Re: [otrs-de] ActiveDirectory/LDAP - Untergruppen
Hallo Herr Trommer, vielen Dank für die Antwort. Wenn ich das richtig verstanden habe, muss ich also eine OU als "Top-Group" einrichten (OtrsAgenten), damit Mitglieder einer "Sub-Group" (z.B. OtrsTest) dort auch Mitglied sind... Leider steht dieses Vorhaben der bisherigen Struktur etwas im Weg, sodass die Agenten nun einfach beiden AD-Gruppen zugeteilt sind. Trotzdem vielen Dank für die Mühe! Gruß Jan Becker On Wed, 25 Feb 2009 13:59:16 +0100, Ronny Trommer wrote: > Hallo, > > da ich vor kurzer Zeit auch ähnliche Aufgabenstellungen zu bewältigen > hatte, kann ich > mal meinen Senf dazugeben. Bei der Beschreibung hatte ich ein wenig > Verständnisprobleme. So > wie ich es aus deinem Beispiel verstanden habe hast du es mit zwei > Dingen zu tun. > > - Organisationseinheiten (ou) --> OtrsAgenten > - Gruppen (Sicherheitsgruppe) (cn) --> OtrsTest > - Container (cn)--> bsp. > Computers (aber irrelevant) > > Ich habe dir unten eine Struktur mal angegeben und die entsprechenden > DNs dazu hingeschrieben. > > Domain (dc=example, dc=local) > | > --> Computers (cn=Computers, dc=example, dc=local) > | > --> Domain Controllers (ou=Domain Controllers, dc=example, dc=local) > | > --> OtrsAgenten (ou=OtrsAgenten, dc=example, dc=local) > | > --> OtrsTest (cn=OtrsTest, ou=OtrsAgenten, dc=example, dc=local) > | > --> Benutzer1 (cn=Benutzer1, ou=OtrsAgenten, dc=example, > dc=local) > > Ich hoffe es hilft die korrekten DNs in deiner Konfiguration anzupassen. > > > On Feb 25, 2009, at 11:46 AM, > wrote: > >> $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OtrsAgenten,...'; >> >> Das geht aber nicht. >> Soweit ich nun recherchiert habe, liegt es am ActiveDirectory. >> Anscheinend >> kann nicht ermittelt werden, dass ein User der Gruppe "OtrsTest" auch >> Mitglied von "OtrsAgenten ist", obwohl "OtrsTest" ja eine >> Untergruppe von >> "OtrsAgenten" ist. > > Eine Sicherheitsgruppe liegen wie im Beispiel oben in der gleichen OU, > das heisst der Benutzer > wird genau so in der DN beschrieben wie eine Gruppe. > >> Als Mitglied einer Untergruppe sollte ich doch eigentlich automatisch >> Mitglied der übergeordneten Gruppe sein, oder sehe ich da was falsch? > > Die BaseDN gibt an ab welchem Bereich im AD überhaupt angefangen wird. > Wird die BaseDN > im oben gezeigten Beispiel auf "OtrsAgenten" gesetzt kann man auf > keine übergordenten Objekte > mehr zugreifen. > > -- > Ronny Trommer (Germany) > IRC: irc.freenode.org - #opennms > > PGP key: 7ED9 1A00 0BD9 EB84 9F63 5808 B1BC E829 E383 98A0 > Keyserver: keyserver.pgp.com > - OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de NEU! ENTERPRISE SUBSCRIPTION - JETZT informieren und buchen! http://www.otrs.com/de/support/enterprise-subscription/
Re: [otrs-de] ActiveDirectory/LDAP - Untergruppen
