Авторизация LDAP и не-LDAP
Модератор: ykolesnikov
Авторизация LDAP и не-LDAP
Коллеги, здрасьте!
Я настроил авторизацию в AD, работает ништяк! Но теперь не работает обычная авторизация из БД, мало того, кастомеры не создаются из админки OTRS. При попытке создать появляется надпись Not supported for this module! Агенты вроде создаются, но залогиниться не могут, в лог валится следующее: User: такой-то authentication failed, no LDAP entry found!
Между тем, мне надо, чтобы агенты были и из AD (собственно, сотрудники ТП) и не из АД (субподрядчики, на которых надо переводить стрелки, если ТП своими силами не смогла решить проблему). То же самое с кастомерами - должны логиниться левые клиенты (не из АД) и свои, чтобы регистрировать проблемы, которые мы сами нашли.
Ткните, пожалуйста, куда можно посмотреть, чтобы настроить смешанную авторизацию.
Я настроил авторизацию в AD, работает ништяк! Но теперь не работает обычная авторизация из БД, мало того, кастомеры не создаются из админки OTRS. При попытке создать появляется надпись Not supported for this module! Агенты вроде создаются, но залогиниться не могут, в лог валится следующее: User: такой-то authentication failed, no LDAP entry found!
Между тем, мне надо, чтобы агенты были и из AD (собственно, сотрудники ТП) и не из АД (субподрядчики, на которых надо переводить стрелки, если ТП своими силами не смогла решить проблему). То же самое с кастомерами - должны логиниться левые клиенты (не из АД) и свои, чтобы регистрировать проблемы, которые мы сами нашли.
Ткните, пожалуйста, куда можно посмотреть, чтобы настроить смешанную авторизацию.
-
- OTRS Новобранец
- Сообщения: 132
- Зарегистрирован: 22 июн 2011, 14:33
- Откуда: Татарстан, Альметьевск
Re: Авторизация LDAP и не-LDAP
Мозг человека обычно загружен лишь на 10% своей мощности, остальное - резерв для операционной системы.
OTRS 3.1.4; ITSM 3.1.6; Ubuntu Server 12.04 LTS
Андрей Ананьев
OTRS 3.1.4; ITSM 3.1.6; Ubuntu Server 12.04 LTS
Андрей Ананьев
Re: Авторизация LDAP и не-LDAP
Что-то не получается
Кусок лога:
line 39 это вот такая строчка:
Кусок лога:
Код: Выделить всё
Can't modify constant item in scalar assignment at /opt/otrs/bin/cgi-bin/../../Kernel/Config.pm line 39, near "'login',", referer: http://10.40.0.245/otrs/index.pl?Action=AdminUser
Код: Выделить всё
Module => 'Kernel::System::CustomerUser::DB',
Re: Авторизация LDAP и не-LDAP
разобрался, похоже опечатка в мануале. Вот в этих строчках:
должно быть => вместо =
Код: Выделить всё
# customer unique id
CustomerKey = 'login',
# customer #
CustomerID = 'customer_id',
CustomerValid = 'valid_id',
Re: Авторизация LDAP и не-LDAP
не, всё равно не работает!
аутентификатор работает либо ldap, либо db - смотря какая из строк $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth:: стоит ниже по тексту. Из доки ничего не понял, как сделать, чтобы аутентификация и из БД и из ЛДАП работала.
аутентификатор работает либо ldap, либо db - смотря какая из строк $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth:: стоит ниже по тексту. Из доки ничего не понял, как сделать, чтобы аутентификация и из БД и из ЛДАП работала.
