subject:"\[otrs\-de\] ActiveDirectory\/LDAP \- Untergruppen"

Re: [otrs-de] ActiveDirectory/LDAP - Untergruppen

2009-02-27 Diskussionsfäden mail


Hallo Herr Trommer,

vielen Dank für die Antwort.
Wenn ich das richtig verstanden habe, muss ich also eine OU als "Top-Group"
einrichten (OtrsAgenten), damit Mitglieder einer "Sub-Group" (z.B.
OtrsTest) dort auch Mitglied sind...
Leider steht dieses Vorhaben der bisherigen Struktur etwas im Weg, sodass
die Agenten nun einfach beiden AD-Gruppen zugeteilt sind.

Trotzdem vielen Dank für die Mühe!

Gruß
Jan Becker


On Wed, 25 Feb 2009 13:59:16 +0100, Ronny Trommer
 wrote:
> Hallo,
> 
> da ich vor kurzer Zeit auch ähnliche Aufgabenstellungen zu bewältigen  
> hatte, kann ich
> mal meinen Senf dazugeben. Bei der Beschreibung hatte ich ein wenig  
> Verständnisprobleme. So
> wie ich es aus deinem Beispiel verstanden habe hast du es mit zwei  
> Dingen zu tun.
> 
>   - Organisationseinheiten (ou)   --> OtrsAgenten
>   - Gruppen (Sicherheitsgruppe) (cn)  --> OtrsTest
>   - Container (cn)--> bsp. 
> Computers (aber irrelevant)
> 
> Ich habe dir unten eine Struktur mal angegeben und die entsprechenden  
> DNs dazu hingeschrieben.
> 
> Domain (dc=example, dc=local)
>   |
>   --> Computers (cn=Computers, dc=example, dc=local)
>   |
>   --> Domain Controllers (ou=Domain Controllers, dc=example, dc=local)
>   |
>   --> OtrsAgenten (ou=OtrsAgenten, dc=example, dc=local)
>   |
>   --> OtrsTest (cn=OtrsTest, ou=OtrsAgenten, dc=example, dc=local)
>   |
>   --> Benutzer1 (cn=Benutzer1, ou=OtrsAgenten, dc=example, 
> dc=local)
> 
> Ich hoffe es hilft die korrekten DNs in deiner Konfiguration anzupassen.
> 
> 
> On Feb 25, 2009, at 11:46 AM,   
>  wrote:
> 
>> $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OtrsAgenten,...';
>>
>> Das geht aber nicht.
>> Soweit ich nun recherchiert habe, liegt es am ActiveDirectory.  
>> Anscheinend
>> kann nicht ermittelt werden, dass ein User der Gruppe "OtrsTest" auch
>> Mitglied von "OtrsAgenten ist", obwohl "OtrsTest" ja eine  
>> Untergruppe von
>> "OtrsAgenten" ist.
> 
> Eine Sicherheitsgruppe liegen wie im Beispiel oben in der gleichen OU,  
> das heisst der Benutzer
> wird genau so in der DN beschrieben wie eine Gruppe.
> 
>> Als Mitglied einer Untergruppe sollte ich doch eigentlich automatisch
>> Mitglied der übergeordneten Gruppe sein, oder sehe ich da was falsch?
> 
> Die BaseDN gibt an ab welchem Bereich im AD überhaupt angefangen wird.  
> Wird die BaseDN
> im oben gezeigten Beispiel auf "OtrsAgenten" gesetzt kann man auf  
> keine übergordenten Objekte
> mehr zugreifen.
> 
> --
> Ronny Trommer (Germany)
> IRC: irc.freenode.org - #opennms
> 
> PGP key: 7ED9 1A00 0BD9 EB84 9F63  5808 B1BC E829 E383 98A0
> Keyserver: keyserver.pgp.com
> 
-
OTRS mailing list: otrs-de - Webpage: http://otrs.org/
Archive: http://lists.otrs.org/pipermail/otrs-de
To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de

NEU! ENTERPRISE SUBSCRIPTION - JETZT informieren und buchen!
http://www.otrs.com/de/support/enterprise-subscription/

Re: [otrs-de] ActiveDirectory/LDAP - Untergruppen

2009-02-25 Diskussionsfäden Ronny Trommer


Hallo,

da ich vor kurzer Zeit auch ähnliche Aufgabenstellungen zu bewältigen  
hatte, kann ich
mal meinen Senf dazugeben. Bei der Beschreibung hatte ich ein wenig  
Verständnisprobleme. So
wie ich es aus deinem Beispiel verstanden habe hast du es mit zwei  
Dingen zu tun.


