- 1. wie in http://www.otrs-forum.de/viewtopic.php?f=16&t=1849 beschrieben, will ich ein OTRS-System aufsetzen, in dem die auf den verschiedenen Queues berechtigten Gruppen mit Hilfe entsprechender Gruppen im Active Directory verwaltet werden.
2. Zusätzlich existiert eine Gruppe Administrators im ADS, die neben der admin-Berechtigung auch auf allen Queues berechtigt sein soll.
3. Man könnte natürlich per ADS-Verwaltung sicherstellen, dass jeder Administrator auch Mitglied jeder ADS-Gruppe ist, die in eine OTRS-Gruppe synchronisiert wird. Das möchte ich aber vermeiden.
Code: Select all
sub grantOTRSAccess { $_ = shift;
$Self->{'UserSyncLDAPGroupsDefination'}->{"CN=$_,OU=groups,OU=OTRS,..."} = { "$_" => { rw => 1, ro => 1 } };
$Self->{'UserSyncLDAPGroupsDefination'}->{'CN=Administrators,OU=OTRS,...'} = { "$_" => { rw => 1, ro => 1 } };
}
Code: Select all
foreach (getADSEntries('OU=groups,OU=OTRS,...')) { grantOTRSAccess($_); }- Weiss jemand wie sie zu implementieren wäre oder wo es sie bereits gibt und wie sie wirklich heisst?
- Ist der ganze Plan aus irgendeinem Grund sowieso ein Trugschluss und kann das ganze Ganze somit gar nicht funktionieren?
Den ganzen Ansatz halte ich für äußerst interessant. Wir hätten dann vermöge UserSyncLDAPRolesDefination die Möglichkeit, uns auch bei der Rollenverwaltung komplett aufs ADS zurückzuziehen. Jedenfalls bis auf die initiale Erzeugung einer neuen Rolle bzw. Gruppe.
Daher wünsche ich mir alla \otrs\scripts\tools\sync-ldap2db.pl weitere Skripte adduser.pl, addgroup.pl und addrole.pl für die nächste Version on OTRS.
Viele Grüsse, Thomas