Аутентификация пользователей из доверенного домена (SSO)
Добавлено: 25 июл 2014, 20:29
Приветствую.
Есть OTRS с бэкендом кастомеров из AD (домен DOMAIN). Все работает. Аутентификация настроена по NTLM, для пользователей работает SSO.
К существующему домену приклеили новый домен (NEWDOMAIN), настроили трастовые отношения.
Приклеиваю бэкенд. Пользователи NEWDOMAIN появляются в списке с теми же AD-параметрами, что и пользователи DOMAIN, все отлично.
Теперь пользователь NEWDOMAIN пробует зайти в кастомерский портал, не получается -- аутентификация ok, кастомер не найден.
Смотрю в логи, вижу, что зафиксирована попытка входа от юзера "NEWDOMAIN+username".
Делаю wbinfo -u, в списке вижу сначала пользователей DOMAIN в формате samAccountName, потом следом за ними пользователей NEWDOMAIN в формате "NEWDOMAIN+samAccountName".
wbinfo -u -D NEWDOMAIN выводит просто список пользователей NEWDOMAIN в формате "NEWDOMAIN+samAccountName".
Вот это "NEWDOMAIN+" называется формат "crap domain", т.е., "Challenge Response Auth Protocol" domain.
Вопрос: как избавиться от этого crap, или как в конфиге добавить его к UserLogin или к CustomerKey, чтобы подогнать формат имени пользователя, который мо получаем, под правльный ответ? Вообще, как люди обычно настраивают логины юзеров из трастовых доменов, что я делаю не так?
Спасибо.
Есть OTRS с бэкендом кастомеров из AD (домен DOMAIN). Все работает. Аутентификация настроена по NTLM, для пользователей работает SSO.
К существующему домену приклеили новый домен (NEWDOMAIN), настроили трастовые отношения.
Приклеиваю бэкенд. Пользователи NEWDOMAIN появляются в списке с теми же AD-параметрами, что и пользователи DOMAIN, все отлично.
Теперь пользователь NEWDOMAIN пробует зайти в кастомерский портал, не получается -- аутентификация ok, кастомер не найден.
Смотрю в логи, вижу, что зафиксирована попытка входа от юзера "NEWDOMAIN+username".
Делаю wbinfo -u, в списке вижу сначала пользователей DOMAIN в формате samAccountName, потом следом за ними пользователей NEWDOMAIN в формате "NEWDOMAIN+samAccountName".
wbinfo -u -D NEWDOMAIN выводит просто список пользователей NEWDOMAIN в формате "NEWDOMAIN+samAccountName".
Вот это "NEWDOMAIN+" называется формат "crap domain", т.е., "Challenge Response Auth Protocol" domain.
Вопрос: как избавиться от этого crap, или как в конфиге добавить его к UserLogin или к CustomerKey, чтобы подогнать формат имени пользователя, который мо получаем, под правльный ответ? Вообще, как люди обычно настраивают логины юзеров из трастовых доменов, что я делаю не так?
Спасибо.