Configurare accesso SSO Active Directory

Post Reply
sdighi
Znuny newbie
Posts: 1
Joined: 17 Dec 2019, 18:32
Znuny Version: 6.0.24
Real Name: Sdighi

Configurare accesso SSO Active Directory

Post by sdighi »

Buongiorno,
ho questa situazione:
Esempio Dominio: xyz.local
otrs Server url: otrs.xyz.local
hostname server otrs: supporto.xyz.local
Active Directory Server: dc1.xyz.local
server DNS: dc1.xyz.local

il server otrs è un centos 7 inserito in dominio con realm.
OTRS è confiugurato correttamente per autenticare sia agenti sia clienti con AD.
Vorrei permettere l'autologin agli utenti di dominio (clienti) tramite browser.

ho eseguito questa configurazione ma non va. il browser mostra la classica basicauth ma non fa l'autologin.


1. Sul / web dell'orologio Sincronizza OTRS:

Code: Select all

yum install ntpdate
ntpdate dc1
2. Sul controller di dominio Windows:

2.1 Creare utenti AD:
ad es. "FB-IT_kerberos_otrs" con password "Test1234"

2.2 Creare filekeytab(CMD):

Code: Select all

ktpass -princ HTTP/otrs.xyz.local@XYZ.LOCAL -mapuser FB-IT_kerberos_otrs@XYZ.LOCAL -pass Test1234 -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out C:\Temp\kerberos.keytab
3. Copia il file keytab sul server OTRS.
3.1 setto permessi:

Code: Select all

chown root:www-data /etc/kerberos*.keytab
chmod 0640 /etc/kerberos*.keytab
4. Installa / configura il modulo Apache
yum install krb5-libs krb5-workstation krb5-server
4.1 /etc/krb5.conf:

Code: Select all

[libdefaults]
			default_realm = XYZ.LOCAL
			# ...
			 
		[realms]
			XYZ.LOCAL = {
				# kdc and admin_server are DNS entries pointing to your primary domain controller
				kdc = dc1 
				admin_server = dc1
		}
		
		[domain_realm]
			# Please note the leading dot and the upper-case
			.xyz.local = XYZ.LOCAL
			xyz.local = XYZ.LOCAL
5. Adattare il file di configurazione di Apache (apache2-httpd.include.conf):

Code: Select all

			<Location /otrs>
			#        ErrorDocument 403 /opt/otrs/customer.pl
					ErrorDocument 403 /opt/otrs/index.pl
					AuthType Kerberos
					Krb5KeyTab /etc/kerberos.keytab
					KrbAuthRealms STEIMEL.LOCAL
					KrbLocalUserMapping On
					KrbMethodK5Passwd On
					KrbMethodNegotiate On
					KrbSaveCredentials Off
					KrbVerifyKDC Off
					require valid-user
					SetHandler  perl-script
					PerlResponseHandler ModPerl::Registry
					Options +ExecCGI
					PerlOptions +ParseHeaders
					PerlOptions +SetupEnv

			#        <IfModule mod_version.c>
			#            <IfVersion < 2.4>
			#                Order allow,deny
			#                Allow from all
			#            </IfVersion>
			#            <IfVersion >= 2.4>
			#                Require all granted
			#            </IfVersion>
			#        </IfModule>
			#        <IfModule !mod_version.c>
			#            Order allow,deny
			#            Allow from all
			#        </IfModule>
				</Location>
6. Regola Config.pm

Code: Select all

	$Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth';
	$Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} ='@xyz.local';
7. Configurare il browser per SSO:

7.1 IE11:
https://docs.aws.amazon.com/directoryse ... tml # ie_sso

7.2 Firefox:
about: config
network.negotiate-auth.delegation-uris = .xyz.local
network .negotiate-auth.trusted-uris = .xyz.local




In questo momento quando apro il browser e vado all'url di otrs compare:
Image

ho provato anche ad inserire a mano le credenziali e arrivo alla schermata di autenticazione di otrs.
io vorrei permettere l'autologin senza inserire le credenziali.
mi date una mano a capire cosa sbaglio? grazie
Post Reply