KIX 18 Start - Probleme bei der LDAP Anmeldung

[DJ_Rakete]

Hallo Community,
wir haben Probleme mit der LDAP Anmeldung in KIX. Vieleicht kann ja jemand einen hilfreichen Tipp geben. Hier die SysConfig und die Fehlermeldung dazu:
Sysconfig

[
   {
     "Config": {
       "AccessAttr": "memberUid",
       "AlwaysFilter": "(!objectclass=computer)",
       "BaseDN": "dc=orga,dc=hb",
       "Charset": "utf-8",
       "Die": 0,
       "GroupDN": "CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb",
       "Host": "172.16.0.10",
       "Params": {
         "async": 0,
         "port": 389,
         "timeout": 120,
         "version": 3
       },
       "SearchUserDN": "CN=TomcatLdap,OU=No GPO,OU=Spz,OU=Usr,OU=Auth,DC=orga,DC=hb",
       "SearchUserPw": "password",
       "UID": "uid",
       "UserAttr": "UID",
       "UserSuffix": ""
     },
     "Enabled": 1,
     "Module": "Kernel::System::Auth::LDAP",
     "Name": "orga.hb",
     "Sync": [
       {
         "Config": {
           "ContactUserSync": {
             "DynamicField_Source": "SET:Backend001-LDAP",
             "Email": "mail",
             "Firstname": "givenname",
             "IsAgent": "SET:0",
             "IsCustomer": "SET:1",
             "Lastname": "sn",
             "PrimaryOrganisationID": "SET:1",
             "UserLogin": "uid"
           },
           "GroupDNBasedRoleSync": {
             "CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb": {
               "Role1": 1,
               "Role2": 0,
               "Role3": 1


Fehlermeldung in den Logs.
Egal was ich einstelle oben an den Werten ☹
[Tue Aug 10 09:23:51 2021][Error][Kernel::System::Auth::LDAP::Auth][147] First bind
failed! 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data
52e, v2580

[Torsten Thau]

Hallo,

die Meldung "First bind failed! 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data 52e, v2580" deutet auf einen Authentifizierungsfehler beim LDAP-/AD-Zugriff hin. Bitte stelle sicher, dass SearchUserDN + SearchUserPw stimmen und der Zugriff auf Port 389 zulässig ist.

CU, T.


PS: zum Test des bloßen Zugangs, kann vom Docker-Host aus z.B. mit "ldapsearch" geprüft werden ob die Zugangsdaten so stimmen - https://linux.die.net/man/1/ldapsearch

[DJ_Rakete]

nach vielem Test, haben wir den einen Fehler behoben.
Um den nächsten zu bekommen:

System::Auth::LDAP::Auth][170] Search failed! Bad filter

Das hat dann wahrscheinlich mit dem  Eintrag hier zutun ?

,"UID":"sAMAccountName","UserAttr":"CN","UserSuffix":

[Torsten Thau]

Falsch:

Code Auswählen Erweitern

(!objectclass=computer)



Richtig:

Code Auswählen Erweitern

!(objectclass=computer)

Siehe auch (ein Treffer in der Suchmaschine des Vertrauens):
https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx

CU, T.

[DJ_Rakete]

Wir kommen der Sachen langsam näher, aber so richtig schlau werde ich hier nicht raus:

[Wed Aug 11 09:30:11 2021][Notice][Kernel::System::Auth::LDAP::Auth] User: ulver
authentication failed, no LDAP group entry
foundGroupDN='CN=SG_Kix_Agenten,OU=SG_,OU=Grp,OU=Auth,DC=orga,DC=hb',
Filter='(member=ulver)'! (REMOTE_ADDR: ::ffff:172.18.0.5).

[Torsten Thau]

Entweder ist der Nutzer der LDAP-/AD-Gruppe nicht zugeteilt oder das AccessAttr ist falsch gesetzt (evtl. memberUid oder . Zum Test kann die Zeile "GroupDN" auch entfernt werden. Die aktuelle und vollständige Konfiguration würde bei der Analyse helfen. Der Fehler zeigt, dass es mehrere Änderungen im Vergleich zum ersten Post gab.


Es gibt übrigens ein schönes Beispiel für eine AD-Anbindung im Handbuch:


https://docs.kixdesk.com/kix18Administration/kix-start/nutzerverwaltung/nutzer/authentifizierung-autorisierung-und-anbindung-active-directory


Das passende auswählen, anpassen und die anderen nicht passenden Backends einfach entfernen (DB möglichst drin lassen während der Testphase).


CU, T.