[gelöst]Single Sign On

[AyKay]

Hi Community,

erstmal...
sorry das ich noch einen Thread aufmache, allerdings habe ich dieses Problem in keinem Thread gefunden.
Danke! Ich habe hier sehr viel gelernt und dadurch auch einiges an unserem OTRS System umstellen können.

Ich habe zu Testzwecken im Einsatz:

- Domain: Funktionsebene 2003
- Windows Server 2008 x64
- Standard-Installation OTRS 3.2.7 (MySQL, Apache 2.2, etc.)
- Client ist Win 7 x64 mit IE 8

Ich habe es anhand mehrerer Anleitung (u.a. von boris DANKE!!) geschafft die LDAP Anbindung zu machen und bin derzeit an der SSO Config.

An sich funktioniert SSO auch. EInziger Knackpunkt ich muss auf "Login" drücken. Also ich muss nichts eingeben einfach nur den login Knopf drücken und SSO funktioniert.
Auch wenn ich direkt einen Link zum Ticket anwähle muss ich einmal per Login Knopf bestätigen. Hier mal meine config:

Code: Select all

#--------------------------------------------------------------------------------------------
#                                   Agenten Authentifizierung                               #
#--------------------------------------------------------------------------------------------
$Self->{'AuthModule1'} = 'Kernel::System::Auth::HTTPBasicAuth';
$Self->{'AuthModule::LDAP::Host1'} = $Host;
$Self->{'AuthModule::LDAP::BaseDN1'} = $BaseDN;
$Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::SearchUserDN1'} = $SearchUserDN;
$Self->{'AuthModule::LDAP::SearchUserPw1'} = $SearchUserPw;

#--------------------------------------------------------------------------------------------
#                                  Kunden Authentifizierung                                 #
#--------------------------------------------------------------------------------------------
  $Self->{'Customer::AuthModule1'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';
  $Self->{'Customer::AuthModule::LDAP::Host1'} = $Host;
  $Self->{'Customer::AuthModule::LDAP::BaseDN1'} = $BaseDN;
  $Self->{'Customer::AuthModule::LDAP::UID1'} = 'sAMAccountName';
  $Self->{'Customer::AuthModule::LDAP::SearchUserDN1'} = $SearchUserDN;
  $Self->{'Customer::AuthModule::LDAP::SearchUserPw1'} = $SearchUserPw;
#-------------------------------------------------------------------------------------------- 
#                                     Kundendaten                                           #
#--------------------------------------------------------------------------------------------
   $Self->{CustomerUser} = {
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
      Host => $Host,
      BaseDN => $BaseDN,
      SSCOPE => 'sub',
      UserDN => $SearchUserDN,
      UserPw => $SearchUserPw,
	  AlwaysFilter =>  '',
	  Params => {
                port => 389,
                timeout => 120,
                async => 0,
                version => 3,
            },
    },
    CustomerKey => 'sAMAccountName',
    CustomerID => 'mail',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
      [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
      [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
      [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
      [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
      [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
      [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
    ],
  };
$Self->{LoginURL} = 'http://www.google.de';
$Self->{LogoutURL} = 'http://www.google.com';

Das OTRS-log:

Code: Select all

[Mon Jun 24 21:55:51 2013][Error][Kernel::System::CustomerAuth::DB::Auth][91] Need User!
[Mon Jun 24 21:55:51 2013][Notice][Kernel::System::CustomerAuth::HTTPBasicAuth::Auth] User: i02401198 Authentication ok (REMOTE_ADDR: 192.168.10.11).

Die erste Zeile verwirrt mich ein wenig, denn ich habe "Kernel::System::CustomerAuth::DB::Auth" nirgens in der config.pm...

Bin für jede Hilfe dankbar.

MFG
AyKay

[AyKay]

So,

ich habs selbst gelöst.

Da ich das meiste selbst durch zusammensuchen und basteln erreicht habe würde ich gerne wissen wer an der Lösung interessiert ist? Ich wäre bereit meine config.pm und apache conf zu teilen und zu erklären. Allerdings erst nachdem ich diese anonymisiert habe. Bitte hier einfach mal Feedback geben wer Interesse hat.

Ich verwende:

- Windows Server 2003 R2 als Domain und DHCP Server (alle Windows Updates)
- Windows Server 2008 x64 als OTRS-Server mit Apache und MySQL (alle Windows Updates)
- OTRS 3.2.7 win-installer 2.4.7
- mod_auth_sspi-1.0.4-2.2.2

Modifiziert wurde:

- Config.pm
- httpd.conf

[KlausNehrer]

Ich denke, in den meisten Fällen kommen Suchanfragen später. Ich hatte es schon ein paar Mal, dass ich (nicht nur hier) auf das "gleiche Problem" stieß und der letzte Eintrag war: Hab die Lösung gefunden! Und nicht immer ist der Verfasser dann noch erreichbar.

Wir nutzen zwar kein SSO, aber ich denke, dass das nur eine Frage der Zeit ist, bis eine Anforderung dahingehend kommt. Wäre natürlich schön, wenn dann die Lösung auffindbar wäre.

[pc-coholic]

AyKay,

da ich genau das gleiche bei uns implementieren möchte, wäre ich an sehr an deiner Lösung interessiert!

Nur schon vorweg gefragt: Wie authentifizierst du die Clients für dein SSO? Läuft das dann über NTLM (die Leute sind ja eh schon an ihren Arbeitsplätzen angemeldet) oder über einen dedizierten Login wie beispielsweise Forefront TMG ihn bereitstellt?

Besten Dank schonmal für dein Teilen!

Martin

[Huwiseg]

Wäre ebenfalls sehr stark an der Lösung interessiert da ich LDAP nebst SSO bald einrichten muss. Ich bin dir daher sehr verbunden wenn du deine Lösung hier anbietest. Vorab schon mal vielen Dank für dein Angebot.

[AyKay]

Hallo Zusammen,

ich habe eben das HowTo in der entsprechenden Sektion gepostet. Jetzt muss es allerdings noch von einem Moderator freigegeben werden. Hoffen wir mal das das nicht wieder ewig dauert

Viele Grüsse