Доброго дня коллеги.
Кто нибудь пробовал настроить интеграцию OTRS на уровне групп Active Directory, так, чтобы выдача доступов к очередям выдавались полностью через AD и вообще это возможно?
Предполагаю, что такое возможно, для каждой очереди завести группу, связать с группой OTRS и ограничивать доступы к очередям на уровне ACL.
Радиант, поделитесь опытом.
Интергация с AD на уровне выдачи доступа к очередям.
Модератор: ykolesnikov
-
- OTRS Гуру
- Сообщения: 3119
- Зарегистрирован: 24 дек 2010, 09:27
- Откуда: Череповец
- Благодарил (а): 4 раза
- Поблагодарили: 5 раз
- Контактная информация:
Re: Интергация с AD на уровне выдачи доступа к очередям.
А эта статья Вас не устроит?
http://vmkh.net/integratsiya-otrs-s-active-directory/
viewtopic.php?f=4&t=2690
Если будете внимательно читать, найдете ответ и на свой вопрос.
http://vmkh.net/integratsiya-otrs-s-active-directory/
viewtopic.php?f=4&t=2690
Если будете внимательно читать, найдете ответ и на свой вопрос.
С уважением Юрий Колесников
OTRS 5.0.22, ITSM 5.0.22
OpenSuse 13.2, MariaDB 10.0.22
OTRS 5.0.22, ITSM 5.0.22 тестовая
OTRS 5.0.22, ITSM 5.0.22
OpenSuse 13.2, MariaDB 10.0.22
OTRS 5.0.22, ITSM 5.0.22 тестовая
-
- OTRS Гуру
- Сообщения: 5192
- Зарегистрирован: 20 сен 2010, 18:17
- Откуда: Москва
- Благодарил (а): 92 раза
- Поблагодарили: 82 раза
Re: Интергация с AD на уровне выдачи доступа к очередям.
Мануал читайте стандартный - http://otrs.github.io/doc/manual/admin/ ... h-backends
Там же есть отсылка на примеры в Defaults.pm. И там же всё есть про синхронизацию групп
Там же есть отсылка на примеры в Defaults.pm. И там же всё есть про синхронизацию групп
Код: Выделить всё
AuthSyncModule::LDAP::UserSyncGroupsDefinition
Вообще-то доступ к очередям ограничивается группами. ACL тут избыточны. Хотя для некоторых сценариев работы это может потребоваться.tyesman писал(а):ограничивать доступы к очередям на уровне ACL
С уважением,
Алексей Юсов
Prod: OTRS CE ITSM 6.0.28 on CentOS 7 Apache 2.4 MariaDB 10.4.13 + Radiant Customer Portal
Radiant System OTRS Intergrator RU
Группа OTRS Community в Teleram
Хотите внедрить OTRS? Спросите меня как!
Алексей Юсов
Prod: OTRS CE ITSM 6.0.28 on CentOS 7 Apache 2.4 MariaDB 10.4.13 + Radiant Customer Portal
Radiant System OTRS Intergrator RU
Группа OTRS Community в Teleram
Хотите внедрить OTRS? Спросите меня как!
Re: Интергация с AD на уровне выдачи доступа к очередям.
Разбираюсь с логикой механизма синхронизации групп/ролей LDAP с OTRS, именно LDAP > OTRS.
В мануале http://otrs.github.io/doc/manual/admin/ ... h-backends предлагается такая конструкция:
Где:
агент с логином agent при авторизации получит доступы в группу admin (rw-да,ro-да), группу faq (rw-нет,ro-да).
агент с логином agent2 при авторизации получит доступы в группу users (rw-да, ro-да).
Вроде бы все понятно. Всего 2 агента, для них не сложно прописать в конфиге 10-15 строчек.
Как быть если агентов 300+ человек, и групп 200-250+?
И доступы необходимо обновлять ежедневно на основании групп LDAP, без необходимости править конфиг OTRS.
С ролями и аттрибутами LDAP ситуация примерно похожая - необходимо все варианты отразить в конфиге.
С ролями должно быть проще, но опять же для 250+ очередей необходимо завести роли и прописать в конфиге.
Здесь показан пример, при котором назначение группы выдается на основании аттрибута LDAP.
Снова надо перечислить все возможные аттрибуты LDAP и назначение доступов для групп.
Вопросы:
1) в OTRS 4+ из админки можно настроить правила синхронизации с LDAP (примерно так как правятся ACL)?
2) есть ли альтернативный (платный модуль?) способ настройки синхронизации групп/ролей LDAP с OTRS без необходимости править Defaults.pm/других_конфигов из консоли сервера?
Задача простая, передать выдачу доступов в OTRS в первую линию тех. поддержки без необходимости ходить в интерфейс OTRS и дергать сисадминов.
В мануале http://otrs.github.io/doc/manual/admin/ ... h-backends предлагается такая конструкция:
Код: Выделить всё
$Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
# your ldap group
'cn=agent,o=otrs' => {
# otrs group(s)
'admin' => {
# permission
rw => 1,
ro => 1,
},
'faq' => {
rw => 0,
ro => 1,
},
},
'cn=agent2,o=otrs' => {
'users' => {
rw => 1,
ro => 1,
},
}
};
агент с логином agent при авторизации получит доступы в группу admin (rw-да,ro-да), группу faq (rw-нет,ro-да).
агент с логином agent2 при авторизации получит доступы в группу users (rw-да, ro-да).
Вроде бы все понятно. Всего 2 агента, для них не сложно прописать в конфиге 10-15 строчек.
Как быть если агентов 300+ человек, и групп 200-250+?
И доступы необходимо обновлять ежедневно на основании групп LDAP, без необходимости править конфиг OTRS.
С ролями и аттрибутами LDAP ситуация примерно похожая - необходимо все варианты отразить в конфиге.
С ролями должно быть проще, но опять же для 250+ очередей необходимо завести роли и прописать в конфиге.
Здесь показан пример, при котором назначение группы выдается на основании аттрибута LDAP.
Код: Выделить всё
# $Self->{'AuthSyncModule::LDAP::UserSyncAttributeGroupsDefinition'} = {
# # ldap attribute
# 'LDAPAttribute' => {
# # ldap attribute value
# 'LDAPAttributeValue1' => {
# # otrs group
# 'admin' => {
# # permission
# rw => 1,
# ro => 1,
# },
# 'faq' => {
# rw => 0,
# ro => 1,
# },
# },
# },
# 'LDAPAttribute2' => {
# 'LDAPAttributeValue' => {
# 'users' => {
# rw => 1,
# ro => 1,
# },
# },
# }
# };
Вопросы:
1) в OTRS 4+ из админки можно настроить правила синхронизации с LDAP (примерно так как правятся ACL)?
2) есть ли альтернативный (платный модуль?) способ настройки синхронизации групп/ролей LDAP с OTRS без необходимости править Defaults.pm/других_конфигов из консоли сервера?
Задача простая, передать выдачу доступов в OTRS в первую линию тех. поддержки без необходимости ходить в интерфейс OTRS и дергать сисадминов.