OTRS 6 - интеграция AD - пользователи администратора домена отображаются как агенты, а не как администраторы OTRS

Question

OTRS 6 - интеграция AD - пользователи администратора домена отображаются как агенты, а не как администраторы OTRS

Я тестирую OTRS 6 с модулем ITSM. Прямо сейчас я тестирую его только в нашей среде DEV, так что было бы не сложно бросить все и начать все с нуля, если это самый простой способ. Я собираюсь вскоре запустить его в производство.

Я установил это "книгой", используя официальные документы, и это работало как очарование! (РЕДАКТИРОВАТЬ: Установлено на Ubuntu Server 18.04 LTS) У меня есть все пользователи, проходящие аутентификацию локально с использованием базы данных пользователей на MySQL. У меня были клиенты, агенты и администраторы, которые могли проходить аутентификацию и были представлены с правильной панелью пользователя.

После этого я смог успешно интегрировать OTRS с моей AD, но с подвохом: все мои пользователи AD отображаются как клиенты, все мои администраторы домена (которые также входят в группу AD OTRS_Admins) являются агентами, и... У меня нет учетной записи для управления OTRS. Нет администраторов вообще.

Что я должен делать? Как я могу назначить моих администраторов домена администраторами OTRS, а не агентами? Как назначить некоторых из моих пользователей домена агентами? Я делаю что-то неправильно? Я полностью потерян.

Официальные документы не сильно помогают, и я не смог найти в Google никого, кто имел бы конкретные потребности.

Мой (отредактированный) Config.pm:

     $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';


        ### OTRS Admin Auth
        ### 
        $Self->{'AuthModule::LDAP::Host'} = '192.168.179.2';     # AD Server
        $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=test,DC=local'; # Domain
        $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
        $Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS_Admins,CN=Users,DC=test,DC=local';   #OTRS Admin group
        $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
        $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
        $Self->{'AuthModule::LDAP::SearchUserDN'} = 'svc_otrs'; #OTRS service user
        $Self->{'AuthModule::LDAP::SearchUserPw'} = 'Passw0rd'; #And its passwird
        $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';
        $Self->{'AuthModule::LDAP::Params'} = {
                          port => 389,
                          timeout => 120,
                          async => 0,
                          version => 3,
                          sscope => 'sub'
                        };

        ### User Sync
        ### AD <==> DB OTRS (MySQL)
        $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
        $Self->{'AuthSyncModule::LDAP::Host'} = '192.168.179.2';      # AD SRV
        $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=test,DC=local'; # Domain
        $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
        $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'svc_otrs';         
        $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Passw0rd';    
        $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname => 'sn',
        UserEmail => 'mail',
        };

        $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users', 'basic_admin',
        ];
  $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
    $Self->{'Customer::AuthModule::LDAP::Host'} = '192.168.179.2';
    $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=test,DC=local';    
    $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'svc_otrs';     
    $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'Passw0rd';     
    $Self->{CustomerUser} = {
    Module => 'Kernel::System::CustomerUser::LDAP',
    Params => {
    Host => '192.168.179.2',     # AD Server
    BaseDN => 'dc=test,DC=local',      #Domain
    SSCOPE => 'sub',
    UserDN =>'svc_otrs',     #OTRS Service User
    UserPw => 'Passw0rd',    #its password
    AlwaysFilter => '(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))',
    SourceCharset => 'utf-8',
    DestCharset => 'utf-8',
    },

    CustomerKey => 'sAMAccountName',
    CustomerID => 'mail',
    CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
    CustomerUserSearchPrefix => '',
    CustomerUserSearchSuffix => '*',
    CustomerUserSearchListLimit => 10000,
    CustomerUserPostMasterSearchFields => ['mail'],
    CustomerUserNameFields => ['givenname', 'sn'],
    Map => [
    # note: Login, Email and CustomerID needed!
    #[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
    [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
    [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
    [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
    [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
    [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
    [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
    #[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
    #[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
    ],
    };

