Разбираюсь с логикой механизма синхронизации групп/ролей LDAP с OTRS, именно LDAP > OTRS.
В мануале
http://otrs.github.io/doc/manual/admin/ ... h-backends предлагается такая конструкция:
Код: Выделить всё
$Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
# your ldap group
'cn=agent,o=otrs' => {
# otrs group(s)
'admin' => {
# permission
rw => 1,
ro => 1,
},
'faq' => {
rw => 0,
ro => 1,
},
},
'cn=agent2,o=otrs' => {
'users' => {
rw => 1,
ro => 1,
},
}
};
Где:
агент с логином agent при авторизации получит доступы в группу admin (rw-да,ro-да), группу faq (rw-нет,ro-да).
агент с логином agent2 при авторизации получит доступы в группу users (rw-да, ro-да).
Вроде бы все понятно. Всего 2 агента, для них не сложно прописать в конфиге 10-15 строчек.
Как быть если агентов 300+ человек, и групп 200-250+?
И доступы необходимо обновлять
ежедневно на основании групп LDAP, без необходимости править конфиг OTRS.
С ролями и аттрибутами LDAP ситуация примерно похожая - необходимо все варианты отразить в конфиге.
С ролями должно быть проще, но опять же для 250+ очередей необходимо завести роли и прописать в конфиге.
Здесь показан пример, при котором назначение группы выдается на основании аттрибута LDAP.
Код: Выделить всё
# $Self->{'AuthSyncModule::LDAP::UserSyncAttributeGroupsDefinition'} = {
# # ldap attribute
# 'LDAPAttribute' => {
# # ldap attribute value
# 'LDAPAttributeValue1' => {
# # otrs group
# 'admin' => {
# # permission
# rw => 1,
# ro => 1,
# },
# 'faq' => {
# rw => 0,
# ro => 1,
# },
# },
# },
# 'LDAPAttribute2' => {
# 'LDAPAttributeValue' => {
# 'users' => {
# rw => 1,
# ro => 1,
# },
# },
# }
# };
Снова надо перечислить все возможные аттрибуты LDAP и назначение доступов для групп.
Вопросы:
1) в OTRS 4+ из админки можно настроить правила синхронизации с LDAP (примерно так как правятся ACL)?
2) есть ли альтернативный (платный модуль?) способ настройки синхронизации групп/ролей LDAP с OTRS без необходимости править Defaults.pm/других_конфигов из консоли сервера?
Задача простая, передать выдачу доступов в OTRS в первую линию тех. поддержки без необходимости ходить в интерфейс OTRS и дергать сисадминов.