[Решено] Single Sign-On с русскими именами пользователей

[capitannemo]

Доброго здоровья всем. Имею проблему с которой голову не поломал, но погнул основательно.
Домен AD Windows 2008, OTRS 3.1.11 - win на Windows XP SP3, клиенты входят с рабочих станций домена, IE 8.
Что реализовано - агенты и клиенты аутентифицируются через LDAP, с этим все нормально, кому интересно могу положить рабочий конфиг.
Для удобства клиентов (чтобы не вводить пароль каждый раз) сделана сквозная аутентификация, mod_auth_sspi-1.0.4-2.2.2.
Тоже работает. Но только если имя входа пользователя - английскими буквами, русскими не берет ни в какую.
Пример лога (для пользователя с именем шеф и его же с именем shief):
[Tue Oct 23 11:17:15 2012][Notice][Kernel::System::CustomerAuth::HTTPBasicAuth::Auth] User: oao Authentication ok (REMOTE_ADDR: 192.168.7.52).
[Tue Oct 23 11:17:15 2012][Error][Kernel::System::CustomerUser::SetPreferences][506] No such user 'oao'!
[Tue Oct 23 11:43:04 2012][Notice][Kernel::System::CustomerAuth::HTTPBasicAuth::Auth] User: shief Authentication ok (REMOTE_ADDR: 192.168.7.52).
[Tue Oct 23 11:43:12 2012][Notice][Kernel::System::CustomerAuth::HTTPBasicAuth::Auth] User: shief Authentication ok (REMOTE_ADDR: 192.168.7.52).

Есть большое подозрение, что в Apache или Perl нужно поправить работу с кодировкой, т.к. если убрать сквозную аутентификацию и клиент введет сам имя и пароль - все сработает.
[Tue Oct 23 11:54:30 2012][Notice][Kernel::System::CustomerAuth::LDAP::Auth] CustomerUser: шеф (CN=N??µN?,OU=UsersCTK,DC=stkspb,DC=ctk,DC=onego,DC=ru) authentication ok (REMOTE_ADDR: 192.168.7.52).
Кто пробовал, у кого есть идеи ?
Заранее спасибо.

[Romano]

Рискну предположить, что в конфиге настройки авторизации пользователей надо прописать кодировку:

Код: Выделить всё

    $Self->{'Customer::AuthModule::LDAP::Charset'} = 'utf-8';
    $Self->{'Customer::AuthModule::LDAP::SourceCharset'} = 'utf-8';
    $Self->{'Customer::AuthModule::LDAP::DestCharset'} = 'utf-8';

У меня с такими параметрами проблем с кодировкой нет. Правду у меня Win Server 2003 R2

[capitannemo]

Рискну предположить, что в конфиге настройки авторизации пользователей надо прописать кодировку:

Код: Выделить всё

    $Self->{'Customer::AuthModule::LDAP::Charset'} = 'utf-8';
    $Self->{'Customer::AuthModule::LDAP::SourceCharset'} = 'utf-8';
    $Self->{'Customer::AuthModule::LDAP::DestCharset'} = 'utf-8';

У меня с такими параметрами проблем с кодировкой нет. Правду у меня Win Server 2003 R2

Вариант не прошел
Я даже для верности поставил на Win Server 2003 R2 RUS. Те же грабли.
Тут похоже в связке Apache + Perl + mod_auth_sspi
В логе access апача вижу

192.168.7.52 - smallbusiness\\shief [25/Oct/2012:13:13:41 +0500] "GET /otrs/customer.pl?Action=CustomerTicketOverview;Subaction=MyTickets HTTP/1.1" 200 5180
192.168.7.52 - - [25/Oct/2012:13:13:42 +0500] "GET /otrs-web/skins/Customer/default/css-cache/CommonCSS_7525790b954ce8c0ec71463914c82109.css HTTP/1.1" 200 29593
...
192.168.7.52 - - [25/Oct/2012:13:13:45 +0500] "GET /otrs/customer.pl HTTP/1.1" 401 401
192.168.7.52 - - [25/Oct/2012:13:13:45 +0500] "GET /otrs/customer.pl HTTP/1.1" 401 401
192.168.7.52 - smallbusiness\\\xf8\xe5\xf4 [25/Oct/2012:13:13:45 +0500] "GET /otrs/customer.pl HTTP/1.1" 302 73
192.168.7.52 - smallbusiness\\\xf8\xe5\xf4 [25/Oct/2012:13:13:45 +0500] "GET /otrs/customer.pl?Action=Login;RequestedURL= HTTP/1.1" 302 75

