Anmeldung Ohne SSO für MacUser
Anmeldung Ohne SSO für MacUser
Hallo,
Folgendes Szenario:
wir haben Customer User Windows --> SSO Anmeldung
Mac Os Benutzer --> Mit AD Anmeldung ( Benutzer und Kennwort)
Bis OTRS 6.035 hat so funktioniert:
Macuser über http://dom/otrs/customerMac.pl --> hier müssten User und Kennwort eingeben
Windows über http://dom/otrs/customer.pl --> single sign on Anmeldung
In otrs/bin/cgi-bin/
haben wir die Customer.pl kopieren und unbenannt auf customerMac.pl
Jetzt seit Update auf auf Znuny 6.2 geht den Link für Mac User nicht mehr.
Ich habe in :
/etc/apache2/conf-enabled/ “otrs.conf” neue <location> eingefügt, trotzdem kommt die Anmelde Seite nicht.
Was mache ich falsch?
<location "/otrs/customerMac.pl">
# AuthType Kerberos
# AuthName "Network Login"
# KrbMethodNegotiate On
# KrbMethodK5Passwd On
# KrbAuthRealms DOM.NET
# KrbServiceName HTTP
# require valid-user
# Krb5KeyTab /etc/apache2/keytabs/otrs.keytab
# KrbLocalUserMapping On
PerlAuthenHandler Apache2::AuthenNTLM
AuthType ntlm
AuthName NTAuth
require valid-user
PerlAddVar ntdomain "dom server-dc-006 server-dc-007"
PerlSetVar defaultdomain DOM
PerlSetVar splitdomainprefix 1
</location>
Danke für Die Hilfe
Folgendes Szenario:
wir haben Customer User Windows --> SSO Anmeldung
Mac Os Benutzer --> Mit AD Anmeldung ( Benutzer und Kennwort)
Bis OTRS 6.035 hat so funktioniert:
Macuser über http://dom/otrs/customerMac.pl --> hier müssten User und Kennwort eingeben
Windows über http://dom/otrs/customer.pl --> single sign on Anmeldung
In otrs/bin/cgi-bin/
haben wir die Customer.pl kopieren und unbenannt auf customerMac.pl
Jetzt seit Update auf auf Znuny 6.2 geht den Link für Mac User nicht mehr.
Ich habe in :
/etc/apache2/conf-enabled/ “otrs.conf” neue <location> eingefügt, trotzdem kommt die Anmelde Seite nicht.
Was mache ich falsch?
<location "/otrs/customerMac.pl">
# AuthType Kerberos
# AuthName "Network Login"
# KrbMethodNegotiate On
# KrbMethodK5Passwd On
# KrbAuthRealms DOM.NET
# KrbServiceName HTTP
# require valid-user
# Krb5KeyTab /etc/apache2/keytabs/otrs.keytab
# KrbLocalUserMapping On
PerlAuthenHandler Apache2::AuthenNTLM
AuthType ntlm
AuthName NTAuth
require valid-user
PerlAddVar ntdomain "dom server-dc-006 server-dc-007"
PerlSetVar defaultdomain DOM
PerlSetVar splitdomainprefix 1
</location>
Danke für Die Hilfe
-
- Administrator
- Posts: 3934
- Joined: 18 Dec 2007, 12:23
- Znuny Version: Znuny and Znuny LTS
- Real Name: Roy Kaldung
- Company: Znuny
- Contact:
Re: Anmeldung Ohne SSO für MacUser
Hi,
- Roy
ich sag nix. Hilfreich wäre aber mal alles(!) was an der Apache config angepasst wurde, vor allem der Kerberos Teil. Das sollte in einem Rutsch möglich sein ohne dieses gefummel.
- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Re: Anmeldung Ohne SSO für MacUser
Hi Roy, Du kannst ruhig sagen . Ich habe mal die Location in Apache gelöscht, davor war auch nicht drin. Aber die Seite geht trotzdem nicht auf.
-
- Administrator
- Posts: 3934
- Joined: 18 Dec 2007, 12:23
- Znuny Version: Znuny and Znuny LTS
- Real Name: Roy Kaldung
- Company: Znuny
- Contact:
Re: Anmeldung Ohne SSO für MacUser
Mich interessiert der Teil mit dem SSO für Windows. Das kann man i.d.R. so konfigurieren das es auch für Macs mit Passwortabfrage funktioniert.
- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Re: Anmeldung Ohne SSO für MacUser
Hi Roy, erstmal Danke für die Hilfe.
Hier die Otrs.Conf Datei
Hier die Otrs.Conf Datei
You do not have the required permissions to view the files attached to this post.
-
- Administrator
- Posts: 3934
- Joined: 18 Dec 2007, 12:23
- Znuny Version: Znuny and Znuny LTS
- Real Name: Roy Kaldung
- Company: Znuny
- Contact:
Re: Anmeldung Ohne SSO für MacUser
Hi,
ich sehe ja das KrbMethodK5Passwd auf On steht, da sollte doch auch ein Fenster zur Passwortanmeldung hochkommen. Passiert das nicht?
Und was ganz andere. Es ist nicht(!) notwendig die originale Konfiguration anzufassen. Lege die eine eigene Datei in /etc/apache2/conf-available/ an die vom Namen her nach(!) der andere kommt und aktiviere die. Als z.B. eine znuny_extra.conf, aktiviert mit a2encon znuny_extra mit diesem Inhalt:
<locationMatch "/otrs/(customer|index)\.pl">
AuthType Kerberos
AuthName "Network Login"
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms YOUR.KERBEROSDOMAIN
KrbServiceName HTTP
require valid-user
Krb5KeyTab /etc/apache2/keytabs/otrs.keytab
KrbLocalUserMapping On
</LocationMatch>
Unabhängig davon lege ich dir nahe statt mod_auth_kerb doch mod_auh_gssapi zu nutzen,
- Roy
ich sehe ja das KrbMethodK5Passwd auf On steht, da sollte doch auch ein Fenster zur Passwortanmeldung hochkommen. Passiert das nicht?
