【发布时间】:2015-02-12 12:58:31
【问题描述】:
我正在为我的帮助台使用 OTRS 4.0.1。
客户通过 Active Directory 上的 LDAP 进行身份验证。
我想将 Active Directory 组映射到 OTRS 组。
这可能吗?如果我能得到任何提示,我会感激不尽吗?
【问题讨论】:
标签: active-directory ldap otrs
我正在为我的帮助台使用 OTRS 4.0.1。
客户通过 Active Directory 上的 LDAP 进行身份验证。
我想将 Active Directory 组映射到 OTRS 组。
这可能吗?如果我能得到任何提示,我会感激不尽吗?
【问题讨论】:
标签: active-directory ldap otrs
是的,这是可能的,相当简单。
首先,决定您是否需要组或角色。我发现的常见建议(我是 OTRS 新手)是首选角色来管理用户权限,而不是(直接)按组。
一个简单的方法是通过 LDAP 添加 AD 身份验证和授权。两者都需要。
查看 Defaults.pm,您会发现执行此操作的结构已被注释掉。将此复制到您的 Config.pm 并在那里修改(不在 Defaults.pm 中)。
AuthModule 部分用于身份验证(即检查登录名/密码)。设置好它,然后 AuthSyncModule 部分用于授权(最重要的是在第一次登录时只构建一个代理条目)。您不能仅使用 AuthModule 第一次登录(这是一个很好的时机,请注意您在试验时可能会失去 Web 访问权限,因此如果您需要重新开始,请确保您有 Defaults.pm 的工作副本以恢复)。
在 AuthModule 中,历史上一些令人困惑的部分 - 将 UID 设置为 SAMAccountName,将 AccessAtr 设置为 member(不是 memberUID),将 UserAttr 设置为 DN。一些较旧的文档另有说明。
在 AuthSyncModule 中,您将使用 UserSyncMap 映射基本信息(姓名和电子邮件)。您必须在 AD 中填写电子邮件,否则将无法使用。默认显示所有这些。
然后使用 UserSyncRolesDefinition 将 AD 组(不是 OU,组 - 使用组的完整 DN)映射到特定角色。还有一个用于团体。通常,您不会使用在默认值中也会看到的属性版本(用于特定属性,例如城市,而不是组成员身份)。
请注意,UserSyncRolesDefinition(我假设是组但没有尝试过)将匹配它遇到的第一个,因此位于多个组中的用户只会执行在第一个匹配中触发的更新。此外,它不会取消任何先前设置的内容,因此如果您想取消设置,请将角色显式设置为零。
查看日志(系统日志频繁,但可能因您的喜好而有所不同)中的身份验证错误,并在(假设 linux)apache2 的 error.log 中查看导致服务器错误的错误(通常是您的语法错误配置.pm)。请注意,更高版本的窗口通常不允许匿名 ldap 访问,因此您必须将两个模块中的 SearchUserDN 和 SearchUserPw 定义为至少通过 LDAP 对 AD 具有读取访问权限的帐户。
【讨论】: