OpenProject Login funktioniert nicht

Apps & App Center
,
#1

Hallo Univention Team,
ich habe mich heute mal an OpenProject versucht.
Dafür hab ich in erster Linie den SingleSignOn mit offiziellem Zertifikat zum laufen gebracht, für die UMC funktioniert das auch wunderbar.
Danach habe ich OpenProject aus dem App Center installiert. Leider funktioniert hier der Login überhaupt nicht. Weder per “OpenProject SSO” Verknüpfung im Portal (Fehlermeldung nach Authentifizierung: )

Zugriff verboten
Sie haben nicht die erforderlichen Berechtigungen um auf diese Anwendung zuzugreifen

noch ein direkter Login über das Webinterface von OpenProject ist möglich. Ich werde auch nicht wie hier beschrieben beim klick auf “Anmelden” zu ucs-sso. weitergeleitet sondern das OpenProject Login Fenster erscheint. Eine Anmeldung dort ist auch nicht möglich (Fehlermeldung: )

Benutzer oder Kennwort ist ungültig oder der Account wurde wegen mehrfacher Falscheingabe temporär gesperrt, in diesem Fall wird er in Kürze automatisch wieder freigeschaltet.

Dort kann ich zum Beispiel auch einfach neue Benutzer registrieren. Das sollte so ja absolut nicht sein…

Die Benutzer sind in den Benutzer Einstellungen für OpenProject aktiviert und “openproject” wurde bei den SAML service providern eingetragen.

Hat jemand eine Idee warum die Integration hier nicht funktioniert?

Vielen Dank im voraus und Liebe Grüße
Felix

OpenProject Login mit AD/LDAP Benutzern funktioniert nicht
OpenProject LDAP Anbindung funktioniert nicht mehr
#2

Hallo @Emilfelix,

schön, dass du OpenProject ausprobierst. Mit dem Update auf OpenProject 6.1.5 wurde die Single Sign-On Funktionalität deaktiviert.

Um sich mit einem Nutzer aus UCS anzumelden, muss der Benutzer im Reiter “Apps” als OpenProject-Nutzer oder Admin aktiviert werden und eine primäre E-Mailadresse definiert haben. Im Hintergrund wird der Nutzer anschließend in OpenProject entsprechend hinterlegt. Zur Authentisierung wird LDAP verwendet.

Ich hoffe, das hilft dir weiter.

Gruß, Nico.

#3

Hallo @gulden,
vielen Dank für Deine Antwort!
Leider funktioniert auch diese Art der Anmeldung nicht, es erschient oben genannte Fehlermeldung (Benutzer oder Kennwort ungültig). Nutzer sind für OP aktiviert und gültige primäre Email ist ebenso hinterlegt.
Ist es außerdem normal, dass man direkt in OpenProject Webinterface sich als Nutzer in OP registrieren kann?
Und darf ich fragen warum SSO deaktiviert wurde?

Liebe Grüße,
Felix

#4

Hallo @Emilfelix,

welche UCS- und OpenProject-Version verwendest du?
Hast du SSO für OpenProject noch “irgendwie” konfiguriert?

Es wurde entschieden, SSO zeitweise zu deaktivieren. Grund war, dass es doch recht komplex ist, SSO zu konfigurieren und für einfache Tests abschreckend wirken kann. Es setzt ein funktionierendes DNS-Setup zwischen Server und Client voraus. Ich persönlich habe das meist mit Einträgen in meiner /etc/hosts Datei gelöst. Für weniger technisch versierte Tester und Nutzer halten wir das für wenig zumutbar.

Für den produktiven Betrieb von OpenProject ist SSO definitiv eine charmante Option und dein Feedback zeigt, dass es hierfür Interesse gibt.

Gruß, Nico.

#5

Hi @gulden,

Hab es geschafft. Es war nur speziell ein Benutzer in OP nicht verfügbar, meiner. Ich habe mir testweise einen test Benutzer erstellt. Bei diesem Vorgang wurde mein User anscheinend auch “freigeschaltet”.
Ich verwende OP Version 7.2.3 auf UCS 4.2-2 errata189. In OP habe ich die “On-the-fly user creation” aktiviert, ich denke dass in der LDAP Kommunikation irgendwas festgesteckt hat, was sich durch die Erstellung des Test Benutzers gelöst hat und der sync konnte wieder stattfinden.
Die Registrierung lies sich als Admin unter “Administration - System Settings - Authentication- Self-registration : disbaled” deaktivieren.

Hm okay das mit dem DNS verstehe ich, die Voraussetzungen dafür sind meist nur in produktiven Umgebungen gegeben.
In meinem Fall habe ich eine öffentliche IP Adresse und Domain für den Server, somit funktioniert SSO hier.

Vielen Dank für deine Antworten!!

Liebe Grüße,
Felix

#6

Hallo @Emilfelix,

super, dass das gelöst ist. Viel Spaß mit OpenProject auf UCS.

Gruß, Nico.

#7

UCS : 4.3-1 errata160
OP : 7.3.1

Vielen Dank für die Hinweise, die sich Thread ergeben haben. Die Benutzer aus dem UCS werden nun in OP korrekt synchronisiert. Ich hätte zwei Fragen:

  1. Umlaute der UCS Benutzer wie z.B. Müller werden in OP falsch dargestellt z.B. Müller. Gibt es dafür eine Lösung?

  2. Diese Frage gehört streng gesehen eigentlich nicht hier hin. Wenn in OP unter Administration/Systemkonfiguration/Mailbenachrichtung trotz korrekter Einstellungen für die Option “smtp” eine Test-eMail-senden aktiviert wird, dann wird die nachfolgende Fehlermeldung angezeigt:

“Beim Senden einer E-Mail ist ein Fehler aufgetreten (getaddrinfo: Name or service not known).”

