Hauptmenü

Ergänzung zur Anleitung im Handbuch - Anmeldung mit UPN

Begonnen von KIX-User2, 29.08.2023 11:32:32

⏪ vorheriges - nächstes ⏩

KIX-User2

Hallo,
im Handbuch ist eine kleine Ungenauigkeit bei der Anbindung von Benutzern ans AD:
https://docs.kixdesk.com/kix18Administration/kix-start/nutzerverwaltung/nutzer/authentifizierung-autorisierung-und-anbindung-active-directory
AuthAttr

mail | principalName

Wenn man Microsoft AD nimmt, muss der Eintrag lauten:

mail | userPrincipalName

In der Config sieht es dann so aus:
"SearchUserDN": "<SearchUser>",
"SearchUserPw": "<PW>",
"UID": "sAMAccountName",
"AuthAttr": "userPrincipalName",
"UserAttr": "DN",
"UserSuffix": "<leer lassen oder @<Domäne>"

KIX-User2

So wie es aussieht, funktioniert die Anmeldung anders, als in der Anleitung beschrieben.

Wenn ich die oben genannten Parameter angebe, dann kann ich mich nicht mehr mit dem sAMACcountName anmelden. Er ist im Suchstring zum AD-Server nicht enthalten. Dort wird dann nur noch nach dem userPrincipalName gesucht.
In der Anleitung steht:
AuthAttr: Alternativer, eindeutiger Kenner zur Anmeldung.
Ermöglicht die Verwendung eines anderen, eindeutigen Kontaktattributs als der im System am Nutzer hinterlegte UserLogin (gilt nur für die Authentifizierung über AD).
Wird bspw. "mail" angegeben, wird die in der Nutzerverwaltung hinterlegte E-Mail-Adresse des Nutzer zur Authentifizierung akzeptiert.
Ist dieses Attribut nicht gesetzt oder sollte diese Authentifizierung fehlschlagen, dann wird die unter UID gesetzte Einstellung verwendet (Fallback).

[Tue Aug 29 11:40:41 2023][Notice][Kernel::System::Auth::LDAP::Auth] User: <sAMACountName> authentication failed, no LDAP entry found!
BaseDN='DC=<Basetree>,DC=com', Filter='(&(userPrincipalName=<sAMACountName>)(&(mail=*)(|(!(objectclass=computer))(!(msExchResourceSearchProperties=*))(userAccountControll=0x200*))))',
(REMOTE_ADDR: ::ffff:<IP>, Backend: "1nd Backend: Agent and Customer Users from Active Directory (via multiple LDAPS)").

Torsten Thau

Hallo,

(1) Danke für den Hinweis bzgl. der AD-Schreibweise. Die AD-spezifische Notation wird in den Beispielen ergänzt ("userPrincipalName"). 

(2) der autom. Fallback im Falle eines leeren/nicht vorhandenem AuthAttr greift offenbar tatsächlich nicht. Ich habe das mal als Fehlerreport aufgenommen. 

WORKAROUND: die gesamte Auth-Konfiguration kopieren und mit leerem/nicht gesetzten AuthAttr in SysConfig "Authentication###000-Default" ergänzen.
 

CU, Torsten