Und was ganz andere. Es ist nicht(!) notwendig die originale Konfiguration anzufassen. Lege die eine eigene Datei in /etc/apache2/conf-available/ an die vom Namen her nach(!) der andere kommt und aktiviere die. Als z.B. eine znuny_extra.conf, aktiviert mit a2encon znuny_extra mit diesem Inhalt:
<locationMatch "/otrs/(customer|index)\.pl">
AuthType Kerberos
AuthName "Network Login"
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms YOUR.KERBEROSDOMAIN
KrbServiceName HTTP
require valid-user
Krb5KeyTab /etc/apache2/keytabs/otrs.keytab
KrbLocalUserMapping On
</LocationMatch>
Unabhängig davon lege ich dir nahe statt mod_auth_kerb doch mod_auh_gssapi zu nutzen,
- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Re: Anmeldung Ohne SSO für MacUser
Hi Roy,
ich habe alles nach deinem Schema angepasst. otrs.conf original gelassen und mir zust.conf angelegt. Kerberos Anmeldung klappt auch so weit. Aber wenn Mac Os User versuchen sich anzumelden, oder ich selber über Firefox, dann kommt Anmelde-Fenster. Leider alles, was ich eingebe kommt immer Error.-
ich habe alles nach deinem Schema angepasst. otrs.conf original gelassen und mir zust.conf angelegt. Kerberos Anmeldung klappt auch so weit. Aber wenn Mac Os User versuchen sich anzumelden, oder ich selber über Firefox, dann kommt Anmelde-Fenster. Leider alles, was ich eingebe kommt immer Error.-
You do not have the required permissions to view the files attached to this post.
-
- Administrator
- Posts: 3934
- Joined: 18 Dec 2007, 12:23
- Znuny Version: Znuny and Znuny LTS
- Real Name: Roy Kaldung
- Company: Znuny
- Contact:
Re: Anmeldung Ohne SSO für MacUser
Hi,kinshasa wrote: ↑11 Feb 2022, 14:01 Hi Roy,
ich habe alles nach deinem Schema angepasst. otrs.conf original gelassen und mir zust.conf angelegt. Kerberos Anmeldung klappt auch so weit. Aber wenn Mac Os User versuchen sich anzumelden, oder ich selber über Firefox, dann kommt Anmelde-Fenster. Leider alles, was ich eingebe kommt immer Error.-
Also das bei einem Nicht-Kerberos Browser (Firefox ohne Config) oder nicht-Domainmember (Mac) das Fenster kommt ist gewollt. Jetzt geht es i.d.R. mit dem samaccountname und dem Passwort weiter. Wenn er das nicht nimmt steht der Grund im Webserverlog. Steht das was drin?
- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Re: Anmeldung Ohne SSO für MacUser
Hi Roy,
Hier Error Log( drei versuche gemacht):
[Fri Feb 11 13:27:19.358579 2022] [auth_kerb:error] [pid 119586] [client 10.10.10.153:54475] krb5_get_init_creds_password() failed: Client not found in Kerberos database
[Fri Feb 11 13:27:36.522480 2022] [auth_kerb:error] [pid 119587] [client 10.10.10.153:54483] krb5_get_init_creds_password() failed: KDC reply did not match expectations
[Fri Feb 11 13:27:50.777589 2022] [auth_kerb:error] [pid 119751] [client 10.10.10.153:54490] failed to verify krb5 credentials: Key version is not available
Hier Error Log( drei versuche gemacht):
[Fri Feb 11 13:27:19.358579 2022] [auth_kerb:error] [pid 119586] [client 10.10.10.153:54475] krb5_get_init_creds_password() failed: Client not found in Kerberos database
[Fri Feb 11 13:27:36.522480 2022] [auth_kerb:error] [pid 119587] [client 10.10.10.153:54483] krb5_get_init_creds_password() failed: KDC reply did not match expectations
[Fri Feb 11 13:27:50.777589 2022] [auth_kerb:error] [pid 119751] [client 10.10.10.153:54490] failed to verify krb5 credentials: Key version is not available
-
- Administrator
- Posts: 3934
- Joined: 18 Dec 2007, 12:23
- Znuny Version: Znuny and Znuny LTS
- Real Name: Roy Kaldung
- Company: Znuny
- Contact:
Re: Anmeldung Ohne SSO für MacUser
Hi,
bitte mal einen Versuch mit LogLevel Debug, da steht dann deutlich mehr.
- Roy
bitte mal einen Versuch mit LogLevel Debug, da steht dann deutlich mehr.
- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Re: Anmeldung Ohne SSO für MacUser
Hi Roy,
hier logfile.
Danke für die Hilfe
hier logfile.
Danke für die Hilfe
You do not have the required permissions to view the files attached to this post.
-
- Administrator
- Posts: 3934
- Joined: 18 Dec 2007, 12:23
- Znuny Version: Znuny and Znuny LTS
- Real Name: Roy Kaldung
- Company: Znuny
- Contact:
Re: Anmeldung Ohne SSO für MacUser
Hallo,
da sieht so aus das die KVNO die beim erzeugen der Keytab nicht zu der auf dem Webserver passt. Wie man pass prüft steht hier: http://www.grolmsnet.de/kerbtut/
- Roy
da sieht so aus das die KVNO die beim erzeugen der Keytab nicht zu der auf dem Webserver passt. Wie man pass prüft steht hier: http://www.grolmsnet.de/kerbtut/
- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?