-
- OTRS Гуру
- Сообщения: 3119
- Зарегистрирован: 24 дек 2010, 09:27
- Откуда: Череповец
- Благодарил (а): 4 раза
- Поблагодарили: 5 раз
- Контактная информация:
Re: Авторизация LDAP и не-LDAP
Посмотрите в эту тему ближе к концу, может поможет - viewtopic.php?f=2&t=578&start=20
С уважением Юрий Колесников
OTRS 5.0.22, ITSM 5.0.22
OpenSuse 13.2, MariaDB 10.0.22
OTRS 5.0.22, ITSM 5.0.22 тестовая
OTRS 5.0.22, ITSM 5.0.22
OpenSuse 13.2, MariaDB 10.0.22
OTRS 5.0.22, ITSM 5.0.22 тестовая
-
- OTRS Гуру
- Сообщения: 5192
- Зарегистрирован: 20 сен 2010, 18:17
- Откуда: Москва
- Благодарил (а): 92 раза
- Поблагодарили: 82 раза
Re: Авторизация LDAP и не-LDAP
Мануал не читаете принципиально?!
http://doc.otrs.org/3.1/en/html/custome ... r-backends
the CustomerUser config parameter should be expanded with a number, e.g. "CustomerUser1", "CustomerUser2" (see Example 11-5 below).
$Self->{CustomerUser1}
$Self->{CustomerUser2}
http://doc.otrs.org/3.1/en/html/custome ... r-backends
the CustomerUser config parameter should be expanded with a number, e.g. "CustomerUser1", "CustomerUser2" (see Example 11-5 below).
$Self->{CustomerUser1}
$Self->{CustomerUser2}
С уважением,
Алексей Юсов
Prod: OTRS CE ITSM 6.0.28 on CentOS 7 Apache 2.4 MariaDB 10.4.13 + Radiant Customer Portal
Radiant System OTRS Intergrator RU
Группа OTRS Community в Teleram
Хотите внедрить OTRS? Спросите меня как!
Алексей Юсов
Prod: OTRS CE ITSM 6.0.28 on CentOS 7 Apache 2.4 MariaDB 10.4.13 + Radiant Customer Portal
Radiant System OTRS Intergrator RU
Группа OTRS Community в Teleram
Хотите внедрить OTRS? Спросите меня как!
Re: Авторизация LDAP и не-LDAP
alexus, мануал именно эту часть прочёл вдоль и поперёк, а вы сами пробовали так сделать? фишка в том, если я правильно понял, что кроме бэкенда юзеров надо настроить также аутентификаторы, с которыми и возникает проблема, т.к. в разделе про аутентификаторы двойные настройки не описаны.
ykolesnikov, большое спасибо, ваша ссылка помогла. Отпишусь в том треде.
ykolesnikov, большое спасибо, ваша ссылка помогла. Отпишусь в том треде.
Re: Авторизация LDAP и не-LDAP
Дабы не плодить темы... Есть много тем об авторизации через LDAP, но практически все они коснулись только ПОЛЬЗОВАТЕЛЬСКОЙ авторизации(в том числе и через два и больше бекэндов). Всё это довольно разжовано, описано и т.п.
У меня сейчас проблема с авторизацией для АГЕНТОВ через LDAP. Читал я этот мануал - http://doc.otrs.org/3.0/ru/html/auth-backends.html
делал согласно ему, но авторизация агентов с АДшными учетками так и не проходит, но под локальными учетками OTRS залогинится можно без проблем. Прошерстил я и забугорный оф. форум, и этот, но так и не получилось обустроить авторизацию агентов через LDAP и синхронизацию с локальной базой. Кто может, помогите тыкнуть пальцем на мой фейл... Ниже код авторизации для агентов:
Здесь: $Self->{'AuthSyncModule::LDAP::UID'} = 'DN';
пробовал указывать DN, SN , но безрезультатно.
