OTRS и пользователи из 2 доменов

[swinstone]

приветствую.
только вчера установил OTRS. версия 5S free(последний билд на текущий момент). вижу его в первый раз... линуксоид из меня тоже слабый, так что особо не пинайте...
прошу подсказать, мне надо настроить авторизацию OTRS для пользователей из 2х разных windows доменов связанных доверительными отношениями.
сам OTRS установлен на сервер с ubuntu. контроллеры доменов win 2012 r2.
я по одному мануалу из сети настроил авторизацию для одного домена, как мне сделать чтобы пользователи дружественного домена могли авторизовываться на портале?
прилагаю конфиг с внесёнными изменениями для авторизации пользователей из 1 домена(megacenter.lan)

Код: Выделить всё

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = '10.16.0.30';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=megacenter,dc=lan';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OTRSagents,cn=Users,dc=megacenter,dc=lan';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'root@megacenter.lan';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'password';
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '';
$Self->{'AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
sscope => 'sub'
};


$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = '10.16.0.30';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=megacenter,dc=lan';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'root@megacenter.lan';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'password';
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};

$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users', 'basic_admin',
];


$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = '10.16.0.30';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=megacenter,dc=lan';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'root@megacenter.lan';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'password';
$Self->{CustomerUser} = {
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '10.16.0.30',
BaseDN => 'DC=megacenter,DC=lan',
SSCOPE => 'sub',
UserDN =>'root@megacenter.lan',
UserPw => 'password',
AlwaysFilter => '(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))',
SourceCharset => 'utf-8',
DestCharset => 'utf-8',
},

CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 10000,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
],
};

OTRSagents - группа агентов OTRS

[ykolesnikov]

Поиск великая вещь. Еще название раздела HOWTOS.
http://otrs.ru/forum/viewtopic.php?f=4&t=1379

[swinstone]

спасибо, я читал этот гайд, но там для агентов только всё расписано, а мне надо и кастомеров и агентов из другого домена.
я в коде то не силён...
если не затруднит то подскажите, мне весь конфиг надо переписать на тот что по гайду или достаточно просто какую то его часть в свой конфиг вставить?

[alexus]

http://otrs.github.io/doc/manual/admin/ ... kends.html
Using More than One Customer Backend with OTRS
If you want to utilize more than one customer data source used with OTRS (e.g. an LDAP and a database backend), the CustomerUser config parameter should be expanded with a number, e.g. "CustomerUser1", "CustomerUser2" (see Example below).
Для клиентов и агентов, для авторизации и для бекенда - логика одинаковая. Копипаст, параметры второй домена, добавление циферки в параметрах в конце.
Пример для клиентов:

Код: Выделить всё

     
#Домен 1
$Self->{'Customer::AuthModule1'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host1'} = 'xxxxx.ru';
$Self->{'Customer::AuthModule::LDAP::BaseDN1'} = 'OU=Staff,DC=xxxx,DC=local';
$Self->{'Customer::AuthModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::UID1'} = 'userPrincipalName';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN1'} = 'CN=Отрс Отрсович,OU=IT,OU=Staff,DC=xxxxx,DC=local';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw1'} = 'xxxxxx';
$Self->{'Customer::AuthModule::LDAP::Die1'} = 1;
#Домен 1
$Self->{'Customer::AuthModule2'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host2'} = 'xxxxx2.ru';
$Self->{'Customer::AuthModule::LDAP::BaseDN2'} = 'OU=Staff,DC=xxxx,DC=local';
$Self->{'Customer::AuthModule::LDAP::UID2'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::UID2'} = 'userPrincipalName';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN2'} = 'CN=Отрс Отрсович,OU=IT,OU=Staff,DC=xxxxx,DC=local';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw2'} = 'xxxxxx';
$Self->{'Customer::AuthModule::LDAP::Die2'} = 1;

Пример для агентов:

