Single Sign On LDAP

[whiteotrs]

Hallo,

ich weiß das es viele bereits erstellte Themen über diesen Punkt gibt.
Doch leider hat mir keines der bereits behandelten Themen weitergeholfen.

Ich stehe vor dem Problem, dass ich gern SSO für unsere OTRS-Installation einrichten möchte.
Unser OTRS läuft soweit, dass die LDAP-Anbindung für den Kunden und Agenten beides funktioniert!

Ich habe nun, so wie ich es oft in den Foren gefunden haben in der Config.pm zunächst für die Agenten folgende Zeile in den Code, nach der LDAP Anbindung eingefügt:

Code: Select all

$Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth';

Außerdem habe ich in der otrs.conf unter /etc/apache2/conf.d folgende Zeilen eingefügt:

Code: Select all

<Location /otrs>
        AuthName "OTRS Login"
        AuthType Basic
        AuthzLDAPAuthoritative off
        AuthBasicProvider ldap
        AuthLDAPURL "ldap://mydomain"
        AuthLDAPBindDN "bind"
        AuthLDAPBindPassword password
        Require valid-user
    </Location>

Wenn ich dann den apache neustarten möchte ist das nicht möglich. Sobald die Zeilen in der otrs.conf auskommentiert sind, kann ich den apache wieder starten.
Möchte ich mich nun am OTRS mit dem LDAP-Account anmelden bekomme ich folgende Fehlermeldung:
Login failed! Your username or password was entered incorrectly.

Wenn ich nun aber in der config.pm die Zeile:

Code: Select all

$Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth';

auskommentiere ist die Anmeldung wieder möglich.

Was mache ich falsch oder/und was hab ich vergessen?
Ich wäre für eine kleine Anleitung dafür sehr dankbar.

Ich weiß keinen Rat mehr Goolge und Forensuche helfen auch nicht weiter.

Vielen Dank im voraus!

[jojo]

ich gehe mal davon aus das Du mod_auth_LDAP im Apache nicht installiert oder aktiviert hast

[whiteotrs]

Hallo,

doch eigentlich hab ich die Module heruntergeladen und installiert.
Wo müsste ich das Modul aktivieren?

[jojo]

kommt auf die Apache Installation an. Unter ubuntu wäre es z.B. /etc/apache2/mods-enabled

[whiteotrs]

Es ist openSuse

[whiteotrs]

Hallo,

ich habe den Pfad und einen Befehl zum aktivieren des Moduls gefunden. In dem Verzeichnis /etc/sysconfig/ folgenden Befehl ausführen:

a2enmod mod_auth_LDAP

und um zu überprüfen ob das Modul aktiviert und auch alle anderen Module aktiviert sind folgenden Befehl ausführen:

a2enmod -l

Dann habe ich meine auskommentierten Codeteile wieder einkommentiert und den Apache neugestartet. Dies hat dieses mal auch funktioniert. Doch leider kann ich mich immer noch nicht mit dem LDAP Account am OTRS anmelden, weiterhin folgenden Fehlermeldung:
Login failed! Your username or password was entered incorrectly.

Hat jemand eine Idee woran es liegt?

[jojo]

hast Du mal in die Logfiles geschaut....

[whiteotrs]

Ja habe ich. In der error_log und access_log bekomme ich keinerlei Fehler.

[jojo]

und im OTRS log?

[whiteotrs]

Folgender Fehler:

User: No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER} !(REMOTE_ADDR: ***.***.***.***).

Hat jemand eine Idee zur Behebung dessen, worin der Fehler liegt?

[jojo]

Dein Apache hat kein SSO durchgeführt.

[whiteotrs]

Und wie erreiche ich, dass der Apache SSO durchführt?
Was genau muss ich wie konfigurieren? Und wo?

[jojo]

http://lmgtfy.com/?q=apache+sso+ldap

[najaleon]

Mich interessiert das auch und ich kriege es nicht hin. Ich verstehe diese Einträge für den Apache auch nicht ganz:

Code: Select all

<Location /otrs>
AuthName "OTRS Login"
AuthType Basic
AuthzLDAPAuthoritative off
AuthBasicProvider ldap
AuthLDAPURL "ldap://mydomain"
AuthLDAPBindDN "bind"
AuthLDAPBindPassword password
Require valid-user
</Location>

Ich habe das bei mir so eingetragen:

Code: Select all

AuthLDAPURL "ldap://meine.domäne.local:389/dc=meine,dc=domäne,dc=local"
AuthLDAPBindDN "dc=meine,dc=domäne,dc=local"
AuthLDAPBindPassword "keineAhnungwasfüreinPaßwort"
Require valid-user

Was ist falsch? Ich kriege, wenn ich OTRS aufrufe, ein Fenster mit User und Paßwort Abfrage, nur wird kein User akzeptiert, egal in welcher Form ich das eingebe, z.B. domäne\username und dann Paßwort oder nur username und dann Paßwort.
Der Apache hat dieses Modul in der httpd.conf drinnen, auch nicht auskommentiert:

Code: Select all

LoadModule authnz_ldap_module modules/mod_authnz_ldap.so

Fehlt noch was?

In der config.pm habe ich zu meiner funktionierenden Agenten Anmeldung über LDAP noch zusätzlich diese Zeile am Ende hinzugefügt:

Code: Select all

Self->{'AuthModule1'} = 'Kernel::System::Auth::HTTPBasicAuth';

Ich habe es auch mit AuthModule probiert, also ohne die 1, ebenfalls ohne Erfolg.

Findet einer den Fehler?

[KlausNehrer]

AuthLDAPBind* ist für die Authentifizierung am LDAP um die Benutzer gegen das LDAP authentifzieren zu können. Nimm die gleichen Daten, wie bei der LDAP Auth für Agent und Customer aus der config.pm.

[najaleon]

Also ich hab´s erstmal hinbekommen, allerdings noch nicht genau so, wie ich mir SSO vorstelle.

So schaut jetzt die Apache Config aus:

Code: Select all

	AuthName "OTRS Login"
        AuthType Basic
        AuthzLDAPAuthoritative off
        AuthBasicProvider ldap
        AuthLDAPURL "ldap://meine.domäne.local:389/dc=meine,dc=domäne,dc=local?sAMAccountName?sub?(objectClass=*)"
	AuthLDAPBindDN "username@meine.domäne.local"
	AuthLDAPBindPassword "userpassword"
	Require valid-user

In der config.pm habe ich bei der Agentenauthentifizierung nur noch diese Zeile:

Code: Select all

Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth';

Beim Aufruf von OTRS krieg ich jetzt eine Benutzername/Paßwort Abfrage vom Browser. Dort gebe ich jetzt den Domänenbenutzer und sein Paßwort ein und ich werde dann in OTRS angemeldet. Im Internet Explorer kann ich ein Häkchen bei Paßwort merken setzen und beim nächsten Aufruf muß ich die Abfrage nur noch bestätigen.

Ich will aber gar keine Abfrage mehr, sprich beim Aufruf von OTRS sollen die Benutzerdaten vom aktuell angemeldeten User direkt übernommen werden. Geht das überhaupt und wenn ja wie?

[Hazet]

Es geht schon...

http://lmgtfy.com/?q=apache+ldap+sso

[whiteotrs]

Vielen Dank ich habe es für unser Unternehmen lösen können.
Der Beitrag kann geschlossen werden

[Chuchuchu]

Das freut mich unheimlich für dich ... wirklich

Wäre es nicht für alle einfacher, wenn jemand mal ein HowTo erstellen würde ?
Für sowas ist doch das tolle Forum da

Danke im Voraus,

Grüße -

Chris