Anmeldung Ohne SSO für MacUser

Hilfe zu OTRS Problemen aller Art
Post Reply
kinshasa
Znuny newbie
Posts: 27
Joined: 16 May 2017, 15:52
Znuny Version: 5.0.19

Anmeldung Ohne SSO für MacUser

Post by kinshasa »

Hallo,
Folgendes Szenario:
wir haben Customer User Windows --> SSO Anmeldung
Mac Os Benutzer --> Mit AD Anmeldung ( Benutzer und Kennwort)
Bis OTRS 6.035 hat so funktioniert:
Macuser über http://dom/otrs/customerMac.pl --> hier müssten User und Kennwort eingeben
Windows über http://dom/otrs/customer.pl --> single sign on Anmeldung
In otrs/bin/cgi-bin/
haben wir die Customer.pl kopieren und unbenannt auf customerMac.pl
Jetzt seit Update auf auf Znuny 6.2 geht den Link für Mac User nicht mehr.

Ich habe in :
/etc/apache2/conf-enabled/ “otrs.conf” neue <location> eingefügt, trotzdem kommt die Anmelde Seite nicht.
Was mache ich falsch?


<location "/otrs/customerMac.pl">
# AuthType Kerberos
# AuthName "Network Login"
# KrbMethodNegotiate On
# KrbMethodK5Passwd On
# KrbAuthRealms DOM.NET
# KrbServiceName HTTP
# require valid-user
# Krb5KeyTab /etc/apache2/keytabs/otrs.keytab
# KrbLocalUserMapping On
PerlAuthenHandler Apache2::AuthenNTLM
AuthType ntlm
AuthName NTAuth
require valid-user
PerlAddVar ntdomain "dom server-dc-006 server-dc-007"
PerlSetVar defaultdomain DOM
PerlSetVar splitdomainprefix 1
</location>


Danke für Die Hilfe
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Anmeldung Ohne SSO für MacUser

Post by root »

Hi,

kinshasa wrote: 10 Feb 2022, 16:06 Was mache ich falsch?
:-) ich sag nix. Hilfreich wäre aber mal alles(!) was an der Apache config angepasst wurde, vor allem der Kerberos Teil. Das sollte in einem Rutsch möglich sein ohne dieses gefummel.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
kinshasa
Znuny newbie
Posts: 27
Joined: 16 May 2017, 15:52
Znuny Version: 5.0.19

Re: Anmeldung Ohne SSO für MacUser

Post by kinshasa »

Hi Roy, Du kannst ruhig sagen :D . Ich habe mal die Location in Apache gelöscht, davor war auch nicht drin. Aber die Seite geht trotzdem nicht auf.
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Anmeldung Ohne SSO für MacUser

Post by root »

kinshasa wrote: 10 Feb 2022, 17:11 Hi Roy, Du kannst ruhig sagen :D . Ich habe mal die Location in Apache gelöscht, davor war auch nicht drin. Aber die Seite geht trotzdem nicht auf.
Mich interessiert der Teil mit dem SSO für Windows. Das kann man i.d.R. so konfigurieren das es auch für Macs mit Passwortabfrage funktioniert.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
kinshasa
Znuny newbie
Posts: 27
Joined: 16 May 2017, 15:52
Znuny Version: 5.0.19

Re: Anmeldung Ohne SSO für MacUser

Post by kinshasa »

Hi Roy, erstmal Danke für die Hilfe.
Hier die Otrs.Conf Datei
You do not have the required permissions to view the files attached to this post.
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Anmeldung Ohne SSO für MacUser

Post by root »

Hi,

ich sehe ja das KrbMethodK5Passwd auf On steht, da sollte doch auch ein Fenster zur Passwortanmeldung hochkommen. Passiert das nicht?