 - Organisationseinheiten (ou)  --> OtrsAgenten
 - Gruppen (Sicherheitsgruppe) (cn) --> OtrsTest
 - Container (cn)   --> bsp. 
Computers (aber irrelevant)

Ich habe dir unten eine Struktur mal angegeben und die entsprechenden  
DNs dazu hingeschrieben.


Domain (dc=example, dc=local)
|
--> Computers (cn=Computers, dc=example, dc=local)
|
--> Domain Controllers (ou=Domain Controllers, dc=example, dc=local)
|
--> OtrsAgenten (ou=OtrsAgenten, dc=example, dc=local)
|
--> OtrsTest (cn=OtrsTest, ou=OtrsAgenten, dc=example, dc=local)
|
--> Benutzer1 (cn=Benutzer1, ou=OtrsAgenten, dc=example, 
dc=local)

Ich hoffe es hilft die korrekten DNs in deiner Konfiguration anzupassen.


On Feb 25, 2009, at 11:46 AM,   
 wrote:



$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OtrsAgenten,...';

Das geht aber nicht.
Soweit ich nun recherchiert habe, liegt es am ActiveDirectory.  
Anscheinend

kann nicht ermittelt werden, dass ein User der Gruppe "OtrsTest" auch
Mitglied von "OtrsAgenten ist", obwohl "OtrsTest" ja eine  
Untergruppe von

"OtrsAgenten" ist.


Eine Sicherheitsgruppe liegen wie im Beispiel oben in der gleichen OU,  
das heisst der Benutzer

wird genau so in der DN beschrieben wie eine Gruppe.


Als Mitglied einer Untergruppe sollte ich doch eigentlich automatisch
Mitglied der übergeordneten Gruppe sein, oder sehe ich da was falsch?


Die BaseDN gibt an ab welchem Bereich im AD überhaupt angefangen wird.  
Wird die BaseDN
im oben gezeigten Beispiel auf "OtrsAgenten" gesetzt kann man auf  
keine übergordenten Objekte

mehr zugreifen.

--
Ronny Trommer (Germany)
IRC: irc.freenode.org - #opennms

PGP key: 7ED9 1A00 0BD9 EB84 9F63  5808 B1BC E829 E383 98A0
Keyserver: keyserver.pgp.com

PGP.sig
Description: This is a digitally signed message part
-
OTRS mailing list: otrs-de - Webpage: http://otrs.org/
Archive: http://lists.otrs.org/pipermail/otrs-de
To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de

NEU! ENTERPRISE SUBSCRIPTION - JETZT informieren und buchen!
http://www.otrs.com/de/support/enterprise-subscription/

[otrs-de] ActiveDirectory/LDAP - Untergruppen

2009-02-25 Diskussionsfäden mail


Hallo,

Um nur Agenten ins Backend zu lassen, die im ActiveDirectory die
entsprechende Gruppenzugehörigkeit haben, mache ich folgende Abfrage:

$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OtrsTest,...';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

Nun kommen nur Agenten rein, die in der AD-Gruppe "OtrsTest" sind.
Funktioniert wunderbar soweit.

Allerdings möchte ich gerne die AD-Gruppe "OtrsTest" (und weitere) als
Untergruppe in "OtrsAgenten" schieben. Deshalb dachte ich, dass ich
einbfach die erste Zeile ändern muss:

$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OtrsAgenten,...';

Das geht aber nicht.
Soweit ich nun recherchiert habe, liegt es am ActiveDirectory. Anscheinend
kann nicht ermittelt werden, dass ein User der Gruppe "OtrsTest" auch
Mitglied von "OtrsAgenten ist", obwohl "OtrsTest" ja eine Untergruppe von
"OtrsAgenten" ist.

Kann mir irgend jemand dazu einen Hinweis geben?
Ist das ein AD-Problem? Kann man das irgendwie umgehen? 
Als Mitglied einer Untergruppe sollte ich doch eigentlich automatisch
Mitglied der übergeordneten Gruppe sein, oder sehe ich da was falsch?

Gruß Jan
-
OTRS mailing list: otrs-de - Webpage: http://otrs.org/
Archive: http://lists.otrs.org/pipermail/otrs-de
To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de

NEU! ENTERPRISE SUBSCRIPTION - JETZT informieren und buchen!
http://www.otrs.com/de/support/enterprise-subscription/

Re: [otrs-de] ActiveDirectory/LDAP - Untergruppen

Re: [otrs-de] ActiveDirectory/LDAP - Untergruppen

[otrs-de] ActiveDirectory/LDAP - Untergruppen

3 matches

Site Navigation

Mail list logo

Footer information