Несколько бакэндов для авторизации клиентов?

[__al__]

Используется Linux + Otrs 3.0.8
Хочется авторизация клиентов как через Database Backend так и через LDAP Backend
Можно ли такое сделать?, если да достаточно ли в Defaults.pm раскоментировать и настроить

в данный момент

$Self->{CustomerUser} = {
Name => 'Database Backend',
Module => 'Kernel::System::CustomerUser::DB',
Params => {
# if you want to use an external database, add the
# required settings
# DSN => 'DBI:odbc:yourdsn',
# DSN => 'DBI:mysql:database=customerdb;host=customerdbhost',
# User => '',
# Password => '',
Table => 'customer_user',
# CaseSensitive will control if the SQL statements need LOWER()
# function calls to work case insensitively. Setting this to
# 1 will improve performance dramatically on large databases.
CaseSensitive => 0,
},
и т.д.

секция с LDAP закоментирована

# CustomerUser
# (customer user ldap backend and settings)
# $Self->{CustomerUser} = {
# Name => 'LDAP Backend',
# Module => 'Kernel::System::CustomerUser::LDAP',
# Params => {
# # ldap host
# Host => 'bay.csuhayward.edu',
# # ldap base dn
# BaseDN => 'ou=seas,o=csuh',

достаточно ли раскоментировать и настроить LDAP и появиться два бакенда?

[JohniGo]

RTFM.
Пример 11.5. Использование больше чем одного пользовательского хранилища данных с OTRS

[bra]

Добрый день!

Проблема схожая, только немного поконкретней ее обозначу.

Настроен LDAP. Согласно документации ( http://doc.otrs.org/3.0/ru/html/custome ... nd-example) настроил второй бекэнд для DB.
В админке видны и пользователи АД, и те которых я сам завожу в DB.

И вот в чем вопрос - В Frontend::Customer::Auth есть настройка Customer::AuthModule, она выставляется либо в DB (тогда пользователи АД не могут зайти), либо в LDAP (тогда обламываются пользователи, занесенные вручную). Можно ли сделать так, чтобы одновременно могли успешно авторизовываться и те и другие?

Спасибо.

[alexus]

Это можно настроить только через Config.pm. Почитайте тут http://doc.otrs.org/3.0/en/html/custome ... r-backends. Работает, проверено!

[bra]

Проблема-то как раз в том, что настроить согласно документации LDAP и DB получилось. В админке в разделе "Клиенты" я вижу и тех и других.

Вопрос в том, какой параметр должен оказаться в Frontend::Customer::Auth в настройке Customer::AuthModule, чтобы использовать одновременно оба режима (и LDAP и DB). Или дело не только в нем?

[alexus]

В этом случае УЖЕ не в нём!

[bra]

А куда копать-то тогда?

На всякий случай - вот конфиг.пм

[graffiti]

Народ, помогите советом, в какую сторону копать.
Разбираюсь в OTRS
OTRS v3.0.10 + CentOS 5.5
Со встроенным бэкендом все работает нормально.
Не получается настроить авторизацию клиентов через LDAP (AD Win2k3)
Пока несколько бэкендов не нужны, поэтому Config.pm не трогал, пытался сделать из морды Frontend::Customer::Auth
Если там включить LDAP, то при попытке авторизации клиента в лог падает такое ругательство:
Need 'Customer::AuthModule::LDAP::UID in Kernel/Config.pm
Клиента естественно не пускает.
В какую сторону смотреть?

[alexus]

В сторону документации. И на форуме полно информации.

[graffiti]

сенк конечно...
документацию читал, пример смотрел http://doc.otrs.org/3.0/ru/html/custome ... ckend-ldap, и форум этот рыл.
Но так и не понял, можно ли включить LDAP авторизацию клиентов (только один LDAP, без вариантов) используя только веб-морду и не трогая Config.pm?
И если все равно нужно править Config.pm, то зачем вообще в Frontend::Customer::Auth присутствуют опции настройки LDAP?

[graffiti]

в первом приближении заработало.
Оказывается, только того, что написано в документации недостаточно! (http://doc.otrs.org/3.0/ru/html/custome ... ckend-ldap)
надо еще добавить в Config.pm кусок кода, что-то типа этого:

Код: Выделить всё

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'office.бла.бла-бла.ru';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'DC=office,DC=бла,DC=бла-бла,DC=ru';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'userPrincipalName'; #'sAMAccountName' - у меня не работало!!!не подставлялся хвост @домен
$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'CN=Users,DC=office,DC=бла,DC=бла-бла,DC=ru';
$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'DN'; 
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'CN=otrs,CN=Users,DC=office,DC=бла,DC=бла-бла,DC=ru';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'user_otrs_passw';
 

зачем нужен LDAP в Frontend::Customer::Auth так и не понял.

