Реализация отдельного сервера SSO.
Модератор: ykolesnikov
Реализация отдельного сервера SSO.
Доброго времени суток коллеги.
(Прошу прощения, что здесь создал не совсем уместную тему, но для обсуждения думаю можно оставить.)
На форуме много тем с вопросами о настройке и проблемах сквозной доменной авторизации.
Но все настройки делаются на одном сервере вместе с OTRS, но кто то задавался вопросом поднять отдельный сервер SSO, который будет авторизовывать несколько сервисов компании.
Сервер OTRS'а, веб-сайт компании, корпоративный портал, и т.д.
Есть кто то, кто сталкивался с данным вопросом и сделал такое. Просто хочется услышать мнение, чем хорош такой вариант авторизации, какие плюсы и минусы?
Стоит ли заморачиваться насчёт единого сервера SSO или если хочу доменную аутентификацию, то надо настраивать каждый сервер отдельно?
Выложу скриншот, чтобы наглядно было более понятно, о чём идёт речь.
(Прошу прощения, что здесь создал не совсем уместную тему, но для обсуждения думаю можно оставить.)
На форуме много тем с вопросами о настройке и проблемах сквозной доменной авторизации.
Но все настройки делаются на одном сервере вместе с OTRS, но кто то задавался вопросом поднять отдельный сервер SSO, который будет авторизовывать несколько сервисов компании.
Сервер OTRS'а, веб-сайт компании, корпоративный портал, и т.д.
Есть кто то, кто сталкивался с данным вопросом и сделал такое. Просто хочется услышать мнение, чем хорош такой вариант авторизации, какие плюсы и минусы?
Стоит ли заморачиваться насчёт единого сервера SSO или если хочу доменную аутентификацию, то надо настраивать каждый сервер отдельно?
Выложу скриншот, чтобы наглядно было более понятно, о чём идёт речь.
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6
Re: Реализация отдельного сервера SSO.
плюсов не видно, минус - лишняя прослойка.
OTRS 5
Debian 8 + MySQL 5.5 + APACHE 2.2
Debian 8 + MySQL 5.5 + APACHE 2.2
Re: Реализация отдельного сервера SSO.
Но ведь этот сервер настроил, и потом только добавить ссылки входа/выхода.
А так приходится каждый сервер настраивать на безопасное соединение через керберос с ldap-каталогом, а тут данное соединение настроено уже у одного сервера и он только будет проверять и соединятся с контроллером.
Мне кажется, может есть резон его поднимать?
На данный момент есть два варианта такого сервера Jasig CAS и JOSSO.
Первый вариант более распространён и есть куда развиватся, а второй тоже ничего, удобный такой GUI-интерфейс, но он не очень понравился.
Или всё таки не заниматься ерундой и настраивать каждый сервер отдельный на сквозную доменную аутентификацию?
А так приходится каждый сервер настраивать на безопасное соединение через керберос с ldap-каталогом, а тут данное соединение настроено уже у одного сервера и он только будет проверять и соединятся с контроллером.
Мне кажется, может есть резон его поднимать?
На данный момент есть два варианта такого сервера Jasig CAS и JOSSO.
Первый вариант более распространён и есть куда развиватся, а второй тоже ничего, удобный такой GUI-интерфейс, но он не очень понравился.
Или всё таки не заниматься ерундой и настраивать каждый сервер отдельный на сквозную доменную аутентификацию?
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6
-
- OTRS Гуру
- Сообщения: 5192
- Зарегистрирован: 20 сен 2010, 18:17
- Откуда: Москва
- Благодарил (а): 92 раза
- Поблагодарили: 82 раза
Re: Реализация отдельного сервера SSO.
При большом количестве разнородных ресурсов, требующих SSO, возможно это имеет смысл.
С уважением,
Алексей Юсов
Prod: OTRS CE ITSM 6.0.28 on CentOS 7 Apache 2.4 MariaDB 10.4.13 + Radiant Customer Portal
Radiant System OTRS Intergrator RU
Группа OTRS Community в Teleram
Хотите внедрить OTRS? Спросите меня как!
Алексей Юсов
Prod: OTRS CE ITSM 6.0.28 on CentOS 7 Apache 2.4 MariaDB 10.4.13 + Radiant Customer Portal
Radiant System OTRS Intergrator RU
Группа OTRS Community в Teleram
Хотите внедрить OTRS? Спросите меня как!
-
- OTRS Гуру
- Сообщения: 3119
- Зарегистрирован: 24 дек 2010, 09:27
- Откуда: Череповец
- Благодарил (а): 4 раза
- Поблагодарили: 5 раз
- Контактная информация:
Re: Реализация отдельного сервера SSO.
Поддерживаю Алексея. В крупной компании с большим количеством разнородных систем это облегчает управление системой в целом и удобство юзерам. Админов и так развелось больше чем нужно и уменьшение точек администрирования увеличит надежность системы.
С уважением Юрий Колесников
OTRS 5.0.22, ITSM 5.0.22
OpenSuse 13.2, MariaDB 10.0.22
OTRS 5.0.22, ITSM 5.0.22 тестовая
OTRS 5.0.22, ITSM 5.0.22
OpenSuse 13.2, MariaDB 10.0.22
OTRS 5.0.22, ITSM 5.0.22 тестовая
Re: Реализация отдельного сервера SSO.