2

linux active-directory ldap ubuntu-18.04 otrs

Источник

Henrique 25 апр '19 в 01:07

1 ответ

Решение

Другие вопросы по тегам linux active-directory ldap ubuntu-18.04 otrs

Henrique 27 май '19 в 22:49 2019-05-27 22:49 · Accepted Answer · 2019-05-27 22:49

На самом деле это проблема из трех частей:

Когда я использовал бэкэнд LDAP, я потерял своих пользователей из бэкэнда БД (включая суперпользователя root@localhost)
Пользователи агентов из бэкэнда LDAP не имели прав администратора
Документация OTRS немного устарела кое-где

Проблема 1: потерял мой БД Backend In Config.pmЯ вставил следующую строку, чтобы выбрать бэкэнд агента:

$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';

Ну, что делает эта строка, она переопределяет оригинальный селектор бэкенда в другом месте системы. Таким образом, для того, чтобы иметь пользователей DB Backend Admin, а также пользователей агента LDAP, вы должны использовать собственный (и задокументированный!) Способ OTRS для создания нескольких бэкэндов, который добавляет цифровой суффикс к экземпляру модуля (обратите внимание, что 1 сразу после AuthModule):

$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';

Конечно, вы должны поставить цифру во всех свойствах модулей:

$Self->{'AuthModule::LDAP::Host1'} = '192.168.xx.xx';    
$Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=test,DC=local'; 
$Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN1'} = CN=GS_OTRS_Agents,CN=Users,DC=test,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'OTRS';    #OTRS LDAP User
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'somepass'; #Password for the LDAP User
$Self->{'AuthModule::LDAP::AlwaysFilter1'} = '';
$Self->{'AuthModule::LDAP::Params1'} = {
                  port => 389,
                  timeout => 120,
                  async => 0,
                  version => 3,
                  sscope => 'sub'
                };

(Сравните это с кодом, размещенным выше, на исходном вопросе.)

Чтобы быть справедливым, есть раздел в Руководстве администратора OTRS, объясняющий, как изменить бэкэнд и как иметь более одного бэкенда. Но информация, что если вы используете $Self->{'AuthModule'} вместо $Self->{'AuthModule1'} будет переопределять родной БД Backend, вместо того, чтобы запустить обе стороны, отсутствует. Потребовалось много мертвых мозгов, чтобы понять это.

Это решило проблему потери моих пользователей-администраторов, которые все были в исходной базе данных БД. Все агенты LDAP не были полными администраторами, поэтому они могли отвечать на заявки, но не могли управлять системой OTRS как администраторы. С этим у меня были оба вида пользователей.

Это приводит нас ко второй проблеме.

Проблема 2: пользователи агента из бэкэнда LDAP не имели прав администратора

Я имею в виду, что я должен иметь возможность создавать пользователя агента в моей AD, и он / она также должен быть администратором. И они!

`$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users',
];`

Если бы вместо "пользователей" я включил в этот список также "basic_admin", все мои первоначальные агенты были бы также администраторами. Я мог отозвать их права администратора позже, но из-за проблемы 1 я был заблокирован вне OTRS без пользователей-администраторов, поэтому я не мог предоставить или отозвать какое-либо право администратора для кого-либо.

В конце концов, я решил оставить все как есть и создать своих Агентов как просто пользователей, потому что у меня уже есть мой первоначальный пользователь root@localhost в качестве администратора (как я решил проблему 1), и я буду вручную предоставлять права администратора для всех мои будущие админы. Но это еще одна не очень хорошо документированная деталь в Руководстве администратора OTRS.

Проблема 3: Руководство администратора OTRS не полностью обновлено

Я понимаю, что со всеми проектами OpenSource это может происходить время от времени. Но здесь и везде есть некоторые подводные камни из-за вводящей в заблуждение информации, унаследованной от предыдущих версий OTRS, которые не были обновлены. Например, есть некоторые свойства, упомянутые в руководстве, но они не действительны для версии 6.

Я наткнулся на тот, который был для версии 5 и не был очищен от версии 6. Я имею в виду, ссылка на страницу свойств QuickRef была удалена, потому что страница - и свойство - больше не существует, но все еще упоминается в другом месте. в руководстве, на важных разделах конфигурации.