Код: Выделить всё

##------------------New Agent LDAP Backeng------------------###
$Self->{'AuthSyncModule1'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host1'} = 'qwqwqww.ru';
$Self->{'AuthSyncModule::LDAP::BaseDN1'} = 'OU=Staff,DC=xxxx,DC=local';
$Self->{'AuthSyncModule::LDAP::UID1'} = 'sAMAccountName';
#$Self->{'AuthSyncModule::LDAP::UID1'} = 'userPrincipalName';
$Self->{'AuthSyncModule::LDAP::AccessAttr1'} = 'member';
$Self->{'AuthSyncModule::LDAP::SearchUserDN1'} = 'CN=Отрс Отрсович,OU=IT,OU=Staff,DC=xxxxxx,DC=local';
$Self->{'AuthSyncModule::LDAP::SearchUserPw1'} = 'yyyyyyy';
##------------------Auth New Agent LDAP Backeng------------------###
$Self->{'AuthModule2'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host2'} = 'ppppppp.ru';
$Self->{'AuthModule::LDAP::BaseDN2'} = 'OU=Staff,DC=fly,DC=local';
$Self->{'AuthModule::LDAP::UID2'} = 'sAMAccountName';
#$Self->{'AuthModule::LDAP::UID2'} = 'userPrincipalName';

$Self->{'AuthModule::LDAP::GroupDN2'} = 'CN=otrs_agents,OU=IT,OU=Staff,DC=qwqqw,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr2'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr2'} = 'DN';

$Self->{'AuthModule::LDAP::SearchUserDN2'} = 'CN=Отрс Отрсович,OU=IT,OU=Staff,DC=qwqwqw,DC=local';
$Self->{'AuthModule::LDAP::SearchUserPw2'} = 'xxxxxx';
$Self->{'AuthModule::LDAP::AlwaysFilter2'} = '';

$Self->{'AuthModule::LDAP::Params2'} = {
    port => 389,
    timeout => 120,
    async => 0,
    version => 3,
};

    $Self->{'AuthModule::UseSyncBackend2'} = 'AuthSyncBackend1';

    $Self->{'AuthModule::LDAP::Die2'} = 1;
##------------------End of Auth New Agent LDAP Backeng------------------###

[swinstone]

спасибо за ответ Алексей.
хочу только уточнить, так как мне надо и агентов и пользователей из обоих доменов, то мне надо оба Ваши примера кода(Пример для клиентов и Пример для агентов) со значениями своих доменов затолкать в свой конфиг?

не дождался ответа попробовал.

не вышло ничего! не смог даже под своим пользователем авторизоваться, из другого домена пользователь - то же не смог.
благо хоть свой рабочий конфиг сохранил, вернул обратно и пошло(пользователи моего домена логинятся, агенты указанные в группе имеют права необходимые ).
люди добрые, помогите победить, очень прошу.

[swinstone]

приветствую снова. так вот, после долгих колупаний и тестов у меня получилось завести пользователей и из второго домена тоже.
вот только не получается из второго домена завести агентов. на стадии входа выдаёт ошибку что имя или пароль не верны.
очень Вас прошу, помогите разобраться где затык.
вот собственно мой конфиг целиком, изменены только пароли:

Код: Выделить всё

$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host1'} = '10.16.0.30';
$Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=megacenter,dc=lan';
$Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN1'} = 'cn=OTRSagents,cn=Users,dc=megacenter,dc=lan';
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'root@megacenter.lan';
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'der_parol';
$Self->{'AuthModule::LDAP::AlwaysFilter1'} = '';
$Self->{'AuthModule::LDAP::Params1'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
sscope => 'sub'
};


$Self->{'AuthSyncModule1'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host1'} = '10.16.0.30';
$Self->{'AuthSyncModule::LDAP::BaseDN1'} = 'dc=megacenter,dc=lan';
$Self->{'AuthSyncModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN1'} = 'root@megacenter.lan';
$Self->{'AuthSyncModule::LDAP::SearchUserPw1'} = 'der_parol';
$Self->{'AuthSyncModule::LDAP::UserSyncMap1'} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};

$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups1'} = [
'users', 'basic_admin',
];


