Сквозная аутентификация в AD через NTLM модуль (SSO)

Только для готовых решений! Пожалуйста, не используйте для вопросов и обсуждений!

Модератор: ykolesnikov

Ответить
sith
OTRS Новобранец
Сообщения: 10
Зарегистрирован: 14 фев 2012, 15:44

Сквозная аутентификация в AD через NTLM модуль (SSO)

Сообщение sith » 14 мар 2012, 16:45

Как делал я
аутентификация посредством NTLM
поставить эти пакеты
apt-get install libapache2-mod-auth-kerb libapache2-authenntlm-perl (для галочки, одна библиотека это авторизация через керберос, другая - другой модуль ntlm)
нужен настроенный samba, winbind и krb5.conf, соответственно otrs сервер должен быть включен в домен, в днс домена должны быть соотвествующие записи (A, PTR), время на сервере otrs должно быть синхронизированно с доменом, контроллеры домена прописаны в /etc/hosts

Собираем mod_auth_ntlm_winbind из исходников:
apt-get install git-core
git clone git://git.samba.org/jerry/mod_auth_ntlm_winbind.git
cd mod_auth_ntlm_winbind
aptitude install -y apache2-prefork-dev
apxs2 -DAPACHE2 -c -i mod_auth_ntlm_winbind.c
Устанавливаем модуль:
echo "LoadModule auth_ntlm_winbind_module /usr/lib/apache2/modules/mod_auth_ntlm_winbind.so" > /etc/apache2/mods-available/auth_ntlm_winbind.load

Включаем модуль:
a2enmod auth_ntlm_winbind

В /etc/apache2/conf.d/otrs.conf добавляем
Код: выделить все
NTLMAuth on
AuthType NTLM
AuthName "NTLM Authentication"
NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"
NTLMBasicAuthoritative on
require valid-user

Добавить в Config.pm (сквозная аутентификация для кустомеров)
Код: выделить все
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';
$Self->{CustomerPanelLoginURL} = 'http://otrs.domain.local/otrs/customer.pl';
$Self->{CustomerPanelLogoutURL} = 'http://otrs.domain.local/otrs/customer.pl';

Выставить доступ для апача на /var/run/samba/winbind_priveleged
chmod 777 /var/run/samba/winbind_priveleged
usermod -G winbindd_priv www-data
перезапустить апач

проверить чтобы в браузере хост otrs был добавлен в доверенные узлы

если не работает, проверьте как отрабатывают команды wbinfo -t wbinfo -u
скорее всего дело в конфигах самбы и/или krb5
если нужны конфиги smb.conf, krb5.conf и nsswitch.conf - маякните.
Вариант через kerberos keytab файл мне кажется более интересным, но руки попробовать его пока не дошли.

bse
OTRS Новобранец
Сообщения: 13
Зарегистрирован: 07 сен 2012, 11:19

Re: Сквозная аутентификация в AD через NTLM модуль (SSO)

Сообщение bse » 01 ноя 2012, 06:52

Если можно, то поподробней пожалуйста
OTRS 3.1.9 Debian

bse
OTRS Новобранец
Сообщения: 13
Зарегистрирован: 07 сен 2012, 11:19

Re: Сквозная аутентификация в AD через NTLM модуль (SSO)

Сообщение bse » 07 ноя 2012, 09:34

можно ваши конфиги smb и krb ?
OTRS 3.1.9 Debian

bse
OTRS Новобранец
Сообщения: 13
Зарегистрирован: 07 сен 2012, 11:19

Re: Сквозная аутентификация в AD через NTLM модуль (SSO)

Сообщение bse » 07 ноя 2012, 14:07

wbinfo -g ничего не выводит
wbinfo -u выводило только nobody
получилось добавить туда otrs

параллельно пробую сделать через керберос, дошел почти до конца
OTRS 3.1.9 Debian

bse
OTRS Новобранец
Сообщения: 13
Зарегистрирован: 07 сен 2012, 11:19

Re: Сквозная аутентификация в AD через NTLM модуль (SSO)

Сообщение bse » 08 ноя 2012, 07:38

Сделал заного
теперь wbinfo -u и wbinfo -g wbinfo -t все отрабатывает
OTRS 3.1.9 Debian

Anhel
OTRS Новобранец
Сообщения: 5
Зарегистрирован: 03 окт 2012, 10:56

Re: Сквозная аутентификация в AD через NTLM модуль (SSO)

Сообщение Anhel » 20 ноя 2012, 15:33

А можете выложить свои конфиги
/opt/otrs/Kernel/Config.pm
/etc/apache2/conf.s/otrs.conf
... smb и krb
?

kaiser.ego
OTRS Новобранец
Сообщения: 7
Зарегистрирован: 08 апр 2013, 08:28

Re: Сквозная аутентификация в AD через NTLM модуль (SSO)

Сообщение kaiser.ego » 08 апр 2013, 08:53

а можно ли настроить авторизацию, если домен сервер на NT 4.0 а OTRS стоит на машине с winXP?

Ответить