SSO

[asxo]

Hallo zusammen.

Thema schon 1000 x gepostet, aber ich habe trotzdem noch keine Lösung für das Problem gefunden.

LDAP Auth. klappt wunderbar!!!

Code: Select all

#START LDAP Auth.

# Customer Authentifizirung via LDAP                   
      # ---------------------------------------------------- #
        $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
        $Self->{'Customer::AuthModule::LDAP::Host'} = 'w3abdcefg.aaa.bbb.ccc.dd';
        $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'DC=aaa,DC=bbb,DC=ccc,DC=dd';
        $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
        #$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'cn=OTRS,OU=Gruppen,OU=West,OU=Client,DC=aaa,DC=bbb,DC=ccc,DC=dd';
        #$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';
        $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'cn=otrs-user, OU=Gruppen,OU=West,OU=Client,DC=aaa,DC=bbb,DC=ccc,DC=dd';
        $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'kennwort;

#CustomerUser
# (customer user ldap backend and settings)
$Self->{CustomerUser} = {
       Name => 'Datenbank',
        Module => 'Kernel::System::CustomerUser::LDAP',
        Params => {
            # ldap host
            Host => 'w3abdcefg.aaa.bbb.ccc.dd',
            # ldap base dn
            BaseDN => 'DC=aaa,DC=bbb,DC=ccc,DC=dd',
            # search scope (one|sub)
            SSCOPE => 'sub',
            # The following is valid but would only be necessary if the
            # anonymous user does NOT have permission to read from the LDAP tree
            UserDN => 'cn=otrs-user, OU=Gruppen,OU=West,OU=Client,DC=aaa,DC=bbb,DC=ccc,DC=dd',
            UserPw => 'kennwort',
            # in case you want to add always one filter to each ldap query, use
            # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
            AlwaysFilter => '',
            # if your frontend is e. g. iso-8859-1 and the charset of your
            # ldap server is utf-8, use this options (if not, ignore it)
            SourceCharset => 'utf-8',
            DestCharset => 'iso-8859-1',
            # die if backend can't work, e. g. can't connect to server
            Die => 1,
            # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
            Params => {
                port => 389,
                timeout => 120,
                async => 0,
                version => 3,
            },
        },
        # customer uniq id
        CustomerKey => 'sAMAccountName',
        # customer #
        CustomerID => 'sAMAccountName',
        CustomerUserListFields => ['cn', 'mail'],
        CustomerUserSearchFields => ['uid', 'cn', 'mail'],
        CustomerUserSearchPrefix => '',
        CustomerUserSearchSuffix => '*',
        CustomerUserSearchListLimit => 250,
        CustomerUserPostMasterSearchFields => ['mail'],
        CustomerUserNameFields => ['givenname', 'sn'],
        # show now own tickets in customer panel, CompanyTickets
        CustomerUserExcludePrimaryCustomerID => 0,
        # add a ldap filter for valid users (expert setting)
        # CustomerUserValidFilter => '(!(description=gesperrt))',
        # admin can't change customer preferences
        AdminSetPreferences => 0,
        # cache time to life in sec. - cache any ldap queris
        CacheTTL => 0,
        Map => [
            # note: Login, Email and CustomerID needed!
            # var, frontend, storage, shown (1=always,2=lite), required, storage-type, http-link, readonly
            [ 'UserSalutation', 'Title',      'title',           1, 0, 'var', '', 0 ],
            [ 'UserFirstname',  'Firstname',  'givenname',       1, 1, 'var', '', 0 ],
            [ 'UserLastname',   'Lastname',   'sn',              1, 1, 'var', '', 0 ],
            [ 'UserLogin',      'Username',   'sAMAccountName',             1, 1, 'var', '', 0 ],
            [ 'UserEmail',      'Email',      'mail',            1, 1, 'var', '', 0 ],
            [ 'UserCustomerID', 'CustomerID', 'mail',            0, 1, 'var', '', 0 ],
            # [ 'UserCustomerIDs', 'CustomerIDs', 'second_customer_ids', 1, 0, 'var', '', 0 ],
            [ 'UserPhone',      'Phone',      'telephonenumber', 1, 0, 'var', '', 0 ],
            [ 'UserAddress',    'Address',    'postaladdress',   1, 0, 'var', '', 0 ],
            [ 'UserComment',    'Comment',    'description',     1, 0, 'var', '', 0 ],
        ],
    };
#END LDAP Auth.

Jetzt zu SSO.
Ich weiss, das ich dem Apachen das noch mitteilen muss, damit er dann die Auth übernimmt.

Was muss ich alles ändern, welche Dateien muss ich anpacken und was kommt wo rein?
Habe OTRS auf einem W2003 Server installiert.


Greetz
as

[jojo]

Jetzt zu SSO.
Ich weiss, das ich dem Apachen das noch mitteilen muss, damit er dann die Auth übernimmt.

Was muss ich alles ändern, welche Dateien muss ich anpacken und was kommt wo rein?
Habe OTRS auf einem W2003 Server installiert.

Zum Single Sign on musst Du die Authentifizierung (LDAP) in den Apachen verlagern (mod_auth_kerb) und dann OTRS gegen den Apachen authentifizieren. Die Datensyncronisation vom OTRS bleibt dann gegen LDAP (geht seit der 2.4).

Unter Windows wirst Du da kein Glück haben.

[nazanin]

Hallo jojo,

Du hast geschrieben, dass man die Authentifizierung (LDAP) in den Apache verlagern (mod_auth_kerb) und dann OTRS gegen den Apache authentifizieren soll.
Wie macht man das?
Ich hätte gerne ein Konfig Beispiel. Bei mir läuft Authentifizierung mit AD per LDAP einwandfrei.

Gruß,
nazanin

[jojo]

Hallo,

zum Thema mod_auth_kerb gibt es bei den folgenden Links Informationen:

http://www.grolmsnet.de/kerbtut/
http://modauthkerb.sourceforge.net/

Für OTRS:
$Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth';
# In case there is a leading domain in the REMOTE_USER, you can
# replace it by the next config option.
# $Self->{'AuthModule::HTTPBasicAuth::Replace'} = 'example_domain\\';
# In case you need to replace some part of the REMOTE_USER, you can
# use the following RegExp ($1 will be new login).
# $Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} = '^(.+?)@.+?$';
# Note:
# If you use this module, you should use as fallback the following
# config settings if user isn't login through apache ($ENV{REMOTE_USER}).
# $Self->{LoginURL} = 'http://host.example.com/not-authorised-for-otrs.html';
# $Self->{LogoutURL} = 'http://host.example.com/thanks-for-using-otrs.html';


Leider habe ich gerade kein solches System im Zugiff, kann daher keine Config.pm Ausschnitte posten

[asxo]

Zum Single Sign on musst Du die Authentifizierung (LDAP) in den Apachen verlagern (mod_auth_kerb) und dann OTRS gegen den Apachen authentifizieren. Die Datensyncronisation vom OTRS bleibt dann gegen LDAP (geht seit der 2.4).

Unter Windows wirst Du da kein Glück haben.

Ist das noch immer so oder hat sich das nun in der neuen Version geändert???

[jojo]

Das ist immer noch so, weil es kein OTRS Feature ist, sondern ein Webserver Feature

[asxo]

Bedeutet; kein SSO mit einer OTRS-Win installation?!

[jojo]

es sei denn Du bekommst ein mod_auth_kerb für Deinen Windows Apachen