Аутентификация LDAP в OTRS

[azathoth]

Добрый день!

Пытаюсь связать AD и OTRS,
OTRS последней версии 3.05 установлен на сервере с FreeBSD 8.1, далее я установил модуль Net::LDAP и попытался с помощью мануала, файла Defaults.pm и отличной темы на данном форуме прикрутить LDAP к OTRS, добавил в Config.pm следующее:

Код: Выделить всё

# This is an example configuration for an LDAP auth. backend.
    # (take care that Net::LDAP is installed!)
     $Self->{AuthModule} = 'Kernel::System::Auth::LDAP';
     $Self->{'AuthModule::LDAP::Host'} = '192.168.33.11';
     $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=petersburg,dc=fea,dc=local';
    # userPrincipalName - user@UPNSuffix (ivanov@contoso.lan)
    # sAMAccountName - DOMAIN\User (CONTOSO\Ivanov)
     $Self->{'AuthModule::LDAP::UID'} = 'userPrincipalName';


    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group xyz to use otrs)
     $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=acc.OTRS.Agents,ou=FeaUsers,dc=fea,dc=local';
     $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    # for ldap posixGroups objectclass (just uid)                  
     $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

     $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'CN=admin,OU=FeaUsers,DC=fea,DC=local';
     $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = '******';

$Self->{'AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};

Имя контроллера домена petersburg.fea.local, соответственно {'AuthModule::LDAP::Host'} пробовал и $Self->{'AuthModule::LDAP::Host'} = '192.168.33.11'; и $Self->{'AuthModule::LDAP::Host'} = 'petersburg.fea.local';
В AD создал пользователя otrsadmin@fea.local и группу acc.OTRS.Agents, добавил otrsadmin@fea.local и еще пару пользователей в новую группу
В результате при попытке входа выдает "Ошибка идентификации! Указано неправильное имя или пароль! ", в папке /usr/local/otrs/var/log/ при этом есть только один лог-файл "TicketCounter.log", который естественно абсолютно безполезен в данном случае.
Пожалуйста, подскажите мне в первую очередь где какие-нить еще логи OTRS найти или где подправить настройки, чтобы они писались, ну и по возможности подскажите, что я делаю не так
Заранее спасибо!

[alexus]

Почитайте тут

[azathoth]

Спасибо! Все еще раз внимательно прочитал и проверил, в результате оказалось что я таки запутался в CN и OU + русские символы кое-где...

[alexus]

Да, надо быть очень внимательным с параметрами LDAP! Одна неверная буква и привет!

[nevasil]

У меня похожая ситуация. Только хочу чтобы клиенты авторизовывались по LDAP. Никакие шаманства не помогают.

Сервер FreeBSD 8.0, OTRS 3.05

Код: Выделить всё

    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'dc.my.lan.ru';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=my,dc=lan,dc=ru';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=ServiceInternet,ou=Groups,dc=my,dc=lan,dc=ru';
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';

    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    $Self->{'AuthModule::LDAP::SearchUserDN'} = 'cn=otrsldap,ou=Users,dc=my,dc=lan,dc=ru';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = 'password';

    $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';
    $Self->{'AuthModule::LDAP::UserSuffix'} = '';

    $Self->{'AuthModule::LDAP::Params'} = {
        port    => 389,
        timeout => 120,
        async   => 0,
        version => 3,
    };

    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'dc.my.lan.ru';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=my,dc=lan,dc=ru';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';

    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=otrsldap,ou=Users,dc=my,dc=lan,dc=ru';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'password';

    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };

Прописывал в настройках Framework -> Frontend::Customer::Auth и в файле /Kernel/Config/Defaults.pm
Никакого эффекта. В логах файл otrs.log не появляется, контроллер домена обращений не регистрирует.

Возможно файл Defaults.pm не играет роли, но тогда где прописывать настройки для AuthSyncModule?
Подскажите, может что-то пропустил или не допонял?

[nevasil]

Спасибо! Все еще раз внимательно прочитал и проверил, в результате оказалось что я таки запутался в CN и OU + русские символы кое-где...

А в чем конкретно у вас была ошибка в CN и OU? Я не заметил противоречий мануалу. Так как у меня схожая проблема - был бы благодарен за совет.

[bloodice]

По проблеме ничего не скажу, но файл Defaults.pm трогать нельзя, изменения нужно вносить в Config.pm уровнем выше.

[nevasil]

По проблеме ничего не скажу, но файл Defaults.pm трогать нельзя, изменения нужно вносить в Config.pm уровнем выше.

