Single Sign On für Customer

olliwest · Post by **olliwest** » 05 May 2009, 15:57

Hi zusammen,

ich versuche für unsere Kunden ein SSO einzurichten, bisher haben wir das über LDAP gemacht.

System: SUSE 10SP2, OTRS 2.3

was ich bisher gemacht habe:

Config.pm

Code: Select all

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';

eingefügt, sonst nichts.

/etc/apache2/default-server.conf
<Location /otrs/>
AuthName "My OTRS"
AuthType Basic
AuthUserFile ../htpasswd.users
Require valid-user
</Location>

<Directory /otrs>
AuthName "---!"
AuthType basic
AuthUserFile ../htpasswd.users
Require valid-user
</Directory>

und in der /etc/sysconfig/apache2
die Module auth_basic, authnz_ldap und ldap geladen

Jetzt die Frage, wie kommen die User in die htpasswd??
Muss in der Config.pm die ganze LDAP Konfiguration drin bleiben und nur das

Code: Select all

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';

gegen das

Code: Select all

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';

austauschen

olliwest · Post by **olliwest** » 07 May 2009, 11:28

Hi,

also ich bekomme immer die Fehlermeldung:

User: No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER} !(REMOTE_ADDR: x.x.x.x)

kann mir jemand weiterhelfen

jojo · Post by **jojo** » 07 May 2009, 11:33

Bitte lies die Doku der entsprechenden Apache Module!

olliwest · Post by **olliwest** » 07 May 2009, 13:59

hi,

ich verwende das Modul mod_auth_ntlm_winbind.so
hat das schon jemand ausprobiert??

ich habe in der default_server.conf nur ein <Directory> definiert und keine <Location>

Code: Select all

<Directory "/opt/otrs/bin/cgi-bin">
    AuthName "---!"
   NTLMAuth on
   NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"
   NTLMBasicAuthoritative on
   NTLMBasicAuth on
   NTLMBasicRealm x.y.de
   #NTLMOmitDomain on
   #NTLMDomainSeparator "+"
   AuthType NTLM
   require valid-user
   Options None
   #AllowOverride None
   Order allow,deny
   Allow from all
</Directory>

habe nicht wirklich eine Doku gefunden.

Dnake & Grüße

olliwest · Post by **olliwest** » 09 Jun 2009, 16:42

Hi zusammen,

hat keiner eine Idee, woran es liegen könnte, dass bei mir das SSO mit mod_auth_ntlm nicht funkioniert.
Ich bekomme die Fehlermeldung:

User: No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER} !(REMOTE_ADDR: 172.20.x.x)

Danke & Grüße

jojo · Post by **jojo** » 09 Jun 2009, 18:05

a) der Browser hat keine Credentials an den Server gegeben
b) der Server hat gar nicht erst gefragt

Ansonsten hat das erstmal ausschliesslich was mit Apache Konfiguration zu tun, auch würde ich kein NTLM nutzen sondern Kerberos...

olliwest · Post by **olliwest** » 10 Jun 2009, 08:44

hi,

kann man irgendwie prüfen, ob die Credentials weitergegeben wurden??

der winbind funktioniert bei mir richtig, wenn ich ein winbind -u mache, bekomme ich die User angezeigt.
Ich verwende SLES 10 SP2 und Apache2.

In mein default_server.conf habe ich folgende Config:

Code: Select all

<Directory /opt/otrs/bin/cgi-bin/customer.pl>
   NTLMAuth on
   NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"
   NTLMBasicAuthoritative on
   NTLMBasicAuth on
   NTLMBasicRealm x.y.de
   AuthType NTLM
   require valid-user
   Options None
   Allow from all
</Directory>

und

Code: Select all

<Location /opt/otrs/bin/cgi-bin>
   NTLMAuth on
   NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"
   NTLMBasicAuthoritative on
   NTLMBasicAuth on
   NTLMBasicRealm x.y.de
   AuthType NTLM
   require valid-user
   Allow from all
</Location>

benötige ich für Kerberos einen speziellen Kerberos Server, oder reicht das Apache Modul aus.
Oder ist der Kerberos Server der DC ??

Danke und Grüße

olliwest · Post by **olliwest** » 10 Jun 2009, 09:06

hi,

ich habe jetzt kurz mal das Kerberos Client installiert und konfiguriert.

wenn ich ein:

kinit user@domain mache bekomme ich die Meldung: KDC reply did not match expectations while getting initial credentials

Muss ich auf dem DC auch noch etwas einstellen?

maeck · Post by **maeck** » 18 Jun 2009, 12:45

Hat jemand mittlerweile ein SingleSignOn zum Laufen bekommen?

maeck

olliwest · Post by **olliwest** » 21 Jul 2009, 09:31

hi zusammen,

ich habe jetzt mal Kerberos installiert.

Teilweise funktioniert es auch, ein

Code: Select all

kinit user@mein.lan

funktioniert, wenn ich ein klist mache bekomme ich auch das Ticket angezeigt

Code: Select all

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: kerbdummy@MEIN.LAN
Valid starting     Expires            Service principal
07/21/09 08:28:55  07/21/09 18:29:02  krbtgt/MEIN.LAN@MEIN.LAN
renew until 07/22/09 08:28:55

wenn ich aber ein

Code: Select all

kinit -k -t /usr/local/var/krb5kdc/http.keytab HTTP/otrs-system.mein.lan

mache, bekomme ich die Fehlermeldung:
kinit: Key table entry not found while getting initial credentials

die keytab file habe ich mit folgendem Befehl erstellt:

Code: Select all

ktpass -princ HTTP/otrs-system.mein.lan@MEIN.LAN -mapuser domain\kerbdummy -crypto DES-CBC-MD5 -ptype KRB5_NT_SRV_HST -mapop set +desonly -pass secret -out c:\temp\http.keytab

kann mir da jemand weiterhelfen?

danke