Wie sich im Log des konfigurierten externen eMail-Servers zeigt, wird dieser vom UCS Server bzw. der daruf laufenden OP-Installation nie kontaktiert. Gibt es da vielleicht auch einen Hinweis, voran das liegen mag?

Vielen Dank im Voraus

#8

Hi @relume,
das Problem mit den Umlauten hatte ich früher auch, hat sich aber irgendwie von alleine gelöst.
Alle User, die ich in letzter Zeit angelegt habe werden korrekt nach OP übernommen. Die alten habe ich in OP per Hand angepasst.

Zu den Emails, bist du dir sicher, dass OP (welches ja in einem Docker Container läuft) die Adresse deines Mailservers auflösen kann?
Dies kannst du prüfen, indem du mit

univention-app shell openproject

in die Konsole des Containers wechslest und dort mit

host deinedomain.tld

prüfst, ob eine IP Adresse für diese Domain hinterlegt ist.
Danach kannst du um sicher zu gehen die IP ja noch mal anpingen (oder gleich die ganze URL)

LG. Felix

#9

Hallo Felix

Vielen Dank für Deine rasche Antwort.

  1. Das Problem mit den Umlauten lässt sich leider mit dem Überschreiben in OP nicht lösen. Das hatte ich zuvor bereits intuitiv versucht, doch werden die User-Namen immer wieder vom UCS überschrieben, was ja per se so korrekt ist. Vielleicht weiss der Support von UCS mehr darüber - sowohl UCS und OP sollten ja eigentlich UTF8 sein (ich habe es nicht überprüft).

  2. Dein Hinweis mit der fehlenden Auflösung der IP unseres eMail-Servers war korrekt. Als nameserver ist auf dem OP Container die IP der UCS angegeben. Nur der scheint nicht als DNS forwarder zu funktionieren, und so kann die IP unseres eMail-Servers und selbstredend auch für alle weiteren FQDN nicht funktionieren, ausser für den UCS selbst. Wenn ich auf dem OP Container in der Datei resolv.conf für den nameserver anstelle der IP des UCS die IP des externen DNS-Servers eingeben, die auch der UCS per DHCP erhält, dann funktioniert die DNS-Auflösung auf dem OP Container . Das ist aber wohl nur von temporärer Art, den der UCS sollte ja die korrekte Auflösung hergeben.

2.b Ich zögere etwas hier meine weitere Frage zustellen (es ist wohl eine absolute newbie-Frage). Auf dem UCS in den Netzwerkeinstellungen habe nach der Initial-Konfiguration zu erst die IP des UCS aus dem Feld “Domänen-DNS-Server” entfernt, da ich gemerkt hatte, dass er nicht die Auflösung über die per DHCP zugeteilten externen DNS-Server getätigt hatte. Das hatte aber zur Folge, dass ich z.B. Openproject nicht installieren konnte aufgrund eines nicht funktionierenden “Master Joins”. Also habe ich nun die IP des UCS wieder als “Domänen-DNS-Server” eingetragen. Als Domaine für den UCS habe ich “MeineDomaine.com” verwendet. Alles Zonen-files zu dieser “MeineDomaine.com” werden extern (bei Google) verwaltet und über die externen DNS-Server aufgelöst. Nun interferiert der UCS mit seinen eigenen DNS-Einträgen für “MeineDomaine.com”, die nur die IP des UCS enthält und folglich alle anderen FQDN, die in dieser Domaine enthalten sind und extern verwaltet werden, nicht mehr auflösen kann. Das gilt auch für die Reverse-Auflösung des Netzwerk-Bereiches. Dass der UCS für “MeineDomaine.com” diverse UCS spezifische Service/TXT-Records (wie z.B. _domaincontroller_master._tcp, _kerberos …) bereithalten muss ist zu verstehen, doch würde ich gerne alle anderen Records weiterhin extern verwalten. Wie ist das zu handhaben?

Vielen Dank im Voraus für die Bemühungen,

André

#10

Hi @relume, das ist wirklich was für einen eigenen Thread. Am besten auslagern, hier wird das keiner lesen, der dir da weiter helfen kann. Ich kanns leider nicht.

LG. Felix

#11

Hallo Felix

Vielen Dank für Deine erneute Antwort. Ich wünsche noch einen schönen Sommer.

#12

Scheint provisionierungsfehler von OP zu sein

Lösung

Passwort Hack admin

univention-app shell openproject

If the settings permit (which is the default), the easiest solution would be to go to the login page ( https://[host]/login ) of the OpenProject installation (via a browser) and use the “Forgot your password?” link to have a password reset token send to the email address configured for the admin account.

If that option does not exist, you have to connect to the docker container to get a terminal window on it, e.g. by following this how-to.

Once you have a bash open, issue:

sudo openproject run rails console

which will open a rails console for you.

Once inside, issue:

# retrieve first admin account
admin = User.where(admin: true).first
# change the password
admin.password = admin.password_confirmation = "[The password you choose]"
# Save the change disregarding any errors
admin.save(validate: false)

In case you have more than one admin account on the installation, you will have to narrow down the correct one in the first step by e.g.

# print a list of all admin accounts
pp User.where(admin: true).pluck(:id, :login, :firstname, :lastname, :mail)
# Fetch admin account by id
admin = User.where(id: "[the id]")

dann Haken setzen wenn mit Admin eingeloggt
image

Mastodon