Сбросил настройки на дефолтные. Прописал всё в Config.pm. Захожу в настройки Frontend::Customer::Auth и вижу что они как были дефолтные так и остались. Как прочитать настройки из Config.pm?

[nevasil]

Как показали эксперименты, то если в строке
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=otrsldap,ou=Users,dc=my,dc=lan,dc=ru';
прописать пользователя в формате otrsldap@my.lan.ru, то всё начинает работать, но как создать учётку в БД OTRS на основе AD - не ясно. Настройки модуля AuthSyncModule в веб-интерфейсе отсутствуют, а внесения изменений в Config.pm результата не даёт. Может кто подскажет как заставить OTRS прочитать настройки из Config.pm?

[alexus]

Смотрите документацию про множественные DB агентов и клиентов. Но ИМХО лучше так не делать. Либо AD, либо OTRS DB - так будет прозрачнее.

[ykolesnikov]

Добрый день, коллеги!

Как показали эксперименты, то если в строке
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'cn=otrsldap,ou=Users,dc=my,dc=lan,dc=ru';
прописать пользователя в формате otrsldap@my.lan.ru, то всё начинает работать, но как создать учётку в БД OTRS на основе AD - не ясно. Настройки модуля AuthSyncModule в веб-интерфейсе отсутствуют, а внесения изменений в Config.pm результата не даёт. Может кто подскажет как заставить OTRS прочитать настройки из Config.pm?

Как-то тема оборвалась и неясно, то ли всем все понятно, то ли вопросы остались.
Меня интересует в первую очередь создание и аутентификация клиентов через AD, во вторую - агентов (их просто значительно меньше).
Все ссылки показывают некие правки в модулях, а для начала хотелось бы получить, по возможности, ответы на вопросы:
1. Можно ли и как создать клиентов из AD?
2. Как при этом установить связи, которые создаются в АдминКонфиге в разделе Клиенты<-->Группы, или после создания клиентов их надо прописать вручную?
3. Как физически происходит создание клиентов - запуском некоей процедуры синхронизации, после настройки конфигурации? Или автоматически после перезапуска системы (или ее элементов)?
К сожалению, чтение Админского руководства ясности не вносит, там сразу быка за рога и вперед.
Буду очень благодарен за ответ
4. Про агентов, понял только, что их надо сначала записать в отдельную группу (где? в AD или OTRS?)

[Malcom]

1. Можно, нужно настроить Customer backend и соответствующие клиенты появятся.
3. Клиенты появляются сразу после сохранения Config.pm.
4. Если хочешь, чтобы агенты аутенфицировались по LDAP, то группу агентов надо назначить в AD.
Вообще, вот тут всё понятно описано.
viewtopic.php?f=2&t=423

[ykolesnikov]

Спасибо за быстрый ответ!
А по второму вопросу есть что сказать?

[Malcom]

В Конфигурации Системы можно назначить Клиентам группу по умолчанию, в Клиенты<->Ггруппы дополнительно задаются принадлежность к другим группам, если я не ошибаюсь.

[ykolesnikov]

В приведенной выше ссылке, есть пример кода Config.pm.
Вопросы:
1. Я правильно понимаю, что он относится к аутентификации и агентов и клиентов?
2. Включение и настройка аутентификации клиентов через LDAP производится через Fronend::Customer::Auth, а в Config.pm настраивается маппинг атрибутов. А где включается аутентификация Агентов?

[alexus]

Тоже в Congig.pm. Только другой раздел. Я тут выложил пример рабочего конфига viewtopic.php?f=2&t=423

[ykolesnikov]

О.К., спасибо всем!
Просветлело

[LookManOff]

Всем привет!
Прочитал весь форум, но что-то все равно у меня не проходит аутетификация по LDAP в OTRS 3.0.8, система CentOS
вот что у меня шас написано в файле config.pm

Код: Выделить всё

package Kernel::Config;

sub Load {
    my $Self = shift;
    $Self->{'DatabaseHost'} = 'localhost';
    $Self->{'Database'} = 'otrs';
    $Self->{'DatabaseUser'} = 'otrs';
    $Self->{'DatabasePw'} = 'otrs';
    $Self->{DatabaseDSN} = "DBI:mysql:database=$Self->{Database};host=$Self->{DatabaseHost};";
    $Self->{Home} = '/opt/otrs';
    $Self->{'DefaultCharset'} = 'utf-8';

