Реализация отдельного сервера SSO.

Обсуждение вопросов и решений

Модератор: ykolesnikov

Ответить
alexey
OTRS Новобранец
Сообщения: 48
Зарегистрирован: 21 янв 2015, 16:00

Реализация отдельного сервера SSO.

Сообщение alexey » 11 мар 2015, 08:27

Доброго времени суток коллеги.
(Прошу прощения, что здесь создал не совсем уместную тему, но для обсуждения думаю можно оставить.)

На форуме много тем с вопросами о настройке и проблемах сквозной доменной авторизации.
Но все настройки делаются на одном сервере вместе с OTRS, но кто то задавался вопросом поднять отдельный сервер SSO, который будет авторизовывать несколько сервисов компании.
Сервер OTRS'а, веб-сайт компании, корпоративный портал, и т.д.

Есть кто то, кто сталкивался с данным вопросом и сделал такое. Просто хочется услышать мнение, чем хорош такой вариант авторизации, какие плюсы и минусы?
Стоит ли заморачиваться насчёт единого сервера SSO или если хочу доменную аутентификацию, то надо настраивать каждый сервер отдельно?

Выложу скриншот, чтобы наглядно было более понятно, о чём идёт речь.
Изображение
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6

ssv
OTRS Новобранец
Сообщения: 34
Зарегистрирован: 06 фев 2015, 19:25

Re: Реализация отдельного сервера SSO.

Сообщение ssv » 11 мар 2015, 09:18

плюсов не видно, минус - лишняя прослойка.
OTRS 5
Debian 8 + MySQL 5.5 + APACHE 2.2

alexey
OTRS Новобранец
Сообщения: 48
Зарегистрирован: 21 янв 2015, 16:00

Re: Реализация отдельного сервера SSO.

Сообщение alexey » 11 мар 2015, 09:44

Но ведь этот сервер настроил, и потом только добавить ссылки входа/выхода.
А так приходится каждый сервер настраивать на безопасное соединение через керберос с ldap-каталогом, а тут данное соединение настроено уже у одного сервера и он только будет проверять и соединятся с контроллером.
Мне кажется, может есть резон его поднимать?

На данный момент есть два варианта такого сервера Jasig CAS и JOSSO.
Первый вариант более распространён и есть куда развиватся, а второй тоже ничего, удобный такой GUI-интерфейс, но он не очень понравился.
Или всё таки не заниматься ерундой и настраивать каждый сервер отдельный на сквозную доменную аутентификацию?
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6

alexus
OTRS Гуру
Сообщения: 5192
Зарегистрирован: 20 сен 2010, 18:17
Откуда: Москва
Благодарил (а): 92 раза
Поблагодарили: 82 раза

Re: Реализация отдельного сервера SSO.

Сообщение alexus » 11 мар 2015, 11:28

При большом количестве разнородных ресурсов, требующих SSO, возможно это имеет смысл.
С уважением,
Алексей Юсов

Prod: OTRS CE ITSM 6.0.28 on CentOS 7 Apache 2.4 MariaDB 10.4.13 + Radiant Customer Portal

Radiant System OTRS Intergrator RU
Группа OTRS Community в Teleram
Хотите внедрить OTRS? Спросите меня как!

ykolesnikov
OTRS Гуру
Сообщения: 3119
Зарегистрирован: 24 дек 2010, 09:27
Откуда: Череповец
Благодарил (а): 4 раза
Поблагодарили: 5 раз
Контактная информация:

Re: Реализация отдельного сервера SSO.

Сообщение ykolesnikov » 11 мар 2015, 11:54

Поддерживаю Алексея. В крупной компании с большим количеством разнородных систем это облегчает управление системой в целом и удобство юзерам. Админов и так развелось больше чем нужно и уменьшение точек администрирования увеличит надежность системы.
С уважением Юрий Колесников
OTRS 5.0.22, ITSM 5.0.22
OpenSuse 13.2, MariaDB 10.0.22
OTRS 5.0.22, ITSM 5.0.22 тестовая

vxb
OTRS Новобранец
Сообщения: 53
Зарегистрирован: 23 фев 2015, 13:16

Re: Реализация отдельного сервера SSO.

Сообщение vxb » 11 мар 2015, 13:29

"уменьшение точек администрирования" уменьшает надёжность системы, так как добавляет зависимость от дополнительного сервера/сервиса, работающего на нём
debian 7 / postgresql / otrs 4.0.6

princeps
OTRS Новобранец
Сообщения: 30
Зарегистрирован: 19 окт 2012, 08:16

Re: Реализация отдельного сервера SSO.

