutzerverwaltung/nutzer/authentifizierung-autorisierung-und-anbindung-active-directory)


Das passende auswählen, anpassen und die anderen nicht passenden Backends einfach entfernen (DB möglichst drin lassen während der Testphase).


CU, T.