Hallo alle zusammen,
wir haben einen OTRS-Server laufen, der sich die User per LDAP von unserem Active Directory holt. Funktioniert auch alles ganz wunderbar. Aber: Ein Tochterunternehmen ist mit uns zusammen gezogen und möchte jetzt auch unseren OTRS-Server für seine Tickets benutzen. Allerdings haben die eine eigene Domäne.
Die Konfiguration für Customer::AuthModule mit mehreren Gegenstellen ist mir ansich klar, insofern habe ich da einfach einen weiteren LDAP-Server (nämlich deren Domänencontroller) hinzugefügt und auf das Beste gehofft. Jetzt kommen wir zum eigentlichen Problem: Der Webserver, auf dem OTRS läuft, hat eine Netzwerkschnittstelle, auf der mehrere IP-Adressen hinterlegt sind. Mehrere IPs deshalb, weil wir auf dem Webserver mehrere vhosts mit unterschiedlichen SSL-Zertifikaten laufen haben und anders der Application Proxy damit nicht klar kommt. Die IPs sind alle im gleichen Subnetz.
Aber: Diese Konstellation führt dazu, dass OTRS, wenn ich eine Benutzerabfrage mache, die zuletzt hinzugefügte IP-Adresse als Absendeadresse nutzt. Wie gesagt, die IPs sind alle im gleichen Subnetz. Das eigentliche Problem ist, dass es zwischen meinem OTRS und dem "gegnerischen" Domänencontroller eine Firewall gibt, in der ich den LDAP-Port freischalten lassen muss. Nur für welche der 5 IPs, die mein OTRS-Server zur Zeit hat? Genau das ist das Problem. Ich kann jetzt natürlich die letzte der hinzugefügten IPs in der Firewall freischalten. Spätestens wenn der nächste SSL-Host dazu kommt, brauch ich ne neue IP und OTRS funktioniert nicht mehr (weil dann eine andere IP die zuletzt hinzugefügte IP ist und die Firewall den LDAP-Zugriff wieder sperrt).
Meine Frage: Kann ich (vielleicht unter Customer::AuthModule::LDAP::Params) in der Verbindung konfigurieren, welches Netzwerkinterface der OTRS-Server als Absendeadresse verwenden soll, wenn er LDAP-Verbindungen aufbaut? Und wenn nicht: Wie kann ich mein Problem anders lösen?
Liebe Grüße, Momo
LDAP-Verbindung über bestimmtes Netzwerkinterface
-
Momo
- Znuny newbie
- Posts: 7
- Joined: 07 Feb 2013, 16:42
- Znuny Version: 3.3.8
- Real Name: Moritz Kohler
- Company: Allianz Global Assistance Deutschland
Re: LDAP-Verbindung über bestimmtes Netzwerkinterface
Okay, Thema hat sich erledigt, ich habe eine gute Lösung gefunden.
Und weil ich es auch nicht mag, wenn ich nach einem Problem suche und nur Lösungen finde wie "Oh, ich konnte es selbst lösen, danke" (oder http://xkcd.com/979/) ohne die eigentliche Lösung: Ich habe eine Hostroute gesetzt.
Ich hatte ja ein Netzwerkinterface eth0 mit einer IP-Adresse und dann dazu Subadressen auf dem Interface im gleichen Subnetz.
eth0: 172.19.176.151/24
eth0:1: 172.19.176.152/24
eth0:2: 172.19.176.153/24
eth0:3: 172.19.176.154/24
Default-Gateway: 172.19.176.1
Ich wollte per LDAP auf den Server 10.20.30.40 (keine Ahnung was die für ein Subnetz verwenden, ist für mich aber auch egal) drauf und zwar immer mit der 172.19.176.152 als Absendeadresse. Unter Linux lautet die Lösung dann einfach:
route add -host 10.20.30.40 gw 172.19.176.1 dev eth0:1
Damit das Ganze auch noch nach einem Neustart funktioniert, muss das Ganze noch in der Konfiguration des Betriebssystems festgehalten werden, das ist aber von Distribution zu Distribution unterschiedlich. Ganz perfekt ist die Lösung nicht, denn jetzt wird der komplette Traffic an 10.20.30.40 über diese eine IP abgewickelt. Aber in dem Fall tat mir das nicht weh, weil der Traffic generell von der Firewall geblockt wird und die Netzwerker mir jetzt nur den einen Port für die 172.19.176.152 auf machen und fertig.
Und weil ich es auch nicht mag, wenn ich nach einem Problem suche und nur Lösungen finde wie "Oh, ich konnte es selbst lösen, danke" (oder http://xkcd.com/979/) ohne die eigentliche Lösung: Ich habe eine Hostroute gesetzt.
Ich hatte ja ein Netzwerkinterface eth0 mit einer IP-Adresse und dann dazu Subadressen auf dem Interface im gleichen Subnetz.
eth0: 172.19.176.151/24
eth0:1: 172.19.176.152/24
eth0:2: 172.19.176.153/24
eth0:3: 172.19.176.154/24
Default-Gateway: 172.19.176.1
Ich wollte per LDAP auf den Server 10.20.30.40 (keine Ahnung was die für ein Subnetz verwenden, ist für mich aber auch egal) drauf und zwar immer mit der 172.19.176.152 als Absendeadresse. Unter Linux lautet die Lösung dann einfach:
route add -host 10.20.30.40 gw 172.19.176.1 dev eth0:1
Damit das Ganze auch noch nach einem Neustart funktioniert, muss das Ganze noch in der Konfiguration des Betriebssystems festgehalten werden, das ist aber von Distribution zu Distribution unterschiedlich. Ganz perfekt ist die Lösung nicht, denn jetzt wird der komplette Traffic an 10.20.30.40 über diese eine IP abgewickelt. Aber in dem Fall tat mir das nicht weh, weil der Traffic generell von der Firewall geblockt wird und die Netzwerker mir jetzt nur den einen Port für die 172.19.176.152 auf machen und fertig.