Willkommen im kivitendo Forum! Hier erweitern und teilen AnwenderInnen und EntwicklerInnen ihr Wissen.

Teste kivitendo!

kivitendo Demo

kivitendo Demo mit Schweizer Kontenplan und neuem Layout

Geld allein macht nicht glücklich - benutzt kivitendo!

0 Punkte

Hallo,

nachdem ich Kivitendo nun erfolgreich installiert habe, möchte ich die Passwortprüfung an ein Active Directory weiterleite. Dazu habe ich die lx_office.conf angepasst

# Which module to use for authentication. Valid values are 'DB' and
# 'LDAP'.  If 'LDAP' is used then users cannot change their password
# via Lx-Office.
module = LDAP

und die weiteren Konfigdaten in der Datei ebenfalls angepasst.

Nun habe ich ein User in AD und haben diesen ein Passwort1 vergeben. In Kivitendo lege ein Nutzer mit dem selben Namen und einem Passwort2 an.

Wenn ich mich nun mit diesem Benutzer anmelden möchte, geht dies aber weiterhin nur mit dem in Kivitendo hinterlegten Passwort.

Muss ich noch weite Konfigurationsdateien anpassen? Oder etwas anderes beachten?
Danke für eure Hilfe.

Mit freundlichen Grüßen
Benjamin

Gefragt von (410 Punkte)

1 Antwort

+1 Punkt
 
Beste Antwort

Nun habe ich ein User in AD und haben diesen ein Passwort1 vergeben. In Kivitendo lege ein Nutzer mit dem selben Namen und einem Passwort2 an.

die Authentifizierung ist doch genau das was Du an den Directory Dienst auslagerst. Du brauchst einen match beim User zwischen Kivitendo und AD, aber kein PW in Kivitendo, das PW-Feld wird auch eigentlich nicht angezeigt. Apache restart vergessen bei fcgi?

Schau Dir doch noch mal diesen Thread an:
https://forum.kivitendo.de/188/ldap-anbindung

Beantwortet von (17.9k Punkte)
ausgewählt von

Sehr gut.
Ich hatte das fehlende Paket noch nicht installiert.
Jetzt bekomme ich allerdings immer die Meldung, dass Benutzer oder PW falsch seien.

Werden in einer Datei da noch weitere Infos geloggt?

Klingt als gibtst du das Falsche Passwort ein, lies doch noch mal meine Antwort, wenn Deine Konfig stimmt, musst Du Dich mit dem ad-Passwort einloggen nicht mit dem, dass Du mal bei kivitendo eingetragen hast. Falls Du das getan hast, stimmt wahrscheinlich Dein kivitendo-ldap-config nicht und es wird erst gar kein Passender User im AD gefunden.

Wenn Du das Prinzip verstanden hast, kann man Die Config einfach runterschreiben, wenn Du mehr debug Output brauchst, fallen mir 4 Alternativen ein, der erste Vorschlag ist am wenigsten aufwendig, kein wirklicher debug output, hilft aber in der Regel Fehlkonfigurationen auf die Schliche zu kommen.

  1. Du kannst auf dem Kivitendo Host ldapsearch installieren. (Bei Debian: aptitude install ldap-utils) und dann damit Deine Konfig ueberpruefen, indem Du die Anfrage die Kivitendo stellt nachbaust.

  2. Du das logging von AD so einstellen, das es die search-Requests ausgibt, (keine Ahnung ob und wie AD das kann, ein vernuenftiger ldap-Server kann sowas)

  3. Du kannst tls/ssl ausmachen und die Search requests auf Netzerkebene anschauen.

  4. kivitendo patchen: in Zeile 133 bei der Datei /SL/Auth/LDAP.pm einfuegen:

    open OUT, '>/tmp/ldap.log';
    print OUT "base: $cfg->{base_dn} scope: sub filter: $filter";
    close OUT;

Wenn das nicht hilft, brauchen wir Deine Config und ein ldif eines Users um das genauer beurteilen zu koennen.

Also die AD-Anbindung funktioniert. Mit einem User der im AD in der Administrator-Gruppe ist, kann ich mit einloggen.
Allerdings mit einem normalen Usern nicht (bei ldapsearch das gleiche). Aber das wird dann wohl ein Problem mit dem AD sein und nicht mit Kivitendo. Von daher hat sich das Thema hier erst mal erledigt. Ist ja kein AD-Forum hier ;)

Danke für deine Hilfe.

Ähnliche Fragen

0 Punkte
2 Antworten
Gefragt 24, Apr 2012 von ASTA-TU-DA (90 Punkte)
0 Punkte
1 Antwort
0 Punkte
1 Antwort
Gefragt 16, Mai 2013 von sisqonrw (1.8k Punkte)
0 Punkte
0 Antworten
Gefragt 10, Sep 2013 von dsjiern (40 Punkte)
...