Ansicht von 0 Antwort-Themen
  • Autor
    Beiträge
    • 1. März 2022 um 16:35 Uhr - Views: 770 #12723
      Dominik Fuller
      Teilnehmer

        Bisher hatten wir nur die LDAP Konfiguration bezüglich der Agentanmeldung.
        Hier musste der Agent dann in einer AD Gruppe sein, nur dann konnte er sich im OTOBO / OTRS anmelden.
        Dann hatten wir das für SSO erweitert und dadurch ergab sich folgenden Config.pm

        $Self->{‘AuthModule’} = ‘Kernel::System::Auth::HTTPBasicAuth’;
        $Self->{‘AuthModule1’} = ‘Kernel::System::Auth::LDAP’;
        $Self->{‘AuthModule::LDAP::Host1’} = ‘DC.DOMAIN.local’;
        $Self->{‘AuthModule::LDAP::BaseDN1’} = ‘dc=DOMAIN,dc=local’;
        $Self->{‘AuthModule::LDAP::UID1’} = ‘cn’;

        $Self->{‘AuthModule::LDAP::SearchUserDN1’} = ‘DOMAIN\ad_reader’;
        $Self->{‘AuthModule::LDAP::SearchUserPw1’} = ‘abc’;
        $Self->{‘AuthModule::LDAP::Params1’} = {
        port => 389,
        timeout => 120,
        async => 0,
        version => 3,
        };

        # Check if user is in otrsallow Group
        $Self->{‘AuthModule::LDAP::GroupDN1’} = ‘cn=gl_OTRS,ou=Administration,dc=DOMAIN,dc=local’;
        $Self->{‘AuthModule::LDAP::AccessAttr1’} = ‘member’;
        $Self->{‘AuthModule::LDAP::UserAttr1’} = ‘DN’;

        $Self->{‘AuthModule::UseSyncBackend’} = ‘AuthSyncBackend’;

        # agent data sync against ldap
        $Self->{‘AuthSyncModule’} = ‘Kernel::System::Auth::Sync::LDAP’;
        $Self->{‘AuthSyncModule::LDAP::Host’} = ‘ldap://DC.DOMAIN.local/’;
        $Self->{‘AuthSyncModule::LDAP::BaseDN’} = ‘dc=DOMAIN,dc=local’;
        $Self->{‘AuthSyncModule::LDAP::UID’} = ‘cn’;
        $Self->{‘AuthSyncModule::LDAP::SearchUserDN’} = ‘DOMAIN\ad_reader’;
        $Self->{‘AuthSyncModule::LDAP::SearchUserPw’} = ‘abc’;
        $Self->{‘AuthSyncModule::LDAP::UserSyncMap’} = {
        # DB -> LDAP
        UserFirstname => ‘givenName’,
        UserLastname  => ‘sn’,
        UserEmail     => ‘mail’,
        };

        #    $Self->{‘AuthSyncModule::LDAP::UserSyncInitialGroups’} = [
        #    ‘users’,
        #];

        # UserTable
        $Self->{DatabaseUserTable1} = ‘users’;
        $Self->{DatabaseUserTableUserID1} = ‘id’;
        $Self->{DatabaseUserTableUserPW1} = ‘pw’;
        $Self->{DatabaseUserTableUser1} = ‘login’;

        Jetzt ist es leider so, dass eine Anmeldung im Agentbereich immer möglich ist, auch wenn der User nicht in der AD-Gruppe ist.

        Ich habe schon einiges versucht, komme aber auf keinen grünen Zweig…

        Auch ist es so, wenn ein User im AD deaktiviert wird, bleibt er im OTOBO trotzdem als “gültig” im Agentbereich drin…

    • Autor
      Beiträge
    Ansicht von 0 Antwort-Themen
    • Du musst angemeldet sein, um auf dieses Thema antworten zu können.