OTRS 4 - Single Sign On (SSO)

[HenselIT]

Hallo,

wir versuchen verzweifelt SSO in OTRS 4.0.10 zu nutzen. Verwendet wird Kerberos unter Ubuntu 14.10.

Die Config.PM schaut wie folgt aus:

Code: Select all

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';
$Self->{'Customer::AuthModule::HTTPBasicAuth::ReplaceRegExp'} ='@HENSELAD.DE';

# CustomerUser (customer user ldap backend and settings)
$Self->{CustomerUser} = {
   Name => 'LDAP Backend',
   Module => 'Kernel::System::CustomerUser::LDAP',
   Params => {
      Host => 'blade_ad1.henselad.de',
      BaseDN => 'OU=Hensel,DC=henselad,DC=de',
      SSCOPE => 'sub',
      UserDN => 'CN=otrs,OU=IT,OU=Benutzer,OU=HKG,OU=Hensel,DC=henselad,DC=de',
      UserPw => 'Passwort',
      SourceCharset => 'utf-8',
      DestCharset => 'iso-8859-1',
         Params => {
            port => 389,
            timeout => 120,
            async => 0,
            version => 3,
         },
   },
   
# customer unique id
CustomerKey => 'sAMAccountName',
CustomerID => 'sAMAccpuntName',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 250,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserExcludePrimaryCustomerID => 0,
CacheTTL => 0,
Map => [
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var', '', 0 ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var', '', 0 ],
[ 'UserLogin', 'Username', 'sAMAccountName', 1, 1, 'var', '', 0 ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var', '', 0 ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var', '', 0 ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var', '', 0 ],
],
};

Die Apache otrs.conf wie folgt:

Code: Select all

LoadModule auth_kerb_module usr/lib/apache2/modules/mod_auth_kerb.so
<Directory "/opt/otrs/bin/cgi-bin/">
        Options FollowSymLinks
        AllowOverride None
        Order allow,deny
        Allow from all
        AuthType Kerberos
        AuthName "OTRS"
        Krb5Keytab /etc/apache2/keytabs/ldapotrs.keytab
        KrbAuthRealm HENSELAD.DE
        KrbMethodNegotiate on
        KrbSaveCredentials on
        KrbMethodK5Passwd on
        KrbServiceName HTTP
        Require valid-user
        KrbLocalUserMapping on
</Directory>

Die krb5.conf wie folgt:

Code: Select all

[libdefaults]
        default_realm = HENSELAD.DE

[realms]
        HENSELAD.DE = {
                kdc = blade_ad1.henselad.de
                admin_server = blade_ad1.henselad.de
        }
        
[domain_realm]

        .henselad.de = HENSELAD.DE
        henselad.de = HENSELAD.DE
ignore_acceptor_hostname = true

Folgende Fehlermeldung erscheint:

Code: Select all

[Notice][Kernel::System::Auth::HTTPBasicAuth::Auth] User: No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER} !(REMOTE_ADDR: 192.168.X.X).

Hat jemand von Ihnen / Euch eine Idee woran dies liegen könnte? Ich verzweifle.

Vielen Dank im Voraus!

[RStraub]

Ihr setzt 4.x ein?

Die Fehlermeldung:

Code: Select all

No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER}

ist noch in der alten Syntax. Das müsste angepasst werden auf die neue (wo auch immer diese genutzt wird).

[reneeb]

@RStraub: Das hat nix mit der alten Templatesyntax zu tun. Es wird in den Umgebungsvariablen kein REMOTE_USER gefunden. Warum das so ist, kann ich im Moment auch nicht sagen.

[HenselIT]

Ihr setzt 4.x ein?

Die Fehlermeldung:

Code: Select all

No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER}

ist noch in der alten Syntax. Das müsste angepasst werden auf die neue (wo auch immer diese genutzt wird).

Wir setzen OTRS in der Version 4.0.10 ein.

[jojo]

Der Fehler hat erstmal nichts mit OTRS zu tun, sondern liegt rein auf der Apache Seite. Was sagt denn das Apache Log und das Apache Error Log?

[HenselIT]

Der Fehler hat erstmal nichts mit OTRS zu tun, sondern liegt rein auf der Apache Seite. Was sagt denn das Apache Log und das Apache Error Log?

