Kundengruppen aus dem LDAP?

[schwabts]

Hallo Forum,
ich habe meine Kunden und Agenten im LDAP. Agenten sind alle Mitarbeiter bei uns und natürlich schon lange in einer Active Directory-OU zwecks Windows-Login erfasst. Fürs Ticketsystem wurde eine neue OU=OTRS erzeugt, die weitere OUs

• 1. accounts für Kundenbenutzer,
  2. groups für AD-Sicherheitsgruppen, die auf OTRS-Gruppen gemappt werden, um den Blick der Agenten zu fokussieren, und
  3. queues mit Benutzern bzw. Postfächern, die per POP3-Konten Verwaltung überwacht werden, um aus Eingängen Tickets zu machen,

enthält. Was ich dafür konfiguriert habe, funktioniert recht gut; durch

Code: Select all

    $Self->{'UserSyncLDAPGroupsDefination'} = {
        'CN=Administrators,OU=OTRS,DC=domain,DC=com' => { 'admin' => { rw => 1, ro => 1, }, },
       ....
    };

habe ich auch erreicht, dass genau die Mitglieder der Gruppe CN=Administrators,OU=OTRS,... in OTRS den Admin-Bereich gezeigt bekommen. Ein eklatantes Problem habe ich allerdings mit den Kundengruppen!

Es ist offensichtlich nicht erwünscht, diese im OTRS-Admin-Bereich zu verwalten. Daher stellt sich die Frage, ob AD-Sicherheitsgruppen als Kundengruppen verwendet werden können. Das hätte ähnliche Wirkung wie der Sync oben. ich habe zwar schon mehrfach gelesen, dass für Kunden kein Sync existiert, aber damit wäre ja auch eine Übertragung der Kundendaten vom LDAP in die lokale DB gemeint. Ich möchte vielmehr die LDAP-Datenquelle ADS so verwenden, dass ihr auch Kundengruppen zu entnehmen sind, damit die verschiedenen Kunden voneinander getrennt sind, geht das?

Falls nicht: Ist das vielleicht der Grund für folgende Aussage von jojo am 06 Feb 2008, 20:50 im Beitrag "ADS: Auth & Mapping auf OTRS-Gruppen"?

Bei den Kunden würde ich generell von Gruppen absehen.

In der Defaults.pm habe ich leider auch nichts Passendes gefunden. Auf die Datenschutzproblematik brauche ich wohl nicht hinzuweisen...

Grüsse
Thomas

PS: Die OU=groups oben sollte ich dann wohl eher in Agent_groups umbenennen und die Kundengruppen in eine neue OU=Customer_groups stecken.

[schwabts]

Mein Problem ist teilweise mit dem von rOOt verwandt (http://www.otrs-forum.de/viewtopic.php?f=16&t=2089). Um SingleSignOn kümmere ich mich zwar nicht, aber "Panic! No UserData!!!" hatte ich auch bei der Kundenanmeldung. Ich habe nur einen CustomerUser, in dem ich folgende Einträge vornahm (bzw. änderte).

Code: Select all

        CustomerKey => 'sAMAccountName',
        CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
        CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
        CustomerUserNameFields => ['givenname', 'sn'],

Ich bin allerdings irritiert, weil diese in rOOt's Config.pm auch so zu sehen sind, jedenfalls bis auf CustomerUserExcludePrimaryCustomerID und AdminSetPreferences im folgenden Block weiterer Einstellungen, wobei ich mich damit gerade gar nicht näher beschäftigen kann.

Code: Select all

        CustomerUserSearchPrefix => '',
        CustomerUserSearchSuffix => '*',
        CustomerUserSearchListLimit => 250,
        CustomerUserExcludePrimaryCustomerID => 0,
        AdminSetPreferences => 0,

Ansonsten ist natürlich klar, dass die Möglichkeit, Kundengruppen zu verwenden, erst nach dem Einschalten des CustomerGroupSupport's besteht. Aber ist es nicht möglich, Kunden, die per LDAP geholt werden, gleich über die Config.pm ihren Gruppen zuzuordnen?

Diese Gruppen sollten dann natürlich auch übers LDAP geholt werden, was aber das kleinere Problem sein sollte, denn:

Beim Traversieren einer OU im ADS bin ich wesentlich weitergekommen, indem ich (anfangs auf dem OTRS-Code basierend) mit Hilfe des Perl-Moduls Test::More die Entwicklung eines neuen Moduls ADS begann, das eine LDAP-Verbindung zum ADS aufbaut und eine Methode query() bereitstellt, die die Liste aller DNs in der BaseDN ermittelt. Mit einem solchen Objekt will ich dann verschiedene Sync-Einträge in der Config.pm erzeugen, sodass dort nichts mehr angepasst werden muss, wenn neue Gruppen, etc. hinzukommen.

Viele Grüsse an Alle, Thomas