smallbusiness\\\xf8\xe5\xf4 - вот эти кракозябры не могу понять как убрать

Соответственно - в логе error апача после этого
Scalars leaked: 1
[Thu Oct 25 13:13:37 2012] [notice] Apache/2.2.22 (Win32) mod_auth_sspi/1.0.4 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.12.3 configured -- resuming normal operations
[Thu Oct 25 13:13:37 2012] [notice] Server built: Jan 28 2012 11:16:39
[Thu Oct 25 13:13:37 2012] [notice] Parent: Created child process 4004
Scalars leaked: 1
Scalars leaked: 1
Scalars leaked: 1
[Thu Oct 25 13:13:40 2012] [notice] Child 4004: Child process is running
[Thu Oct 25 13:13:40 2012] [notice] Child 4004: Acquired the start mutex.
[Thu Oct 25 13:13:40 2012] [notice] Child 4004: Starting 64 worker threads.
[Thu Oct 25 13:13:40 2012] [notice] Child 4004: Starting thread to listen on port 80.
[Thu Oct 25 13:13:42 2012] -e: Wide character in print at C:/OTRS/OTRS//Kernel/Output/HTML/Layout.pm line 1643.
ERROR: OTRS-CGI-10 Perl: 5.12.3 OS: MSWin32 Time: Thu Oct 25 13:13:45 2012

Message: No such user 'шеф'!

Traceback (4004):
Module: Kernel::System::CustomerUser::SetPreferences (v1.63.2.1) Line: 506
Module: Kernel::System::CustomerAuth::Auth (v1.36) Line: 155
Module: Kernel::System::Web::InterfaceCustomer::Run (v1.63) Line: 206
Module: ModPerl::ROOT::ModPerl::Registry::C_3a_OTRS_OTRS_bin_cgi_2dbin_customer_2epl::handler (unknown version) Line: 46
Module: (eval) (v1.44) Line: 204
Module: ModPerl::RegistryCooker::run (v1.44) Line: 204
Module: ModPerl::RegistryCooker::default_handler (v1.44) Line: 170
Module: ModPerl::Registry::handler (v1.99) Line: 31


Если не трудно посмотрите, что у вас в логе access апача когда клиент с русским именем входит.
И если не трудно - версии mod_auth_sspi и сервер 2003 - русский ли и сервис-паки установлены ?
Можно в личку.

[Romano]

Мои логи апача вам не помогут, вынь сервер - англ.
Я не устанавливал mod_auth_sspi-1.0.4-2.2.2 т.к. сквозная авторизация меня не интересует, наоборот - мне нужно, чтобы пользователи всегда вводили свой логин\пароль. Вообще, как мне наши админы говорили, это плохая практика - создавать учетки (именно логины) на русском языке. У нас все учетки только на англ. языке и никак иначе.

Конфиг уже не нужен, спасибо

А вот тут, как я считаю, можно попробовать поиграться с самой кодировкой:

Код: Выделить всё

$Self->{'Customer::AuthModule::LDAP::Charset'} = 'utf-8';
 $Self->{'Customer::AuthModule::LDAP::SourceCharset'} = 'utf-8';
 $Self->{'Customer::AuthModule::LDAP::DestCharset'} = 'utf-8';

Т.е. пробовать допустим win-1251 и т.п. И пожалуй, только SourceCharset и DestCharset
Может на офф форуме есть ответы...
http://forums.otterhub.org

тут что то про кодировку упоминается... http://forums.otterhub.org/viewtopic.php?f=111&t=9991

[a.alexey]

Что реализовано - агенты и клиенты аутентифицируются через LDAP, с этим все нормально, кому интересно могу положить рабочий конфиг.
Для удобства клиентов (чтобы не вводить пароль каждый раз) сделана сквозная аутентификация, mod_auth_sspi-1.0.4-2.2.2.
Тоже работает. Но только если имя входа пользователя - английскими буквами, русскими не берет ни в какую.
Заранее спасибо.

Милый человек, будь добр, выложи конфиги. Синхронизацию с LDAP запилил, а вот со сквозной аутентификацией помучился изрядно, но ни чего не получилось.

[merkushov]

Попробуйте копать в сторону кодировки Апача. Должна быть utf8 У вас скорее всего какая-нибудь ISO по дефолту

[capitannemo]

Как и водится помогли больше добрым словом
Все равно всем спасибо.
За праздники допроверяю и напишу подробный мануал.

[capitannemo]

http://habrahabr.ru/sandbox/51019/

полная инструкция с картинками

[regsterr]

Заменил свои конфиги из манула, в итоге почему-то при запуске страницы OTRS, браузер сразу спрашивает имя и пароль. При вводе верного открывается страница OTRS, ввели неверный Апач сообщает Доступ закрыт.
Аналогично с whoami.pl

[capitannemo]

В IE - узел должен быть в Местная интрасеть, иначе он сам пароли не отправит.
Определяется с этим IE самостоятельно, остальные браузеры - нужно гуглить.