"уменьшение точек администрирования" уменьшает надёжность системы, так как добавляет зависимость от дополнительного сервера/сервиса, работающего на нём
debian 7 / postgresql / otrs 4.0.6
Re: Реализация отдельного сервера SSO.
А OTRS поддерживает CAS?
SSO полезен в любом случае, зачем заставлять пользователя по сто раз вводить пароли, даже если они и одинаковые?
SSO полезен в любом случае, зачем заставлять пользователя по сто раз вводить пароли, даже если они и одинаковые?
Re: Реализация отдельного сервера SSO.
Насчёт поддержки cas не подскажу, но думаю настроить не сложно будет аутентификацию на cas-server.
В otrs можно выбрать нужные параметры в Config.pm
Можно попробовать вот такую аутентификацию, если вариант сработает или какие то изменения будут, напишите чтоб мы тоже узнали об этом.
Я точно не уверен, я хочу поднять sso-сервер как раз на CAS, но руки не доходят подробно раскурить его.
В otrs можно выбрать нужные параметры в Config.pm
Код: Выделить всё
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';
$Self->{CustomerPanelLoginURL} = 'http://sso.domain.local/cas/login';
$Self->{CustomerPanelLogoutURL} = 'http://sso.domain.local/cas/logout';
Я точно не уверен, я хочу поднять sso-сервер как раз на CAS, но руки не доходят подробно раскурить его.
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6
Re: Реализация отдельного сервера SSO.
Ага, спасибо. Попробую, вероятно, на следующей неделе. Я тут поискал, в CAS может авторизоваться апач и есть ещё какой-то модуль для перла. Интересно, можно это как-то прикрутить к ОТРС?
Re: Реализация отдельного сервера SSO.
Да, ОТРС как раз берёт данные пользователя у апача.
Буду благодарен, если получиться написать инструкцию как вы делали и приложить готовые конфиги. Если не сложно.
Буду благодарен, если получиться написать инструкцию как вы делали и приложить готовые конфиги. Если не сложно.
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6
Re: Реализация отдельного сервера SSO.
В общем, пока что вырисовывается следующая схема:
Использую CAS-сервер OpenAM. Он состоит из собственно сервера с бэкендом пользователей в собственном LDAP-сервере openDJ и агента, который ставится модулем в апач, через который работает OTRS. Технология такая: при запросе страницы с апача агент перехватывает соединение и редиректит на сервер OpenAM, который показывает свою собственную страницу авторизации. Вводишь там логин-пароль из лдапа, после чего сервер отдаёт тебе куки для этого домена и отправляет обратно на otrs. Поскольку куки уже есть, otrs по идее, должен считать пользователя аутентифицировавшимся (для этого надо настроить бэкенд юзеров в otrs тоже на этот openDJ).
Если я всё правильно понял, так оно должно работать. У меня пока не получилось сделать - агент openAM куда надо редиректит, но otrs потом отказывается считать меня аутентифицировавшимся и показывает свою страницу авторизации. Буду разбираться дальше, если что получится - отпишусь.
Использую CAS-сервер OpenAM. Он состоит из собственно сервера с бэкендом пользователей в собственном LDAP-сервере openDJ и агента, который ставится модулем в апач, через который работает OTRS. Технология такая: при запросе страницы с апача агент перехватывает соединение и редиректит на сервер OpenAM, который показывает свою собственную страницу авторизации. Вводишь там логин-пароль из лдапа, после чего сервер отдаёт тебе куки для этого домена и отправляет обратно на otrs. Поскольку куки уже есть, otrs по идее, должен считать пользователя аутентифицировавшимся (для этого надо настроить бэкенд юзеров в otrs тоже на этот openDJ).
Если я всё правильно понял, так оно должно работать. У меня пока не получилось сделать - агент openAM куда надо редиректит, но otrs потом отказывается считать меня аутентифицировавшимся и показывает свою страницу авторизации. Буду разбираться дальше, если что получится - отпишусь.
Re: Реализация отдельного сервера SSO.
Так, я окончательно разобрался. Если указать HTTPBasicAuth, то ОТРС нормально аутентифицирует после OpenAM. Логаут только у меня пока как надо не работает, но это мелочи уже.
alexey, более подробную инструкцию надо или достаточно инфы?
alexey, более подробную инструкцию надо или достаточно инфы?
Re: Реализация отдельного сервера SSO.
princeps, спасибо большое. Мне хватит информации, я сам люблю разбираться в чем то.
Я как то остановился в CAS-сервере, работы много. и правда уже руководство хочет на службе ADFS поднять единый сервер авторизации, но я все равно CAS попробую реализовать.
Не знаю, если кому нужна инструкция, можешь написать.
Я как то остановился в CAS-сервере, работы много. и правда уже руководство хочет на службе ADFS поднять единый сервер авторизации, но я все равно CAS попробую реализовать.
Не знаю, если кому нужна инструкция, можешь написать.
OTRS 4.0.14
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6
Debian 8.2, MySQL 5.6
Mail-server Exchange Server
Test-server 5.0.16
Debian 8.2, MySQL 5.6