}

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'xxx.xxxx.local';
$Self->{'AuthModule::LDAP::BaseDN'} = 'CN=xxx,OU=Domain Controllers,DC=xxxx,DC=local';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=otrs,OU=IT,DC=xxxx,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=otrsadmin,OU=IT,DC=xxxx,DC=local';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'xxxxxx';
$Self->{'AuthModule::LDAP::Params'} = {
    port => 389,
    timeout => 120,
    async => 0,
    version => 3,
};

$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = 'ldap://xxx.xxxx.local/';
$Self->{'AuthSyncModule::LDAP::BaseDN'} ='CN=xxx,OU=Domain Controllers,DC=xxxx,DC=local';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'CN=otrsadmin,OU=IT,DC=xxxx,DC=local';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'xxxxxx';

[LookManOff]

вторая часть...

Код: Выделить всё

$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
 UserFirstname => 'givenName',
 UserLastname => 'sn',
 UserEmail => 'mail',
 };

use strict;
use warnings;

use vars qw(@ISA $VERSION);
$VERSION = qw($Revision: 1.23 $)[1];

use Kernel::Config::Defaults;
push (@ISA, 'Kernel::Config::Defaults');
1;

подскажите кто знает, что тут не так...
и нужно ли в настройках через вебв администрировании в настройках Frontend::Customer::Auth что то менять или достаточно в файле офигурации все прописать?

[LookManOff]

вроде разобрался... Агенты входят нормально, а вот кастомерсы не хотят и вот что пишется в логах

Код: Выделить всё

Mon Jul 4 13:45:47 2011	notice	OTRS-CGI-10	CustomerUser: 111 (CN=111,OU=test,DC=ukcm,DC=local) authentication failed: '80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 773, v1772

я так понял, что это из-за UTF8, но, в ВТ нету русских символов.Правда Windows Server 2008 standart русский...
Кто нибуть сталкивался с такой проблемой?

[photo&gsm]

Доброго времени суток всем! Аутентификация по LDAP в общем-то проблем не вызвала, но есть один вопрос: при создании пользователя (AuthSyncModule) возникает ошибка, связанная с тем, что у меня в каталоге LDAP нет атрибута "mail", который является обязательным для OTRS при создании пользователя. Возможности добавить атрибут "mail" в каталог LDAP пока не вижу, так как основной ojectClass у пользователя - "account", который как известно не имеет такого атрибута. Как быть? Возможно ли как-то отключить в OTRS обязательность этого поля при создании пользователя? Заранее спасибо.
P.S. OTRS и LDAP установлены на FreeBSD 8.2

[alexey]

Добрый день.

Небольшая проблема, синхронизируется все отлично.
Сделал аутентификацию для агентов в локальной DB, а пользователей подтягиваю из LDAP-каталога.
Вот только на данный момент АД построена так, что в одном юните находятся и пользователи и группы.
хочу фильтровать по наличию почты, если у кого нет почты в АД, то и добавлять не надо.
Но синхронизируются все равно группы.

Настройка синхронизации:

Код: Выделить всё

    $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
    $Self->{'Customer::AuthModule::LDAP::Host'} ='dc1.ru.ad.domain.com';
    $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'OU=DOMAIN-RU,DC=ru,DC=ad,DC=domain,DC=com';
    $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'CN=Admin HelpDesk,OU=Service Accounts,OU=IT,OU=DOMAIN-RU,DC=ru,DC=ad,DC=domain,DC=com';
    $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'helpdeskpassword';
    $Self->{'Customer::AuthModule::LDAP::AlwaysFilter'} = '(mail=*)';
    $Self->{CustomerUser} = {
     Module => 'Kernel::System::CustomerUser::LDAP',
     Params => {
      Host => 'dc1.ru.ad.domain.com',
      BaseDN => 'OU=DOMAIN-RU,DC=ru,DC=ad,DC=domain,DC=com',
      SSCOPE => 'sub',
      UserDN => 'CN=Admin HelpDesk,OU=Service Accounts,OU=IT,OU=DOMAIN-RU,DC=ru,DC=ad,DC=domain,DC=com',
      UserPw => 'helpdeskpassword',
    },
    CustomerKey => 'sAMAccountName',
    CustomerID => 'mail',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
      [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
      [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
      [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
      [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
      [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
    ],
  };

какой фильтр добавить, чтобы он добавлял в систему только учетки с электронной почтой?

P.S.: не прокатит такой вариант $Self->{'Customer::AuthModule::LDAP::AlwaysFilter'} = '(mail=*@domain.com)';
По шаблону или как то так?