$Self->{'Customer::AuthModule1'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host1'} = '10.16.0.30';
$Self->{'Customer::AuthModule::LDAP::BaseDN1'} = 'dc=megacenter,dc=lan';
$Self->{'Customer::AuthModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN1'} = 'root@megacenter.lan';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw1'} = 'der_parol';
$Self->{CustomerUser1} = {
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '10.16.0.30',
BaseDN => 'DC=megacenter,DC=lan',
SSCOPE => 'sub',
UserDN =>'root@megacenter.lan',
UserPw => 'der_parol',
AlwaysFilter => '(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))',
SourceCharset => 'utf-8',
DestCharset => 'utf-8',
},

CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 10000,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
],
};

$Self->{'AuthModule2'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host2'} = '10.100.0.30';
$Self->{'AuthModule::LDAP::BaseDN2'} = 'dc=astg,dc=kz';
$Self->{'AuthModule::LDAP::UID2'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN2'} = 'cn=OTRSagents,cn=Users,dc=astg,dc=kz';
$Self->{'AuthModule::LDAP::AccessAttr2'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr2'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN2'} = 'swin@astg.kz';
$Self->{'AuthModule::LDAP::SearchUserPw2'} = 'der_parol';
$Self->{'AuthModule::LDAP::AlwaysFilter2'} = '';
$Self->{'AuthModule::LDAP::Params2'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
sscope => 'sub'
};

 $Self->{'AuthModule::UseSyncBackend2'} = 'AuthSyncBackend1';

    $Self->{'AuthModule::LDAP::Die2'} = 1;

$Self->{'AuthSyncModule2'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host2'} = '10.100.0.30';
$Self->{'AuthSyncModule::LDAP::BaseDN2'} = 'dc=astg,dc=kz';
$Self->{'AuthSyncModule::LDAP::UID2'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN2'} = 'swin@astg.kz';
$Self->{'AuthSyncModule::LDAP::SearchUserPw2'} = 'der_parol';
$Self->{'AuthSyncModule::LDAP::UserSyncMap2'} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};

$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups2'} = [
'users', 'basic_admin',
];


$Self->{'Customer::AuthModule2'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host2'} = '10.100.0.30';
$Self->{'Customer::AuthModule::LDAP::BaseDN2'} = 'dc=astg,dc=kz';
$Self->{'Customer::AuthModule::LDAP::UID2'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN2'} = 'swin@astg.kz';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw2'} = 'der_parol';
$Self->{CustomerUser2} = {
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '10.100.0.30',
BaseDN => 'DC=astg,DC=kz',
SSCOPE => 'sub',
UserDN =>'swin@astg.kz',
UserPw => 'der_parol',
AlwaysFilter => '(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))',
SourceCharset => 'utf-8',
DestCharset => 'utf-8',
},

CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 10000,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
],
};

[alexus]

на стадии входа выдаёт ошибку что имя или пароль не верны

Нужно:
1. дословное описание ошибки
2. логи отрс
3. логи апача
+ смотрите логи AD

[swinstone]

Нужно:
1. дословное описание ошибки
2. логи отрс
3. логи апача

1. Внимание, пользователь аутентифицировался, в БД OTRS отсутствуют данные о нем!! Возможно этот пользователь недействительный. (после небольшой правки группы для агентов)
2 и 3. подскажите откуда их можно выдернуть?

+ смотрите логи AD

думаю нет смылса, с этим же логином и паролем проходит авторизация как клиента...

[alexus]

2 и 3. подскажите откуда их можно выдернуть?

Если вы этого не знаете, то Вам нужна профессиональная консультация.

думаю нет смылса, с этим же логином и паролем проходит авторизация как клиента...

Ну Вам виднее

[swinstone]

Если вы этого не знаете, то Вам нужна профессиональная консультация.

Алексей, я в первом посте обозначил что я не кодер и в линуксе тоже не силён(но у меня была необходимость развернуть бесплатный продукт на бесплатной ОС), по этому и попросил помощи на этом форуме.
если здесь обсуждаются вопросы только между профессионалами, то я прошу прощения за отнятое у гуру время.