[graffiti]

Добрый день!

Проблема схожая, только немного поконкретней ее обозначу.

Настроен LDAP. Согласно документации ( http://doc.otrs.org/3.0/ru/html/custome ... nd-example) настроил второй бекэнд для DB.
В админке видны и пользователи АД, и те которых я сам завожу в DB.

И вот в чем вопрос - В Frontend::Customer::Auth есть настройка Customer::AuthModule, она выставляется либо в DB (тогда пользователи АД не могут зайти), либо в LDAP (тогда обламываются пользователи, занесенные вручную). Можно ли сделать так, чтобы одновременно могли успешно авторизовываться и те и другие?

Спасибо.

Теперь возникла похожая проблема.
Добавил в Config.pm два бэкенда для авторизации клиентов (DB и LDAP)
В админке видно и тех и других, при создании новой заявки агент может их выбирать, данные все подставляются.
НО! клиент из DB зарегистрироваться в веб морде не может! В лог падают ругательства
CustomerUser: login_customer@office.бла.бла-бла.ru authentication failed, no LDAP entry found!BaseDN='DC=office,DC=бла,DC=бла-бла,DC=ru',
т.е. система его пытается авторизовать через Ldap! Если закоментить в Config.pm строки, относящиеся к LDAP, то клиент аутентификацию проходит
(в логе запись CustomerUser: login_customer Authentication ok (REMOTE_ADDR: xxx.xxx.xxx.xxx), но клиентов из LDAP естественно не видно и не пускает. Как это подружить, подскажите!!!
надо какие логи и конфиги выложить?

[alexus]

Нужна соответствующая часть Конфиг.пм

[graffiti]

ok!
вот что добавлено в Config.pm

Код: Выделить всё

## 1. Customer user backend: DB
$Self->{CustomerUser1} = {
    Name => 'Customer Database',
    Module => 'Kernel::System::CustomerUser::DB',
    Params => {
        Table => 'customer_user',
        },
    CustomerKey => 'login',
    CustomerID => 'customer_id',
    CustomerValid => 'valid_id',
    CustomerUserListFields => ['first_name', 'last_name', 'email'],
    CustomerUserSearchFields => ['login', 'last_name', 'customer_id'],
    CustomerUserSearchPrefix => '',
    CustomerUserSearchSuffix => '*',
    CustomerUserSearchListLimit => 250,
    CustomerUserPostMasterSearchFields => ['email'],
    CustomerUserNameFields => ['title','first_name','last_name'],
    CustomerUserEmailUniqCheck => 1,

[graffiti]

Код: Выделить всё

    Map => [
        [ 'UserTitle',      'Title',      'title',        1, 0, 'var', '', 0 ],
        [ 'UserFirstname',  'Firstname',  'first_name',   1, 1, 'var', '', 0 ],
        [ 'UserLastname',   'Lastname',   'last_name',    1, 1, 'var', '', 0 ],
        [ 'UserLogin',      'Username',   'login',        1, 1, 'var', '', 0 ],
        [ 'UserPassword',   'Password',   'pw',           0, 0, 'var', '', 0 ],
        [ 'UserEmail',      'Email',      'email',        1, 1, 'var', '', 0 ],
        [ 'UserCustomerID', 'CustomerID', 'customer_id',  0, 1, 'var', '', 0 ],
        [ 'UserPhone',      'Phone',      'phone',        1, 0, 'var', '', 0 ],
        [ 'UserFax',        'Fax',        'fax',          1, 0, 'var', '', 0 ],
        [ 'UserMobile',     'Mobile',     'mobile',       1, 0, 'var', '', 0 ],
        [ 'UserStreet',     'Street',     'street',       1, 0, 'var', '', 0 ],
        [ 'UserZip',        'Zip',        'zip',          1, 0, 'var', '', 0 ],
        [ 'UserCity',       'City',       'city',         1, 0, 'var', '', 0 ],
        [ 'UserCountry',    'Country',    'country',      1, 0, 'var', '', 0 ],
        [ 'UserComment',    'Comment',    'comments',     1, 0, 'var', '', 0 ],
        [ 'ValidID',        'Valid',      'valid_id',     0, 1, 'int', '', 0 ],
    ],
    Selections => {
	UserTitle => {
    	    'Mr.' => 'Mr.',
            'Mrs.' => 'Mrs.',
        },
    },
};