Apache Access Log:
tail -f /var/log/apache2/access.log

Code: Select all

192.168.1.131 - - [21/Jul/2015:12:58:29 +0200] "GET /otrs-web/skins/Customer/default/css/thirdparty/jstree-theme/default/style.css HTTP/1.1" 200 1378 "http://otrs2015.henselad.de/otrs/customer.pl" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/8.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3)"
192.168.1.131 - - [21/Jul/2015:12:58:29 +0200] "GET /otrs-web/js/js-cache/ModuleJS_0695016700f266a925a3eccef9688b44.js HTTP/1.1" 200 1286 "http://otrs2015.henselad.de/otrs/customer.pl" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/8.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3)"

Apache Error Log:
tail -f /var/log/apache2/error.log

Code: Select all

   Module: Kernel::System::Stats::StatsGet Line: 235
   Module: Kernel::System::Stats::StatsListGet Line: 680
   Module: Kernel::Modules::AgentDashboardCommon::Run Line: 89
   Module: Kernel::System::Web::InterfaceAgent::Run Line: 996
   Module: ModPerl::ROOT::ModPerl::Registry::opt_otrs_bin_cgi_2dbin_index_2epl::handler Line: 41
   Module: (eval) (v1.99) Line: 206
   Module: ModPerl::RegistryCooker::run (v1.99) Line: 206
   Module: ModPerl::RegistryCooker::default_handler (v1.99) Line: 172
   Module: ModPerl::Registry::handler (v1.99) Line: 31

[jojo]

Probier es mal mit einer Location statt einer Directory Direktive im Apache

[HenselIT]

Probier es mal mit einer Location statt einer Directory Direktive im Apache

Fehlermeldung bleibt dadurch die selbe. Keine Ändernung, leider.

[jojo]

Location wäre /otrs

[HenselIT]

Location wäre /otrs

Die Apache otrs.conf sieht nun wie folgt aus:

Code: Select all

LoadModule auth_kerb_module usr/lib/apache2/modules/mod_auth_kerb.so
<Location /otrs>
        Options FollowSymLinks
        AllowOverride None
        Order allow,deny
        Allow from all
        AuthType Kerberos
        AuthName "OTRS"
        Krb5Keytab /etc/apache2/keytabs/ldapotrs.keytab
        KrbAuthRealm HENSELAD.DE
        KrbMethodNegotiate on
        KrbSaveCredentials on
        KrbMethodK5Passwd on
        KrbServiceName HTTP
        Require valid-user
        KrbLocalUserMapping on
</Location>

Im Internet Explorer erscheint nun ein Pop-Up zum Eingeben von Zugangsdaten. Dies sollte normalerweise ja nicht der Fall sein.
Werden die Daten entsprechend eingegeben, scheitert das Login dennoch.

[jojo]

Das ist doch schon mal ein Fortschritt. D.h. Dein IE gibt die Login Daten nicht weiter oder die Kerberos Config stimmt nicht. Auch hier würde ein Blick in die Logfiles helfen.

[HenselIT]

Das ist doch schon mal ein Fortschritt. D.h. Dein IE gibt die Login Daten nicht weiter oder die Kerberos Config stimmt nicht. Auch hier würde ein Blick in die Logfiles helfen.

Im Active Directory wurde ein Benutzer angelegt, welcher Verzeichnisänderungen replizieren darf. Anschließend wurde mittels ktpass eine keytab-Datei erzeugt. Dies geschah durch folgenden Befehl:

Code: Select all

ktpass -princ HTTP/otrs2015.henselad.de@HENSELAD.DE -mapuser ldap.otrs@HENSELAD.DE -crypto RC4-HMAC-NT -mapop set - pass PASSWORT - out C:\ldapotrs.keytab

Die /etc/krb5.conf sieht wie folgt aus:

Code: Select all

[libdefaults]
        default_realm = HENSELAD.DE

[realms]
        HENSELAD.DE = {
                kdc = blade_ad1.henselad.de
                admin_server = blade_ad1.henselad.de
        }
       
[domain_realm]
        .henselad.de = HENSELAD.DE
        henselad.de = HENSELAD.DE

Im Internet Explorer ist otrs2015.henselad.de als Lokale Site eingetragen.

[HenselIT]

Hier ein Auszug aus dem Log - hilft das?

