Single Sign On mit LDAP?

[huschfor2]

Hallo zusammen,

ich weiß es wurde hier schon öfter nach Single SIgn On Lösungen gefragt...
Hab auch schon sämtliche Forenbeiträge diesbezüglich durchgelesen aber ich komme leider nicht mehr weiter...

Daher meine Frage:
Ist es überhaupt möglich OTRS so zu konfigurieren, dass Single Sign On in Verbindung mit LDAP funktioniert.

Soll heißen:
-Ein Agent oder Kunde ruft OTRS auf
-Der angemeldete Benutzer wird durchgereicht und mit der AD abgeglichen.
-Wenn das soweit passt soll der entsprechende Benutzer direkt in OTRS angemeldet werden.

Also quasi so wie wenn man nur die LDAP Authentifizierung konfiguriert hat, nur ohne dass man Benutzer und Passwort eingeben muss.

Geht das?
wenn ja wie?


Habe bisher schon verschiedene Varianten in der Config.pm und alle auch sowohl mit Apache, als auch IIS getestet.
Nur leider hab ich es bisher nicht hinbekommen...
Das einzige was ich erreichen konnte war, dass OTRS gesagt hat dass der Benutzer in der DB nicht gefunden werden konnte.
Auch bei meiner Internetrecherche konnte ich das Problem finden, dort hieß es immer dass man die Benutzer in der OTRS-DB zuvor manuell anlegen muss, was aber für uns bei der Menge an Benutzer keine Option wäre...

wäre über jeden Tipp dankbar!


Daten:
BS - Windows Server 2008 R2
OTRS - Helpdesk 3.2.3
Webserver - Apache und IIS (beides verfügbar)
Domäne - Windows 2008 (ActiveDirectory)

[wurzel]

Hi,

SSO mit LDAP geht. Das macht in der Regel der Webserver (apache, IIS)

OTRS nutzt am Ende ein http Auth Module für SSO (2 Zeilen in der Config.pm)

apache muss dafür konfiguriert werden mit Kerberos Auth und IIS kanns normalerweise out of the box.

IE kanns auch out of the Box
FF musste auch konfigurieren.

Das is nicht trivial. Auch ist das teils Distributionsabhängig.

Flo

[huschfor2]

OK dann nochmal zusammengefasst:

Ich hab derzeit ein Testsystem mit IIS laufen...

IIS 7 hab ich nach folgender Anleitung konfiguriert:
http://www.cogknowhow.com/index.php/kno ... -and-iis-6

Du meinst wenn ich jetzt in der Config.pm die Einträge

Code: Select all

$Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth';
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';

und ggf. die Einträge

Code: Select all

$Self->{'AuthModule::HTTPBasicAuth::Replace'} = 'medicus.intra\\';
$Self->{'Customer::AuthModule::HTTPBasicAuth::Replace'} = 'medicus.intra\\';

Sollte es funktionieren?
Also beim Aufrufen von OTRS würde dann der IIS prüfen ob der Benutzer in der AD vorhanden ist und wenn ja würde OTRS sich automatisch mit diesem Benutzer anmelden- ohne dass der Benutzer jemals in der OTRS-DB angelegt wurde?


Kann ich dann alle LDAP-Konfigurationen usw weglassen?

[KlausNehrer]

viewtopic.php?f=36&t=21585

[huschfor2]

Ich sag schon mal vielen Dank für die Hilfestellung!

ich hab das jetzt alles mal so nachgestellt wie in meinem letzten Post.
Es hat funktioniert.

LDAP Konfiguration hab ich sogar komplett aus der Config.pm rausnehmen können.
bei Firefox muss man in der about:config noch den Eintrag network.automatic-ntlm-auth.trusted-uris anpassen.
Hier einfach die OTRS URL eintragen und es funktioniert.

Ich versuch das Ganze jetzt mal noch mit dem Apache