[graffiti]

Код: Выделить всё

# 2. Customer user backend: LDAP
$Self->{CustomerUser2} = {
    Name => 'LDAP Datasource',
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
    Host => 'office.бла.бла-бла.ru',
    BaseDN => 'dc=office,dc=бла,dc=бла-бла,dc=ru',
    SSCOPE => 'sub',
    UserDN => 'cn=otrs,cn=Users,dc=office,dc=бла,dc=бла-бла,dc=ru',
    UserPw => 'pas',
    SourceCharset => 'utf-8',
    DestCharset   => 'utf-8',
    Params => {
	port => 389,
        timeout => 120,
        async => 0,
        version => 3,
    },
},

CustomerKey => 'userPrincipalName',
CustomerID => 'mail',
CustomerUserListFields => ['cn', 'mail'],
CustomerUserSearchFields => ['userPrincipalName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
CustomerUserExcludePrimaryCustomerID => 0,
AdminSetPreferences => 0,

[graffiti]

Код: Выделить всё

AdminSetPreferences => 0,
Map => [
    [ 'UserTitle',      'Title',      'title',           1, 0, 'var', '', 0 ],
    [ 'UserFirstname',  'Firstname',  'givenname',       1, 1, 'var', '', 0 ],
    [ 'UserLastname',   'Lastname',   'sn',              1, 1, 'var', '', 0 ],
    [ 'UserLogin',      'Username',   'userPrincipalName',             1, 1, 'var', '', 0 ],
    [ 'UserEmail',      'Email',      'mail',            1, 1, 'var', '', 0 ],
    [ 'UserCustomerID', 'CustomerID', 'mail',            0, 1, 'var', '', 0 ],
    [ 'UserPhone',      'Phone',      'telephonenumber', 1, 0, 'var', '', 0 ],
    [ 'UserAddress',    'Address',    'postaladdress',   1, 0, 'var', '', 0 ],
    [ 'UserComment',    'Comment',    'description',     1, 0, 'var', '', 0 ],
],
};

[graffiti]

После этого в агентском интерфейсе начинает показывать клиентов и из LDAP и из DB, но авторизует клиентов ТОЛЬКО из DB, независимо от того, что написано в Frontend::Customer::Auth

Чтобы начал авторизовывать клиентов из LDAP дописал следующее:

Код: Выделить всё

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = 'office.бла.бла-бла.ru';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'DC=office,DC=бла,DC=бла-бла,DC=ru';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'userPrincipalName';
$Self->{'Customer::AuthModule::LDAP::GroupDN'} = 'CN=Users,DC=office,DC=бла,DC=бла-бла,DC=ru';
$Self->{'Customer::AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'Customer::AuthModule::LDAP::UserAttr'} = 'DN'; 
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'CN=otrs,CN=Users,DC=office,DC=бла,DC=бла-бла,DC=ru';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'otrsotrs';   

[graffiti]

после этого начинает авторизовывать клиентов ТОЛЬКО из LDAP, опять таки, независимо от того, что написано в Frontend::Customer::Auth (и там жестко ставится авторизация через LDAP, поле "засерено", перевыбрать невозможно)
при попытке авторизации клиента из DB в лог падает следующее ругательство

Код: Выделить всё

CustomerUser: login_customer@office.бла.бла-бла.ru authentication failed, no LDAP entry found!BaseDN='DC=office,DC=бла,DC=бла-бла,DC=ru', Filter='(userPrincipalName=login_customer@office.бла.бла-бла.ru)', (REMOTE_ADDR: ххх.ххх.ххх.ххх).

[graffiti]

если добавить

Код: Выделить всё

    $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::DB';
    $Self->{'Customer::AuthModule::DB::Table'} = 'customer_user';
    $Self->{'Customer::AuthModule::DB::DSN'} = "DBI:mysql:database=otrs;host=localhost";
    $Self->{'Customer::AuthModule::DB::User'} = "otrs";
    $Self->{'Customer::AuthModule::DB::Password'} = "щекы";
   $Self->{'Customer::AuthModule::DB::Type'} = 'mysql';

то начинает работать та авторизация, чей блок (LDAP или DB) идет в коде Config.pm последним.
В Frontend::Customer::Auth тоже отображается тот способ авторизации, который указан в Config.pm последним (поле "засерено", перевыбрать невозможно)
НО! В Frontend::Customer::Auth можно перевыбирать остальные значения для активной в данной момент схемы авторизации, они перезаписывают параметры, указанные в Config.pm (но только для активной в этот момент схемы)
Как заставить работать обе схемы одновременно? Именно АВТОРИЗОВЫВАТЬ клиентов, а не только показывать их в агентской морде (это работает)

[graffiti]

в документации про это ничего нет.
Есть что-то похожее на буржуйском форуме OTRS (сейчас не могу найти, ссылка дома осталась) но там все равно проблема не решилась.
У кого-нибудь вообще работает "мульти" авторизация?