Und was ganz andere. Es ist nicht(!) notwendig die originale Konfiguration anzufassen. Lege die eine eigene Datei in /etc/apache2/conf-available/ an die vom Namen her nach(!) der andere kommt und aktiviere die. Als z.B. eine znuny_extra.conf, aktiviert mit a2encon znuny_extra mit diesem Inhalt:

<locationMatch "/otrs/(customer|index)\.pl">
AuthType Kerberos
AuthName "Network Login"
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms YOUR.KERBEROSDOMAIN
KrbServiceName HTTP
require valid-user
Krb5KeyTab /etc/apache2/keytabs/otrs.keytab
KrbLocalUserMapping On
</LocationMatch>


Unabhängig davon lege ich dir nahe statt mod_auth_kerb doch mod_auh_gssapi zu nutzen,

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
kinshasa
Znuny newbie
Posts: 27
Joined: 16 May 2017, 15:52
Znuny Version: 5.0.19

Re: Anmeldung Ohne SSO für MacUser

Post by kinshasa »

Hi Roy,
ich habe alles nach deinem Schema angepasst. otrs.conf original gelassen und mir zust.conf angelegt. Kerberos Anmeldung klappt auch so weit. Aber wenn Mac Os User versuchen sich anzumelden, oder ich selber über Firefox, dann kommt Anmelde-Fenster. Leider alles, was ich eingebe kommt immer Error.-
You do not have the required permissions to view the files attached to this post.
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Anmeldung Ohne SSO für MacUser

Post by root »

kinshasa wrote: 11 Feb 2022, 14:01 Hi Roy,
ich habe alles nach deinem Schema angepasst. otrs.conf original gelassen und mir zust.conf angelegt. Kerberos Anmeldung klappt auch so weit. Aber wenn Mac Os User versuchen sich anzumelden, oder ich selber über Firefox, dann kommt Anmelde-Fenster. Leider alles, was ich eingebe kommt immer Error.-
Hi,

Also das bei einem Nicht-Kerberos Browser (Firefox ohne Config) oder nicht-Domainmember (Mac) das Fenster kommt ist gewollt. Jetzt geht es i.d.R. mit dem samaccountname und dem Passwort weiter. Wenn er das nicht nimmt steht der Grund im Webserverlog. Steht das was drin?

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
kinshasa
Znuny newbie
Posts: 27
Joined: 16 May 2017, 15:52
Znuny Version: 5.0.19

Re: Anmeldung Ohne SSO für MacUser

Post by kinshasa »

Hi Roy,
Hier Error Log( drei versuche gemacht):

[Fri Feb 11 13:27:19.358579 2022] [auth_kerb:error] [pid 119586] [client 10.10.10.153:54475] krb5_get_init_creds_password() failed: Client not found in Kerberos database
[Fri Feb 11 13:27:36.522480 2022] [auth_kerb:error] [pid 119587] [client 10.10.10.153:54483] krb5_get_init_creds_password() failed: KDC reply did not match expectations
[Fri Feb 11 13:27:50.777589 2022] [auth_kerb:error] [pid 119751] [client 10.10.10.153:54490] failed to verify krb5 credentials: Key version is not available
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Anmeldung Ohne SSO für MacUser

Post by root »

Hi,

bitte mal einen Versuch mit LogLevel Debug, da steht dann deutlich mehr.

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
kinshasa
Znuny newbie
Posts: 27
Joined: 16 May 2017, 15:52
Znuny Version: 5.0.19

Re: Anmeldung Ohne SSO für MacUser

Post by kinshasa »

Hi Roy,
hier logfile.
Danke für die Hilfe
You do not have the required permissions to view the files attached to this post.
root
Administrator
Posts: 3934
Joined: 18 Dec 2007, 12:23
Znuny Version: Znuny and Znuny LTS
Real Name: Roy Kaldung
Company: Znuny
Contact:

Re: Anmeldung Ohne SSO für MacUser

Post by root »

Hallo,

da sieht so aus das die KVNO die beim erzeugen der Keytab nicht zu der auf dem Webserver passt. Wie man pass prüft steht hier: http://www.grolmsnet.de/kerbtut/

- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO

Use a test system - always.

Do you need professional services? Check out https://www.znuny.com/

Do you want to contribute or want to know where it goes ?
Post Reply