Агенты с win-аутентификацией

[Zorn]

Коллеги приветствую, прошу меня сразу извинить, если вопросы покажутся элементарными, я otrs только начал юзать.

Ситуация следующая:
Поставил otrs 3.0 на Win 2003 R2, MS SQL, IIS 6
Настроил интеграцию с AD

Код: Выделить всё

#--------------------------------------------------------------------------#
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'SRV01.Company.local';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=company,dc=local';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=acc.OTRS.Agents,CN=Users,DC=Company,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=OTRS Administrator,CN=Users,DC=Company,DC=local';
$Self->{'AuthModule::LDAP::SearchUserPw'} = '***';

причем после использования sAMAccountName ввожу просто имя пользователя из AD, без домена (то есть не ДОМЕН/ЮЗЕР а просто ЮЗЕР).

Вопрос такой, в начале я насоздавал пользователей руками, и теперь хочу из них сделать пользователей с win-аутентификацией. Соответственно я их переименовываю, задаю доменный пароль - но они авторизоваться не могут. Если заходить доменным пользователем, которого нет в otrs - все ок, уч. запись создается и все работает.
Я залез в SQL в dbo.Users, dbo.user_preferences, но ничего такого, чтобы указывало на принадлежность из к AD, не нашел (кроме столбца pw, в котором может быть SID зашит).
Соответственно подскажите пожалуйста, как сделать из обычного агента - агента с win-аутентификацией?

[alexus]

http://doc.otrs.org/3.0/en/html/custome ... r-backends. Действуйте по образу и подобию. OTRS поддерживает до 10 баз аутентификации.

[Zorn]

Спасибо!
там что-то сильно наворочено, мне всего лишь нужно из существующего агента в otrs сделать доменного пользователя (чтобы не захламлять закрытыми агентами систему)..
Связь AD и OTRS осуществляется, на сколько я понял, через $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
sAMAccountName в AD и Имя в otrs у меня совпадают.. однако войти не удается (под учетками, созданными автоматически при входе в otrs все отлично)...

[alexus]

Там просто показано, как использовать несколько баз для авторизации. Почитайте русский вариант документации и тут еще http://wiki.otrs.org/index.php?title=Us ... for_agents

[Zorn]

Я практически так и делал (по последней ссылки), и в общем win-аутентификация работает.
Однако вопрос остается открытым, суть - как из сущ. записи в агентах сделать доменную.

[alexus]

Никак. Надо просто сделать существующие записи во внутренней базе недействительными.

[Zorn]

хм..... а ручками нельзя?! Ведь должна быть связь пользователи otrs и AD... Может в скуле сид из AD куда-нить впихнуть?! Там же все просто должно быть!

[alexus]

Нет никакой связи. Данных о пользователях из AD нет во внутренней базе OTRS. Вы не понимаете сути. ОТРС просто обращается к AD для получения данных об агентах или клиентах.

[Zorn]

alexus, у Вас достаточно странные рассуждения для человека который "понимает суть".
OTRS при первом входе пользователя из AD (при успешной win-аутентификации) создает у себя запись в агентах, которую ассоциирует с залогиненым пользователем. При повторном входе система не создает запись в агентах, а ассоциирует повторно-зашедшего пользователя с уже созданной записью в агентах. Таким образом система понимает, с каким агентом ассоциировать авторизованного пользователя. Поэтому и возник вопрос, как подпихнуть уже созданного агента под пользователя с win-аутентификацией, первый раз логинящегося в систему.

Тем более, в статье написано:

Код: Выделить всё

# ВКЛЮЧЕНИЕ АУТЕНФИКАЦИИ LDAP ДЛЯ АГЕНТОВ OTRS (ACTIVE DIRECTORY)
# Шаги которые требуется выполнить перед применением этого куска конфига:
# 1) создать пользователя в Active Directory otrsadmin@domain.lan (домен ессно Ваш)
# 2) переименовать пользователя OTRS root@localhost в пользователя указанного выше,
# пароли должны быть идентичными. Если эти шаги не сделать, после применения этого
# конфига, вы потеряете административный доступ.

то есть имеется ввиду, что система пользователя otrsadmin@domain.lan ассоциирует с бывшим агентом root@localhost и otrsadmin@domain.lan получит полные права..
Однако почему-то у меня это не срабатывает.