Сообщение princeps » 25 июн 2015, 17:27

А OTRS поддерживает CAS?
SSO полезен в любом случае, зачем заставлять пользователя по сто раз вводить пароли, даже если они и одинаковые?

alexey
OTRS Новобранец
Сообщения: 48
Зарегистрирован: 21 янв 2015, 16:00

Re: Реализация отдельного сервера SSO.

Сообщение alexey » 26 июн 2015, 08:59

Насчёт поддержки cas не подскажу, но думаю настроить не сложно будет аутентификацию на cas-server.
В otrs можно выбрать нужные параметры в Config.pm

Код: Выделить всё

$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';
$Self->{CustomerPanelLoginURL} = 'http://sso.domain.local/cas/login';
$Self->{CustomerPanelLogoutURL} = 'http://sso.domain.local/cas/logout';
Можно попробовать вот такую аутентификацию, если вариант сработает или какие то изменения будут, напишите чтоб мы тоже узнали об этом.
Я точно не уверен, я хочу поднять sso-сервер как раз на CAS, но руки не доходят подробно раскурить его.
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6

princeps
OTRS Новобранец
Сообщения: 30
Зарегистрирован: 19 окт 2012, 08:16

Re: Реализация отдельного сервера SSO.

Сообщение princeps » 26 июн 2015, 10:25

Ага, спасибо. Попробую, вероятно, на следующей неделе. Я тут поискал, в CAS может авторизоваться апач и есть ещё какой-то модуль для перла. Интересно, можно это как-то прикрутить к ОТРС?

alexey
OTRS Новобранец
Сообщения: 48
Зарегистрирован: 21 янв 2015, 16:00

Re: Реализация отдельного сервера SSO.

Сообщение alexey » 26 июн 2015, 17:35

Да, ОТРС как раз берёт данные пользователя у апача.
Буду благодарен, если получиться написать инструкцию как вы делали и приложить готовые конфиги. Если не сложно.
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6

princeps
OTRS Новобранец
Сообщения: 30
Зарегистрирован: 19 окт 2012, 08:16

Re: Реализация отдельного сервера SSO.

Сообщение princeps » 16 июл 2015, 10:48

В общем, пока что вырисовывается следующая схема:
Использую CAS-сервер OpenAM. Он состоит из собственно сервера с бэкендом пользователей в собственном LDAP-сервере openDJ и агента, который ставится модулем в апач, через который работает OTRS. Технология такая: при запросе страницы с апача агент перехватывает соединение и редиректит на сервер OpenAM, который показывает свою собственную страницу авторизации. Вводишь там логин-пароль из лдапа, после чего сервер отдаёт тебе куки для этого домена и отправляет обратно на otrs. Поскольку куки уже есть, otrs по идее, должен считать пользователя аутентифицировавшимся (для этого надо настроить бэкенд юзеров в otrs тоже на этот openDJ).
Если я всё правильно понял, так оно должно работать. У меня пока не получилось сделать - агент openAM куда надо редиректит, но otrs потом отказывается считать меня аутентифицировавшимся и показывает свою страницу авторизации. Буду разбираться дальше, если что получится - отпишусь.

princeps
OTRS Новобранец
Сообщения: 30
Зарегистрирован: 19 окт 2012, 08:16

Re: Реализация отдельного сервера SSO.

Сообщение princeps » 22 июл 2015, 13:49

Так, я окончательно разобрался. Если указать HTTPBasicAuth, то ОТРС нормально аутентифицирует после OpenAM. Логаут только у меня пока как надо не работает, но это мелочи уже.
alexey, более подробную инструкцию надо или достаточно инфы?

alexey
OTRS Новобранец
Сообщения: 48
Зарегистрирован: 21 янв 2015, 16:00

Re: Реализация отдельного сервера SSO.

Сообщение alexey » 09 дек 2015, 08:48

princeps, спасибо большое. Мне хватит информации, я сам люблю разбираться в чем то.
Я как то остановился в CAS-сервере, работы много. и правда уже руководство хочет на службе ADFS поднять единый сервер авторизации, но я все равно CAS попробую реализовать.
Не знаю, если кому нужна инструкция, можешь написать.
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6

Ответить