Лог:
У меня сейчас проблема с авторизацией для АГЕНТОВ через LDAP. Читал я этот мануал - http://doc.otrs.org/3.0/ru/html/auth-backends.html
делал согласно ему, но авторизация агентов с АДшными учетками так и не проходит, но под локальными учетками OTRS залогинится можно без проблем. Прошерстил я и забугорный оф. форум, и этот, но так и не получилось обустроить авторизацию агентов через LDAP и синхронизацию с локальной базой. Кто может, помогите тыкнуть пальцем на мой фейл... Ниже код авторизации для агентов:
Код: Выделить всё
# Enable LDAP Authentication Sync for Agents #
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = '172.16.**.**';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'DC=******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccount';
# здесь я разрешаю всем юзерам АУшки ДИТ логинится в ОТРС админку
$Self->{'AuthSyncModule::LDAP::GroupDN'} = 'OU=DIT,OU=Domain Users,DC=*******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthSyncModule::LDAP::UserAttr'} = 'DN';
# эта учетка может читать данные из АД(она же используется для юзерской авторизации)
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=OTRS ServiceDesk Admin,OU=System accounts,OU=IT operations,DC=*******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'bla-bla-bla';
$Self->{'AuthSyncModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};
# Синхронизация OTRS и DB #
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = 'ldap//172.16.0.2/';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'DC=******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccount';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=OTRS ServiceDesk Admin,OU=System accounts,OU=IT operations,DC=*******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'bla-bla-bla';
# Enable Agent Mapping from LDAP to DB #
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users',
];
Здесь: $Self->{'AuthSyncModule::LDAP::UID'} = 'DN';
пробовал указывать DN, SN , но безрезультатно.
Лог:
Код: Выделить всё
[Thu Oct 25 11:20:53 2012][Notice][Kernel::System::Auth::DB::Auth] User: *****.***** doesn't exist or is invalid!!! (REMOTE_ADDR: 172.16.172.40)
[Thu Oct 25 11:20:53 2012][Error][Kernel::System::User::UserLookup][797] No UserID found for '*****.*****'!
OTRS + ITSM 3.2.3
Win Server 2003 R2
Win Server 2003 R2
Re: Авторизация LDAP и не-LDAP
Рискну предположить, что до надписи
надо AuthSyncModule везде поменять на AuthModule
Код: Выделить всё
# Синхронизация OTRS и DB #
Re: Авторизация LDAP и не-LDAP
Благодарю за помощь. Таки да, частично проблема была именно здесь.princeps писал(а):Рискну предположить, что до надписинадо AuthSyncModule везде поменять на AuthModuleКод: Выделить всё
# Синхронизация OTRS и DB #
Покопавшись на офф. форуме я таки нашел где и что менять.
В ближайшее время попробую как можно более подробно разжевать в howto's разделе об аутентификации для АГЕНТОВ и ПОЛЬЗОВАТЕЛЕЙ для двух доменов, с конкретным примером.
OTRS + ITSM 3.2.3
Win Server 2003 R2
Win Server 2003 R2
-
- OTRS Бывалый
- Сообщения: 310
- Зарегистрирован: 25 окт 2012, 15:06
- Откуда: Воронеж
- Поблагодарили: 2 раза
Re: Авторизация LDAP и не-LDAP
Вот тут очень подробно и правильно описано viewtopic.php?f=6&t=31
В конфиге два куска. AuthModule - отвечает за первоначальный логин админа и поиск нужного пользователя в AD, а AuthSyncModule - настройка для импорта данных пользователя в локальную базу OTRS из AD
В конфиге два куска. AuthModule - отвечает за первоначальный логин админа и поиск нужного пользователя в AD, а AuthSyncModule - настройка для импорта данных пользователя в локальную базу OTRS из AD
Меркушов Виктор, perl программист
Re: Авторизация LDAP и не-LDAP
Эта инфа, безусловно, полезная, но недостаточнаmerkushov писал(а):Вот тут очень подробно и правильно описано viewtopic.php?f=6&t=31
В конфиге два куска. AuthModule - отвечает за первоначальный логин админа и поиск нужного пользователя в AD, а AuthSyncModule - настройка для импорта данных пользователя в локальную базу OTRS из AD
Я пробовал делать по этому описанию, но авторизация у меня так и не заработала. Тем более там есть лишняя инфа
В любом случае я уже все настроил и описал всё в разделе howtos
OTRS + ITSM 3.2.3
Win Server 2003 R2
Win Server 2003 R2