【问题标题】:OTRS LDAP Group Mapping [closed]OTRS LDAP 组映射 [关闭]
【发布时间】:2015-02-12 12:58:31
【问题描述】:

我正在为我的帮助台使用 OTRS 4.0.1。

客户通过 Active Directory 上的 LDAP 进行身份验证。

我想将 Active Directory 组映射到 OTRS 组。

这可能吗?如果我能得到任何提示,我会感激不尽吗?

【问题讨论】:

    标签: active-directory ldap otrs


    【解决方案1】:

    是的,这是可能的,相当简单。

    首先,决定您是否需要组或角色。我发现的常见建议(我是 OTRS 新手)是首选角色来管理用户权限,而不是(直接)按组。

    一个简单的方法是通过 LDAP 添加 AD 身份验证和授权。两者都需要。

    查看 Defaults.pm,您会发现执行此操作的结构已被注释掉。将此复制到您的 Config.pm 并在那里修改(不在 Defaults.pm 中)。

    AuthModule 部分用于身份验证(即检查登录名/密码)。设置好它,然后 AuthSyncModule 部分用于授权(最重要的是在第一次登录时只构建一个代理条目)。您不能仅使用 AuthModule 第一次登录(这是一个很好的时机,请注意您在试验时可能会失去 Web 访问权限,因此如果您需要重新开始,请确保您有 Defaults.pm 的工作副本以恢复)。

    在 AuthModule 中,历史上一些令人困惑的部分 - 将 UID 设置为 SAMAccountName,将 AccessAtr 设置为 member(不是 memberUID),将 UserAttr 设置为 DN。一些较旧的文档另有说明。

    在 AuthSyncModule 中,您将使用 UserSyncMap 映射基本信息(姓名和电子邮件)。您必须在 AD 中填写电子邮件,否则将无法使用。默认显示所有这些。

    然后使用 UserSyncRolesDefinition 将 AD 组(不是 OU,组 - 使用组的完整 DN)映射到特定角色。还有一个用于团体。通常,您不会使用在默认值中也会看到的属性版本(用于特定属性,例如城市,而不是组成员身份)。

    请注意,UserSyncRolesDefinition(我假设是组但没有尝试过)将匹配它遇到的第一个,因此位于多个组中的用户只会执行在第一个匹配中触发的更新。此外,它不会取消任何先前设置的内容,因此如果您想取消设置,请将角色显式设置为零。

    查看日志(系统日志频繁,但可能因您的喜好而有所不同)中的身份验证错误,并在(假设 linux)apache2 的 error.log 中查看导致服务器错误的错误(通常是您的语法错误配置.pm)。请注意,更高版本的窗口通常不允许匿名 ldap 访问,因此您必须将两个模块中的 SearchUserDN 和 SearchUserPw 定义为至少通过 LDAP 对 AD 具有读取访问权限的帐户。

    【讨论】:

    • 感谢您的详细回答。它完全正确,让我很开心。我决定使用角色,角色更细化。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2021-07-25
    • 2017-07-27
    • 2012-03-05
    • 1970-01-01
    • 2020-03-16
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多