Autor Thema: KIX 18 Start - Probleme bei der LDAP Anmeldung  (Gelesen 1245 mal)

DJ_Rakete

  • Newbie
  • Beiträge: 6
KIX 18 Start - Probleme bei der LDAP Anmeldung
« am: 10.08.2021 12:00:41 »
Hallo Community,
wir haben Probleme mit der LDAP Anmeldung in KIX. Vieleicht kann ja jemand einen hilfreichen Tipp geben. Hier die SysConfig und die Fehlermeldung dazu:
Sysconfig
 
 [
   {
     "Config": {
       "AccessAttr": "memberUid",
       "AlwaysFilter": "(!objectclass=computer)",
       "BaseDN": "dc=orga,dc=hb",
       "Charset": "utf-8",
       "Die": 0,
       "GroupDN": "CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb",
       "Host": "172.16.0.10",
       "Params": {
         "async": 0,
         "port": 389,
         "timeout": 120,
         "version": 3
       },
       "SearchUserDN": "CN=TomcatLdap,OU=No GPO,OU=Spz,OU=Usr,OU=Auth,DC=orga,DC=hb",
       "SearchUserPw": "password",
       "UID": "uid",
       "UserAttr": "UID",
       "UserSuffix": ""
     },
     "Enabled": 1,
     "Module": "Kernel::System::Auth::LDAP",
     "Name": "orga.hb",
     "Sync": [
       {
         "Config": {
           "ContactUserSync": {
             "DynamicField_Source": "SET:Backend001-LDAP",
             "Email": "mail",
             "Firstname": "givenname",
             "IsAgent": "SET:0",
             "IsCustomer": "SET:1",
             "Lastname": "sn",
             "PrimaryOrganisationID": "SET:1",
             "UserLogin": "uid"
           },
           "GroupDNBasedRoleSync": {
             "CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb": {
               "Role1": 1,
               "Role2": 0,
               "Role3": 1
 
 
 Fehlermeldung in den Logs.
 Egal was ich einstelle oben an den Werten ☹
 [Tue Aug 10 09:23:51 2021][Error][Kernel::System::Auth::LDAP::Auth][147] First bind
 failed! 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data
 52e, v2580
 

Torsten Thau

  • Global Moderator
  • Beiträge: 265
Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
« Antwort #1 am: 10.08.2021 17:01:16 »
Hallo,

die Meldung "First bind failed! 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data 52e, v2580" deutet auf einen Authentifizierungsfehler beim LDAP-/AD-Zugriff hin. Bitte stelle sicher, dass SearchUserDN + SearchUserPw stimmen und der Zugriff auf Port 389 zulässig ist.

CU, T.


PS: zum Test des bloßen Zugangs, kann vom Docker-Host aus z.B. mit "ldapsearch" geprüft werden ob die Zugangsdaten so stimmen - https://linux.die.net/man/1/ldapsearch


DJ_Rakete

  • Newbie
  • Beiträge: 6
Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
« Antwort #2 am: 11.08.2021 08:35:00 »
nach vielem Test, haben wir den einen Fehler behoben.
 Um den nächsten zu bekommen:
 
 System::Auth::LDAP::Auth][170] Search failed! Bad filter
 
 Das hat dann wahrscheinlich mit dem  Eintrag hier zutun ?
 
 ,"UID":"sAMAccountName","UserAttr":"CN","UserSuffix":
 

Torsten Thau

  • Global Moderator
  • Beiträge: 265
Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
« Antwort #3 am: 11.08.2021 08:47:38 »
Falsch:
(!objectclass=computer)


Richtig:
!(objectclass=computer)
Siehe auch (ein Treffer in der Suchmaschine des Vertrauens):
https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx

CU, T.

DJ_Rakete

  • Newbie
  • Beiträge: 6
Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
« Antwort #4 am: 11.08.2021 09:50:18 »
Wir kommen der Sachen langsam näher, aber so richtig schlau werde ich hier nicht raus:
 
 [Wed Aug 11 09:30:11 2021][Notice][Kernel::System::Auth::LDAP::Auth] User: ulver
 authentication failed, no LDAP group entry
 foundGroupDN='CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb',
 Filter='(member=ulver)'! (REMOTE_ADDR: ::ffff:172.18.0.5).

Torsten Thau

  • Global Moderator
  • Beiträge: 265
Re: KIX 18 Start - Probleme bei der LDAP Anmeldung
« Antwort #5 am: 13.08.2021 08:44:40 »
Entweder ist der Nutzer der LDAP-/AD-Gruppe nicht zugeteilt oder das AccessAttr ist falsch gesetzt (evtl. memberUid oder . Zum Test kann die Zeile "GroupDN" auch entfernt werden. Die aktuelle und vollständige Konfiguration würde bei der Analyse helfen. Der Fehler zeigt, dass es mehrere Änderungen im Vergleich zum ersten Post gab.


Es gibt übrigens ein schönes Beispiel für eine AD-Anbindung im Handbuch:


https://docs.kixdesk.com/kix18Administration/kix-start/nutzerverwaltung/nutzer/authentifizierung-autorisierung-und-anbindung-active-directory


Das passende auswählen, anpassen und die anderen nicht passenden Backends einfach entfernen (DB möglichst drin lassen während der Testphase).


CU, T.

Tags: