Аутентификация пользователей из доверенного домена (SSO)

Обсуждение вопросов и решений

Модератор: ykolesnikov

Ответить
Smirnoff
OTRS-shmOTRS
Сообщения: 15
Зарегистрирован: 08 дек 2010, 18:12
Контактная информация:

Аутентификация пользователей из доверенного домена (SSO)

Сообщение Smirnoff » 25 июл 2014, 20:29

Приветствую.
Есть OTRS с бэкендом кастомеров из AD (домен DOMAIN). Все работает. Аутентификация настроена по NTLM, для пользователей работает SSO.
К существующему домену приклеили новый домен (NEWDOMAIN), настроили трастовые отношения.
Приклеиваю бэкенд. Пользователи NEWDOMAIN появляются в списке с теми же AD-параметрами, что и пользователи DOMAIN, все отлично.

Теперь пользователь NEWDOMAIN пробует зайти в кастомерский портал, не получается -- аутентификация ok, кастомер не найден.
Смотрю в логи, вижу, что зафиксирована попытка входа от юзера "NEWDOMAIN+username".

Делаю wbinfo -u, в списке вижу сначала пользователей DOMAIN в формате samAccountName, потом следом за ними пользователей NEWDOMAIN в формате "NEWDOMAIN+samAccountName".

wbinfo -u -D NEWDOMAIN выводит просто список пользователей NEWDOMAIN в формате "NEWDOMAIN+samAccountName".

Вот это "NEWDOMAIN+" называется формат "crap domain", т.е., "Challenge Response Auth Protocol" domain.

Вопрос: как избавиться от этого crap, или как в конфиге добавить его к UserLogin или к CustomerKey, чтобы подогнать формат имени пользователя, который мо получаем, под правльный ответ? Вообще, как люди обычно настраивают логины юзеров из трастовых доменов, что я делаю не так?
Спасибо.

Smirnoff
OTRS-shmOTRS
Сообщения: 15
Зарегистрирован: 08 дек 2010, 18:12
Контактная информация:

Re: Аутентификация пользователей из доверенного домена (SSO)

Сообщение Smirnoff » 25 июл 2014, 23:07

Забыл уточнить -- CentOS 6.5, OTRS последний.

Значит, так. В smb.conf есть такой параметр -- winbind separator. Так вот он сейчас по дефолту стоит в плюсик, отсюда дурной формат "NEWDOMAIN+user" или "NEWDOMAIN+группа". Если его поставить в \\, то разделяться будет обычным "\".

Во-вторых, там есть параметр winbind use default domain. Если он true, то для DOMAIN домен не подставляется, а для любых других, включая NEWDOMAIN, подставляется. Если же он false, то доменное имя подставляется и для DOMAIN тоже.

Дальше пока не дорыл, но дело где-то в этом :)

Smirnoff
OTRS-shmOTRS
Сообщения: 15
Зарегистрирован: 08 дек 2010, 18:12
Контактная информация:

Re: Аутентификация пользователей из доверенного домена (SSO)

Сообщение Smirnoff » 28 июл 2014, 15:10

Я вам тут не мешаю?

Вопрос тем временем про то же SSO.
Дано: Apache, SSO на NTLMv2.
Оно возвращает пользователя в формате DOMAIN\username.

На другой инсталляции SSO на Kerberos. Возвращает пользователя в формате UPN: username@domain.local.

Вот это второе -- удобно. Первое -- нет. Вопрос: можно ли заставить auth_ntlm_winbind возвращать имя пользователя в UPN-формате? Если да, как?

Ответить