Hallo, da ich vor kurzer Zeit auch ähnliche Aufgabenstellungen zu bewältigen hatte, kann ich mal meinen Senf dazugeben. Bei der Beschreibung hatte ich ein wenig Verständnisprobleme. So wie ich es aus deinem Beispiel verstanden habe hast du es mit zwei Dingen zu tun. - Organisationseinheiten (ou) --> OtrsAgenten - Gruppen (Sicherheitsgruppe) (cn) --> OtrsTest - Container (cn) --> bsp. Computers (aber irrelevant) Ich habe dir unten eine Struktur mal angegeben und die entsprechenden DNs dazu hingeschrieben. Domain (dc=example, dc=local) | --> Computers (cn=Computers, dc=example, dc=local) | --> Domain Controllers (ou=Domain Controllers, dc=example, dc=local) | --> OtrsAgenten (ou=OtrsAgenten, dc=example, dc=local) | --> OtrsTest (cn=OtrsTest, ou=OtrsAgenten, dc=example, dc=local) | --> Benutzer1 (cn=Benutzer1, ou=OtrsAgenten, dc=example, dc=local) Ich hoffe es hilft die korrekten DNs in deiner Konfiguration anzupassen. On Feb 25, 2009, at 11:46 AM, wrote: $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OtrsAgenten,...'; Das geht aber nicht. Soweit ich nun recherchiert habe, liegt es am ActiveDirectory. Anscheinend kann nicht ermittelt werden, dass ein User der Gruppe "OtrsTest" auch Mitglied von "OtrsAgenten ist", obwohl "OtrsTest" ja eine Untergruppe von "OtrsAgenten" ist. Eine Sicherheitsgruppe liegen wie im Beispiel oben in der gleichen OU, das heisst der Benutzer wird genau so in der DN beschrieben wie eine Gruppe. Als Mitglied einer Untergruppe sollte ich doch eigentlich automatisch Mitglied der übergeordneten Gruppe sein, oder sehe ich da was falsch? Die BaseDN gibt an ab welchem Bereich im AD überhaupt angefangen wird. Wird die BaseDN im oben gezeigten Beispiel auf "OtrsAgenten" gesetzt kann man auf keine übergordenten Objekte mehr zugreifen. -- Ronny Trommer (Germany) IRC: irc.freenode.org - #opennms PGP key: 7ED9 1A00 0BD9 EB84 9F63 5808 B1BC E829 E383 98A0 Keyserver: keyserver.pgp.com PGP.sig Description: This is a digitally signed message part - OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de NEU! ENTERPRISE SUBSCRIPTION - JETZT informieren und buchen! http://www.otrs.com/de/support/enterprise-subscription/
[otrs-de] ActiveDirectory/LDAP - Untergruppen
Hallo, Um nur Agenten ins Backend zu lassen, die im ActiveDirectory die entsprechende Gruppenzugehörigkeit haben, mache ich folgende Abfrage: $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OtrsTest,...'; $Self->{'AuthModule::LDAP::AccessAttr'} = 'member'; $Self->{'AuthModule::LDAP::UserAttr'} = 'DN'; Nun kommen nur Agenten rein, die in der AD-Gruppe "OtrsTest" sind. Funktioniert wunderbar soweit. Allerdings möchte ich gerne die AD-Gruppe "OtrsTest" (und weitere) als Untergruppe in "OtrsAgenten" schieben. Deshalb dachte ich, dass ich einbfach die erste Zeile ändern muss: $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OtrsAgenten,...'; Das geht aber nicht. Soweit ich nun recherchiert habe, liegt es am ActiveDirectory. Anscheinend kann nicht ermittelt werden, dass ein User der Gruppe "OtrsTest" auch Mitglied von "OtrsAgenten ist", obwohl "OtrsTest" ja eine Untergruppe von "OtrsAgenten" ist. Kann mir irgend jemand dazu einen Hinweis geben? Ist das ein AD-Problem? Kann man das irgendwie umgehen? Als Mitglied einer Untergruppe sollte ich doch eigentlich automatisch Mitglied der übergeordneten Gruppe sein, oder sehe ich da was falsch? Gruß Jan - OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de NEU! ENTERPRISE SUBSCRIPTION - JETZT informieren und buchen! http://www.otrs.com/de/support/enterprise-subscription/