-
AutorBeiträge
-
-
1. März 2022 um 16:35 Uhr - Views: 781 #12723
Bisher hatten wir nur die LDAP Konfiguration bezüglich der Agentanmeldung.
Hier musste der Agent dann in einer AD Gruppe sein, nur dann konnte er sich im OTOBO / OTRS anmelden.
Dann hatten wir das für SSO erweitert und dadurch ergab sich folgenden Config.pm$Self->{‚AuthModule‘} = ‚Kernel::System::Auth::HTTPBasicAuth‘;
$Self->{‚AuthModule1‘} = ‚Kernel::System::Auth::LDAP‘;
$Self->{‚AuthModule::LDAP::Host1‘} = ‚DC.DOMAIN.local‘;
$Self->{‚AuthModule::LDAP::BaseDN1‘} = ‚dc=DOMAIN,dc=local‘;
$Self->{‚AuthModule::LDAP::UID1‘} = ‚cn‘;$Self->{‚AuthModule::LDAP::SearchUserDN1‘} = ‚DOMAIN\ad_reader‘;
$Self->{‚AuthModule::LDAP::SearchUserPw1‘} = ‚abc‘;
$Self->{‚AuthModule::LDAP::Params1‘} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};# Check if user is in otrsallow Group
$Self->{‚AuthModule::LDAP::GroupDN1‘} = ‚cn=gl_OTRS,ou=Administration,dc=DOMAIN,dc=local‘;
$Self->{‚AuthModule::LDAP::AccessAttr1‘} = ‚member‘;
$Self->{‚AuthModule::LDAP::UserAttr1‘} = ‚DN‘;$Self->{‚AuthModule::UseSyncBackend‘} = ‚AuthSyncBackend‘;
# agent data sync against ldap
$Self->{‚AuthSyncModule‘} = ‚Kernel::System::Auth::Sync::LDAP‘;
$Self->{‚AuthSyncModule::LDAP::Host‘} = ‚ldap://DC.DOMAIN.local/‘;
$Self->{‚AuthSyncModule::LDAP::BaseDN‘} = ‚dc=DOMAIN,dc=local‘;
$Self->{‚AuthSyncModule::LDAP::UID‘} = ‚cn‘;
$Self->{‚AuthSyncModule::LDAP::SearchUserDN‘} = ‚DOMAIN\ad_reader‘;
$Self->{‚AuthSyncModule::LDAP::SearchUserPw‘} = ‚abc‘;
$Self->{‚AuthSyncModule::LDAP::UserSyncMap‘} = {
# DB -> LDAP
UserFirstname => ‚givenName‘,
UserLastname => ’sn‘,
UserEmail => ‚mail‘,
};# $Self->{‚AuthSyncModule::LDAP::UserSyncInitialGroups‘} = [
# ‚users‘,
#];# UserTable
$Self->{DatabaseUserTable1} = ‚users‘;
$Self->{DatabaseUserTableUserID1} = ‚id‘;
$Self->{DatabaseUserTableUserPW1} = ‚pw‘;
$Self->{DatabaseUserTableUser1} = ‚login‘;Jetzt ist es leider so, dass eine Anmeldung im Agentbereich immer möglich ist, auch wenn der User nicht in der AD-Gruppe ist.
Ich habe schon einiges versucht, komme aber auf keinen grünen Zweig…
Auch ist es so, wenn ein User im AD deaktiviert wird, bleibt er im OTOBO trotzdem als „gültig“ im Agentbereich drin…
-
-
AutorBeiträge
- Du musst angemeldet sein, um auf dieses Thema antworten zu können.