Authentication###000-Default - LDAP kann "Domänen-Benutzer" nicht überprüfen

Gerrit Markl · 10.02.2023 12:54:14

Hallo,

Ich habe mit KIX 18 leider das Problem das der LDAP Connector die gruppe "Domänen-Benutzer" nicht überprüfen kann.
Ich bekomme immer im Log die Fehlermeldung -> [Fri Feb 10 12:17:46 2023][Notice][Kernel::System::Auth::Sync::LDAP::Sync] User: <USER> not in GroupDN='CN=Domänen-Benutzer,OU=Microsoft,DC=<DOMÄNE>,DC=<DC>'
Wenn ich eine Gruppe erstelle, und die Gruppe "Domänen-Benutzer" als Mitglied hinzufüge, bekomme ich die gleiche Meldung. Wenn ich aber einen Nutzer in die Erstellte Gruppe direkt hinzufüge, also nicht Gruppe in Gruppe verschachtel funktioniert die Abfrage.

Code Auswählen

[
   {
      "Config": {
         "AccessAttr": "member",
         "AlwaysFilter": "(&(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(mail=*))",
         "BaseDN": "OU=<NAME>,DC=NAME,DC=LOCAL",
         "Charset": "utf-8",
         "Die": 1,
         "Host": [
            "<DOMAIN-NAME(8DC, RR)>"
         ],
         "Params": {
            "async": 0,
            "port": 389,
            "timeout": 60,
            "version": 3
         },
         "SearchUserDN": "<DN - Searchuser>",
         "SearchUserPw": "",
         "UID": "sAMAccountName",
         "UserAttr": "DN",
         "UserSuffix": ""
      },
      "Enabled": 1,
      "Module": "Kernel::System::Auth::LDAP",
      "Name": "First Agent LDAP",
      "Sync": [
         {
            "Config": {
               "ContactUserSync": {
                  "Email": "mail",
                  "Firstname": "givenName",
                  "Lastname": "sn",
                  "PrimaryOrganisationID": "xyz",
                  "Title": "title",
                  "UserLogin": "sAMAccountName"
               },
               "GroupDNBasedRoleSync": {
                  "CN=EDV-Gruppe,OU=OU-EDV,OU=Benutzer,OU=Gruppen,DC=DOMAIN-NAME,DC=LOCAL": {
                     "Agent User": 1,
                     "Asset Maintainer": 1,
                     "Customer Manager": 1,
                     "FAQ Editor": 1,
                     "News Manager": 1,
                     "Ticket Agent": 1
                  },
                  "CN=EDV-Azubi-Gruppe,OU=OU-EDV,OU=Benutzer,OU=Gruppen,DC=DOMAIN-NAME,DC=LOCAL": {
                     "Agent User": 1,
                     "Asset Maintainer": 1,
                     "Customer Manager": 1,
                     "FAQ Editor": 1,
                     "News Manager": 1,
                     "Ticket Agent": 1
                  }
               },
               "GroupDNBasedUsageContextSync": {
                  "CN=EDV-Gruppe,OU=OU-EDV,OU=Benutzer,OU=Gruppen,DC=DOMAIN-NAME,DC=LOCAL": {
                     "IsAgent": 1
                  },
                  "CN=EDV-Gruppe,OU=OU-EDV,OU=Benutzer,OU=Gruppen,DC=DOMAIN-NAME,DC=LOCAL": {
                     "IsAgent": 1
                  }
               }
            },
            "Enabled": 1,
            "Module": "Kernel::System::Auth::Sync::LDAP"
         }
      ],
      "UsageContext": "Agent"
   },
   {
      "Config": {
         "AccessAttr": "member",
         "AlwaysFilter": "(&(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(mail=*))",
         "BaseDN": "OU=<NAME>,DC=NAME,DC=LOCAL",
         "Charset": "utf-8",
         "Die": 1,
         "Host": [
            "DOMAIN-NAME"
         ],
         "Params": {
            "async": 0,
            "port": 389,
            "timeout": 60,
            "version": 3
         },
         "SearchUserDN": "<DN - Searchuser>",
         "SearchUserPw": "",
         "UID": "sAMAccountName",
         "UserAttr": "DN",
         "UserSuffix": ""
      },
      "Enabled": 1,
      "Module": "Kernel::System::Auth::LDAP",
      "Name": "Second Customer LDAP",
      "Sync": [
         {
            "Config": {
               "ContactUserSync": {
                  "Email": "mail",
                  "Firstname": "givenName",
                  "Lastname": "sn",
                  "PrimaryOrganisationID": "xyz",
                  "Title": "title",
                  "UserLogin": "sAMAccountName"
               },
               "GroupDNBasedUsageContextSync": {
                  "CN=EDV-Gruppe,OU=OU-EDV,OU=Benutzer,OU=Gruppen,DC=DOMAIN-NAME,DC=LOCAL": {
                     "IsCustomer": 1
                  },
                  "CN=EDV-Azubi-Gruppe,OU=OU-EDV,OU=Benutzer,OU=Gruppen,DC=DOMAIN-NAME,DC=LOCAL": {
                     "IsCustomer": 1
                  },
                  "CN=Domänen-Benutzer,OU=Microsoft,DC=<DOMAIN-NAME>,DC=LOCAL": {
                     "IsCustomer": 1
                  }
               }
            },
            "Enabled": 1,
            "Module": "Kernel::System::Auth::Sync::LDAP"
         }
      ],
      "UsageContext": "Customer"
   },
   {
      "Config": {
         "CryptType": "sha2"
      },
      "Enabled": 1,
      "Module": "Kernel::System::Auth::DB",
      "Name": "Local Database"
   }
]

mplan · 10.02.2023 14:07:36

Hallo Gerrit,

meines Wissens werden nested groups nicht unterstützt. Wir haben zwar kein AD als LDAP, aber vermutlich ist es dasselbe.
Wenn es mit normalen Gruppen funktioniert, zeigt das ja auch, dass die Nested Groups die Ursache sein können.

Viele Grüße
Michael

Gerrit Markl · 15.02.2023 13:17:48

Hallo Michael,

vielen Dank für die Antwort.
Das ist schade :(

Neuigkeiten:

Authentication###000-Default - LDAP kann "Domänen-Benutzer" nicht überprüfen

Gerrit Markl

mplan

Gerrit Markl