LDAP - Active Directory anbindung

Question

Hallo,

nachdem ich Kivitendo nun erfolgreich installiert habe, möchte ich die Passwortprüfung an ein Active Directory weiterleite. Dazu habe ich die lx_office.conf angepasst

# Which module to use for authentication. Valid values are 'DB' and
# 'LDAP'.  If 'LDAP' is used then users cannot change their password
# via Lx-Office.
module = LDAP

und die weiteren Konfigdaten in der Datei ebenfalls angepasst.

Nun habe ich ein User in AD und haben diesen ein Passwort1 vergeben. In Kivitendo lege ein Nutzer mit dem selben Namen und einem Passwort2 an.

Wenn ich mich nun mit diesem Benutzer anmelden möchte, geht dies aber weiterhin nur mit dem in Kivitendo hinterlegten Passwort.

Muss ich noch weite Konfigurationsdateien anpassen? Oder etwas anderes beachten?
Danke für eure Hilfe.

Mit freundlichen Grüßen
Benjamin

Answer 1

Nun habe ich ein User in AD und haben diesen ein Passwort1 vergeben. In Kivitendo lege ein Nutzer mit dem selben Namen und einem Passwort2 an.

die Authentifizierung ist doch genau das was Du an den Directory Dienst auslagerst. Du brauchst einen match beim User zwischen Kivitendo und AD, aber kein PW in Kivitendo, das PW-Feld wird auch eigentlich nicht angezeigt. Apache restart vergessen bei fcgi?

Schau Dir doch noch mal diesen Thread an:
https://forum.kivitendo.de/188/ldap-anbindung

Comments

Sehr gut.
Ich hatte das fehlende Paket noch nicht installiert.
Jetzt bekomme ich allerdings immer die Meldung, dass Benutzer oder PW falsch seien.

Werden in einer Datei da noch weitere Infos geloggt?

---

Klingt als gibtst du das Falsche Passwort ein, lies doch noch mal meine Antwort, wenn Deine Konfig stimmt, musst Du Dich mit dem ad-Passwort einloggen nicht mit dem, dass Du mal bei kivitendo eingetragen hast. Falls Du das getan hast, stimmt wahrscheinlich Dein kivitendo-ldap-config nicht und es wird erst gar kein Passender User im AD gefunden.

Wenn Du das Prinzip verstanden hast, kann man Die Config einfach runterschreiben, wenn Du mehr debug Output brauchst, fallen mir 4 Alternativen ein, der erste Vorschlag ist am wenigsten aufwendig, kein wirklicher debug output, hilft aber in der Regel Fehlkonfigurationen auf die Schliche zu kommen.

1. Du kannst auf dem Kivitendo Host ldapsearch installieren. (Bei Debian: aptitude install ldap-utils) und dann damit Deine Konfig ueberpruefen, indem Du die Anfrage die Kivitendo stellt nachbaust.

2. Du das logging von AD so einstellen, das es die search-Requests ausgibt, (keine Ahnung ob und wie AD das kann, ein vernuenftiger ldap-Server kann sowas)

3. Du kannst tls/ssl ausmachen und die Search requests auf Netzerkebene anschauen.

4. kivitendo patchen: in Zeile 133 bei der Datei /SL/Auth/LDAP.pm einfuegen:

   open OUT, '>/tmp/ldap.log';
   
    print OUT "base: $cfg->{base_dn} scope: sub filter: $filter";
   
    close OUT;

Wenn das nicht hilft, brauchen wir Deine Config und ein ldif eines Users um das genauer beurteilen zu koennen.

---

Also die AD-Anbindung funktioniert. Mit einem User der im AD in der Administrator-Gruppe ist, kann ich mit einloggen.
Allerdings mit einem normalen Usern nicht (bei ldapsearch das gleiche). Aber das wird dann wohl ein Problem mit dem AD sein und nicht mit Kivitendo. Von daher hat sich das Thema hier erst mal erledigt. Ist ja kein AD-Forum hier ;)

Danke für deine Hilfe.