Hauptmenü

Ergänzung zur Anleitung im Handbuch - Anmeldung mit UPN

Begonnen von KIX-User2, 29.08.2023 11:32:32

⏪ vorheriges - nächstes ⏩
Nach unten Seiten1

KIX-User2

29.08.2023 11:32:32
Hallo,
im Handbuch ist eine kleine Ungenauigkeit bei der Anbindung von Benutzern ans AD:
https://docs.kixdesk.com/kix18Administration/kix-start/nutzerverwaltung/nutzer/authentifizierung-autorisierung-und-anbindung-active-directory
AuthAttr

mail | principalName

Wenn man Microsoft AD nimmt, muss der Eintrag lauten:

mail | userPrincipalName

In der Config sieht es dann so aus:
Code Auswählen
"SearchUserDN": "<SearchUser>",
"SearchUserPw": "<PW>",
"UID": "sAMAccountName",
"AuthAttr": "userPrincipalName",
"UserAttr": "DN",
"UserSuffix": "<leer lassen oder @<Domäne>"

KIX-User2

#1
29.08.2023 11:47:47
So wie es aussieht, funktioniert die Anmeldung anders, als in der Anleitung beschrieben.

Wenn ich die oben genannten Parameter angebe, dann kann ich mich nicht mehr mit dem sAMACcountName anmelden. Er ist im Suchstring zum AD-Server nicht enthalten. Dort wird dann nur noch nach dem userPrincipalName gesucht.
In der Anleitung steht:
AuthAttr: Alternativer, eindeutiger Kenner zur Anmeldung.
Ermöglicht die Verwendung eines anderen, eindeutigen Kontaktattributs als der im System am Nutzer hinterlegte UserLogin (gilt nur für die Authentifizierung über AD).
Wird bspw. "mail" angegeben, wird die in der Nutzerverwaltung hinterlegte E-Mail-Adresse des Nutzer zur Authentifizierung akzeptiert.
Ist dieses Attribut nicht gesetzt oder sollte diese Authentifizierung fehlschlagen, dann wird die unter UID gesetzte Einstellung verwendet (Fallback).

Code Auswählen
[Tue Aug 29 11:40:41 2023][Notice][Kernel::System::Auth::LDAP::Auth] User: <sAMACountName> authentication failed, no LDAP entry found!
BaseDN='DC=<Basetree>,DC=com', Filter='(&(userPrincipalName=<sAMACountName>)(&(mail=*)(|(!(objectclass=computer))(!(msExchResourceSearchProperties=*))(userAccountControll=0x200*))))',
(REMOTE_ADDR: ::ffff:<IP>, Backend: "1nd Backend: Agent and Customer Users from Active Directory (via multiple LDAPS)").

Torsten Thau

#2
07.09.2023 08:13:12
Hallo,

(1) Danke für den Hinweis bzgl. der AD-Schreibweise. Die AD-spezifische Notation wird in den Beispielen ergänzt ("userPrincipalName"). 

(2) der autom. Fallback im Falle eines leeren/nicht vorhandenem AuthAttr greift offenbar tatsächlich nicht. Ich habe das mal als Fehlerreport aufgenommen. 

WORKAROUND: die gesamte Auth-Konfiguration kopieren und mit leerem/nicht gesetzten AuthAttr in SysConfig "Authentication###000-Default" ergänzen.
 

CU, Torsten
Nach oben Seiten1