Code: Select all

[Wed Jul 22 13:33:43.943957 2015] [auth_kerb:debug] [pid 4066] src/mod_auth_kerb.c(1450): [client 192.168.1.131:56104] Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.
[Wed Jul 22 13:33:43.943968 2015] [auth_kerb:debug] [pid 4066] src/mod_auth_kerb.c(1121): [client 192.168.1.131:56104] GSS-API major_status:00010000, minor_status:00000000
[Wed Jul 22 13:33:43.943983 2015] [auth_kerb:error] [pid 4066] [client 192.168.1.131:56104] gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error)
[Wed Jul 22 13:33:53.406324 2015] [authz_core:debug] [pid 4229] mod_authz_core.c(802): [client 192.168.1.131:56227] AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
[Wed Jul 22 13:33:53.406408 2015] [authz_core:debug] [pid 4229] mod_authz_core.c(802): [client 192.168.1.131:56227] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
[Wed Jul 22 13:33:53.406445 2015] [auth_kerb:debug] [pid 4229] src/mod_auth_kerb.c(1652): [client 192.168.1.131:56227] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Wed Jul 22 13:33:53.416564 2015] [authz_core:debug] [pid 4229] mod_authz_core.c(802): [client 192.168.1.131:56227] AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
[Wed Jul 22 13:33:53.416601 2015] [authz_core:debug] [pid 4229] mod_authz_core.c(802): [client 192.168.1.131:56227] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
[Wed Jul 22 13:33:53.416615 2015] [auth_kerb:debug] [pid 4229] src/mod_auth_kerb.c(1652): [client 192.168.1.131:56227] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Wed Jul 22 13:33:53.416660 2015] [auth_kerb:debug] [pid 4229] src/mod_auth_kerb.c(1260): [client 192.168.1.131:56227] Acquiring creds for HTTP@otrs2015.henselad.de
[Wed Jul 22 13:33:53.421596 2015] [auth_kerb:debug] [pid 4229] src/mod_auth_kerb.c(1406): [client 192.168.1.131:56227] Verifying client data using KRB5 GSS-API with our SPNEGO lib
[Wed Jul 22 13:33:53.421647 2015] [auth_kerb:debug] [pid 4229] src/mod_auth_kerb.c(1422): [client 192.168.1.131:56227] Client didn't delegate us their credential
[Wed Jul 22 13:33:53.421659 2015] [auth_kerb:debug] [pid 4229] src/mod_auth_kerb.c(1441): [client 192.168.1.131:56227] GSS-API token of length 9 bytes will be sent back
[Wed Jul 22 13:33:53.421672 2015] [auth_kerb:debug] [pid 4229] src/mod_auth_kerb.c(1121): [client 192.168.1.131:56227] GSS-API major_status:00010000, minor_status:00000000
[Wed Jul 22 13:33:53.421687 2015] [auth_kerb:error] [pid 4229] [client 192.168.1.131:56227] gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error)

[jojo]

Code: Select all

[Wed Jul 22 13:33:43.943957 2015] [auth_kerb:debug] [pid 4066] src/mod_auth_kerb.c(1450): [client 192.168.1.131:56104] Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.

Check mal Dein IE

[HenselIT]

Code: Select all

[Wed Jul 22 13:33:43.943957 2015] [auth_kerb:debug] [pid 4066] src/mod_auth_kerb.c(1450): [client 192.168.1.131:56104] Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.

Check mal Dein IE

Im Internet Explorer ist "otrs" als Lokale Site einegtragen und unter Sicherheit wurde die intergrierte Windows-Authentifizierung aktiviert.

[HenselIT]

Code: Select all

[Wed Jul 22 13:33:43.943957 2015] [auth_kerb:debug] [pid 4066] src/mod_auth_kerb.c(1450): [client 192.168.1.131:56104] Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.

Check mal Dein IE

Im Internet Explorer ist "otrs" als Lokale Site einegtragen und unter Sicherheit wurde die intergrierte Windows-Authentifizierung aktiviert.

Code: Select all

[Wed Jul 22 13:33:53.416660 2015] [auth_kerb:debug] [pid 4229] src/mod_auth_kerb.c(1260): [client 192.168.1.131:56227] Acquiring creds for HTTP@otrs2015.henselad.de

Stellt "HTTP@otrs2015.henselad.de" den Principal Name dar? Bei einem klist -ke wird als Principal "HTTP/otrs.2015.henselad.de@HENSELAD.DE" angezeigt.