Авторизация LDAP и не-LDAP

princeps · Сообщение **princeps** » 19 окт 2012, 08:29

Коллеги, здрасьте!
Я настроил авторизацию в AD, работает ништяк! Но теперь не работает обычная авторизация из БД, мало того, кастомеры не создаются из админки OTRS. При попытке создать появляется надпись Not supported for this module! Агенты вроде создаются, но залогиниться не могут, в лог валится следующее: User: такой-то authentication failed, no LDAP entry found!
Между тем, мне надо, чтобы агенты были и из AD (собственно, сотрудники ТП) и не из АД (субподрядчики, на которых надо переводить стрелки, если ТП своими силами не смогла решить проблему). То же самое с кастомерами - должны логиниться левые клиенты (не из АД) и свои, чтобы регистрировать проблемы, которые мы сами нашли.
Ткните, пожалуйста, куда можно посмотреть, чтобы настроить смешанную авторизацию.

Creative · Сообщение **Creative** » 19 окт 2012, 08:32

ТЫК. -> http://doc.otrs.org/3.1/en/html/custome ... r-backends

princeps · Сообщение **princeps** » 19 окт 2012, 10:31

Что-то не получается

Кусок лога:

Код: Выделить всё

Can't modify constant item in scalar assignment at /opt/otrs/bin/cgi-bin/../../Kernel/Config.pm line 39, near "'login',", referer: http://10.40.0.245/otrs/index.pl?Action=AdminUser

line 39 это вот такая строчка:

Код: Выделить всё

Module => 'Kernel::System::CustomerUser::DB',

princeps · Сообщение **princeps** » 19 окт 2012, 11:21

разобрался, похоже опечатка в мануале. Вот в этих строчках:

Код: Выделить всё

    # customer unique id
    CustomerKey = 'login',
    # customer #
    CustomerID = 'customer_id',
    CustomerValid = 'valid_id',

должно быть => вместо =

princeps · Сообщение **princeps** » 19 окт 2012, 18:04

не, всё равно не работает!
аутентификатор работает либо ldap, либо db - смотря какая из строк $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth:: стоит ниже по тексту. Из доки ничего не понял, как сделать, чтобы аутентификация и из БД и из ЛДАП работала.

princeps · Сообщение **princeps** » 23 окт 2012, 11:23

Что, неужели только я так заморочился?

ykolesnikov · Сообщение **ykolesnikov** » 23 окт 2012, 11:39

Посмотрите в эту тему ближе к концу, может поможет - viewtopic.php?f=2&t=578&start=20

Сообщение **alexus** » 23 окт 2012, 12:01

Мануал не читаете принципиально?!
http://doc.otrs.org/3.1/en/html/custome ... r-backends
the CustomerUser config parameter should be expanded with a number, e.g. "CustomerUser1", "CustomerUser2" (see Example 11-5 below).
$Self->{CustomerUser1}
$Self->{CustomerUser2}

princeps · Сообщение **princeps** » 23 окт 2012, 14:00

alexus, мануал именно эту часть прочёл вдоль и поперёк, а вы сами пробовали так сделать? фишка в том, если я правильно понял, что кроме бэкенда юзеров надо настроить также аутентификаторы, с которыми и возникает проблема, т.к. в разделе про аутентификаторы двойные настройки не описаны.
ykolesnikov, большое спасибо, ваша ссылка помогла. Отпишусь в том треде.

Romano · Сообщение **Romano** » 25 окт 2012, 12:04

Дабы не плодить темы... Есть много тем об авторизации через LDAP, но практически все они коснулись только ПОЛЬЗОВАТЕЛЬСКОЙ авторизации(в том числе и через два и больше бекэндов). Всё это довольно разжовано, описано и т.п.
У меня сейчас проблема с авторизацией для АГЕНТОВ через LDAP. Читал я этот мануал - http://doc.otrs.org/3.0/ru/html/auth-backends.html
делал согласно ему, но авторизация агентов с АДшными учетками так и не проходит, но под локальными учетками OTRS залогинится можно без проблем. Прошерстил я и забугорный оф. форум, и этот, но так и не получилось обустроить авторизацию агентов через LDAP и синхронизацию с локальной базой. Кто может, помогите тыкнуть пальцем на мой фейл... Ниже код авторизации для агентов:

Код: Выделить всё

# Enable LDAP Authentication Sync for Agents #
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = '172.16.**.**';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'DC=******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccount';

# здесь я разрешаю всем юзерам АУшки ДИТ логинится в ОТРС админку
$Self->{'AuthSyncModule::LDAP::GroupDN'} = 'OU=DIT,OU=Domain Users,DC=*******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthSyncModule::LDAP::UserAttr'} = 'DN';

# эта учетка может читать данные из АД(она же используется для юзерской авторизации)
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=OTRS ServiceDesk Admin,OU=System accounts,OU=IT operations,DC=*******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'bla-bla-bla';

$Self->{'AuthSyncModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};


# Синхронизация OTRS и DB #
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = 'ldap//172.16.0.2/';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'DC=******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccount';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=OTRS ServiceDesk Admin,OU=System accounts,OU=IT operations,DC=*******,DC=kiev';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'bla-bla-bla';

# Enable Agent Mapping from LDAP to DB #
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};

  
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];

Здесь: $Self->{'AuthSyncModule::LDAP::UID'} = 'DN';
пробовал указывать DN, SN , но безрезультатно.

Лог:

Код: Выделить всё

[Thu Oct 25 11:20:53 2012][Notice][Kernel::System::Auth::DB::Auth] User: *****.***** doesn't exist or is invalid!!! (REMOTE_ADDR: 172.16.172.40)
[Thu Oct 25 11:20:53 2012][Error][Kernel::System::User::UserLookup][797] No UserID found for '*****.*****'!

princeps · Сообщение **princeps** » 25 окт 2012, 13:30

Рискну предположить, что до надписи

Код: Выделить всё

 # Синхронизация OTRS и DB #

надо AuthSyncModule везде поменять на AuthModule

Romano · Сообщение **Romano** » 25 окт 2012, 17:48

princeps писал(а):Рискну предположить, что до надписи
Код: Выделить всё
 # Синхронизация OTRS и DB #
надо AuthSyncModule везде поменять на AuthModule

Благодарю за помощь. Таки да, частично проблема была именно здесь.

Покопавшись на офф. форуме я таки нашел где и что менять.
В ближайшее время попробую как можно более подробно разжевать в howto's разделе об аутентификации для АГЕНТОВ и ПОЛЬЗОВАТЕЛЕЙ для двух доменов, с конкретным примером.

merkushov · Сообщение **merkushov** » 26 окт 2012, 13:23

Вот тут очень подробно и правильно описано viewtopic.php?f=6&t=31

В конфиге два куска. AuthModule - отвечает за первоначальный логин админа и поиск нужного пользователя в AD, а AuthSyncModule - настройка для импорта данных пользователя в локальную базу OTRS из AD

Romano · Сообщение **Romano** » 26 окт 2012, 15:47

merkushov писал(а):Вот тут очень подробно и правильно описано viewtopic.php?f=6&t=31

В конфиге два куска. AuthModule - отвечает за первоначальный логин админа и поиск нужного пользователя в AD, а AuthSyncModule - настройка для импорта данных пользователя в локальную базу OTRS из AD

Эта инфа, безусловно, полезная, но недостаточна

Я пробовал делать по этому описанию, но авторизация у меня так и не заработала. Тем более там есть лишняя инфа

В любом случае я уже все настроил и описал всё в разделе howtos

OTRS.ru

Авторизация LDAP и не-LDAP

Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP

Re: Авторизация LDAP и не-LDAP