[bra]

А у кого-нибудь вообще работает двойная авторизация? Кому удалось подружить ЛДАП и БД? Поделитесь опытом, советами и конфигами!

[graffiti]

Я так понял, что комьюнити тут максимум может послать читать доки (которых на самом деле нет), поэтому попробую ответить сам на свой же вопрос.
т.е. авторизация DB + LDAP
Я так понял, что в OTRS процесс валидации клиента (или агента) делится на две части.
Во - первых это настройка отображения списка клиентов (или агентов) в OTRS. Эта процедура худо-бедно отражена в документации, да и на форуме кое-что есть.
Мой совет такой - для начала настраиваете согласно докам (см. выше) отображение клиентов из базы. Потом из LDAP (только из LDAP). C этим проблем быть не должно, в доках и на форуме действительно эта часть разжевана довольно подробно. Когда это заработает по-отдельности, можно идти дальше.
Затем надо "поженить их вместе".Суть в том, что надо "расширить" идентификатор CustomerUser числовым дескриптором. Т.е. просто написать CustomerUser1 для одной схемы, CustomerUser2 для другой (и т.д. - в зависимости от того, сколько схем надо использовать)
Если надо тянуть инфу из нескольких LDAP - просто добавляем еще один раздел с настройками для CustomerUserx
После этого у меня начало показывать в OTRS всех нужных мне клиентов.
Второй момент - это авторизация клиентов. Вот с этим уже в документации молчок, на форуме тоже ничего толкового нет. Для начала опять советую настроить каждую схему в отдельности - см. мои посты выше. Образец для копи-паста ищем в Defaults.pm.
Чтобы клиент вошел в систему, ему необходимо не только успешно пройти авторизацию (т.е. в логах может быть запись, что авторизация или аутентификация - OK, а в систему не пустит), но и его учетка должна отображаться в OTRS (т.е. см. пункт один)
Когда добьетесь работы каждой схемы в отдельности - можно опять-таки устраивать свадьбу.
Тут действуем по-аналогии. Опять расширяем идентификатор дескриптором.
У меня получилось как-то так

[graffiti]

Код: Выделить всё

$Self->{'Customer::AuthModule2'} = 'Kernel::System::CustomerAuth::LDAP';
    $Self->{'Customer::AuthModule::LDAP::Host2'} = 'office.бла.бла-бла.ru';
    $Self->{'Customer::AuthModule::LDAP::BaseDN2'} = 'DC=office,DC=бла,DC=бла-бла,DC=ru';
    $Self->{'Customer::AuthModule::LDAP::UID2'} = 'sAMAccountName';
    $Self->{'Customer::AuthModule::LDAP::GroupDN2'} = 'CN=otrs_clients,OU=help_desk,DC=office,DC=бла,DC=бла-бла,DC=ru';
    $Self->{'Customer::AuthModule::LDAP::AccessAttr2'} = 'member';
    $Self->{'Customer::AuthModule::LDAP::UserAttr2'} = 'DN'; 
    $Self->{'Customer::AuthModule::LDAP::SearchUserDN2'} = 'CN=otrs,CN=Users,DC=office,DC=бла,DC=бла-бла,DC=ru';
    $Self->{'Customer::AuthModule::LDAP::SearchUserPw2'} = 'otrsotrs';   

Обратите внимание на "2".
Сперва описываем модуль, который используем Customer::AuthModule2
Затем "2" подставляем уже к значению параметра, а модуль (как ни странно) указываем без дескриптора.
Customer::AuthModule::LDAP::Host2 Вот тут у меня и были основные грабли.
Кстати, дескриптор не обязательно должен совпадать с соответствующей циферкой в разделе "отображения" клиентов.
у меня в таком виде работает. Осталось разобраться с аутентификацией агентов. Там пока не понятно, куда дескриптор прикручивать. Но пока времени нет заняться.

[bra]

Спасибо за разъснения. У меня как раз был затык в этих "двоичках". Не проставлял я их так везде.
Пока правда не пробовал. Работает через ЛДАП, да и ладно. Я на перспективу пытался клиентов сделать (агентов не надо было) - на случай подключения удаленных офисов со своими доменами.