Viewing 0 reply threads
  • Author
    Posts
    • #12723
      Dominik Fuller
      Participant

      Bisher hatten wir nur die LDAP Konfiguration bezüglich der Agentanmeldung.
      Hier musste der Agent dann in einer AD Gruppe sein, nur dann konnte er sich im OTOBO / OTRS anmelden.
      Dann hatten wir das für SSO erweitert und dadurch ergab sich folgenden Config.pm

      $Self->{‚AuthModule‘} = ‚Kernel::System::Auth::HTTPBasicAuth‘;
      $Self->{‚AuthModule1‘} = ‚Kernel::System::Auth::LDAP‘;
      $Self->{‚AuthModule::LDAP::Host1‘} = ‚DC.DOMAIN.local‘;
      $Self->{‚AuthModule::LDAP::BaseDN1‘} = ‚dc=DOMAIN,dc=local‘;
      $Self->{‚AuthModule::LDAP::UID1‘} = ‚cn‘;

      $Self->{‚AuthModule::LDAP::SearchUserDN1‘} = ‚DOMAIN\ad_reader‘;
      $Self->{‚AuthModule::LDAP::SearchUserPw1‘} = ‚abc‘;
      $Self->{‚AuthModule::LDAP::Params1‘} = {
      port => 389,
      timeout => 120,
      async => 0,
      version => 3,
      };

      # Check if user is in otrsallow Group
      $Self->{‚AuthModule::LDAP::GroupDN1‘} = ‚cn=gl_OTRS,ou=Administration,dc=DOMAIN,dc=local‘;
      $Self->{‚AuthModule::LDAP::AccessAttr1‘} = ‚member‘;
      $Self->{‚AuthModule::LDAP::UserAttr1‘} = ‚DN‘;

      $Self->{‚AuthModule::UseSyncBackend‘} = ‚AuthSyncBackend‘;

      # agent data sync against ldap
      $Self->{‚AuthSyncModule‘} = ‚Kernel::System::Auth::Sync::LDAP‘;
      $Self->{‚AuthSyncModule::LDAP::Host‘} = ‚ldap://DC.DOMAIN.local/‘;
      $Self->{‚AuthSyncModule::LDAP::BaseDN‘} = ‚dc=DOMAIN,dc=local‘;
      $Self->{‚AuthSyncModule::LDAP::UID‘} = ‚cn‘;
      $Self->{‚AuthSyncModule::LDAP::SearchUserDN‘} = ‚DOMAIN\ad_reader‘;
      $Self->{‚AuthSyncModule::LDAP::SearchUserPw‘} = ‚abc‘;
      $Self->{‚AuthSyncModule::LDAP::UserSyncMap‘} = {
      # DB -> LDAP
      UserFirstname => ‚givenName‘,
      UserLastname  => ’sn‘,
      UserEmail     => ‚mail‘,
      };

      #    $Self->{‚AuthSyncModule::LDAP::UserSyncInitialGroups‘} = [
      #    ‚users‘,
      #];

      # UserTable
      $Self->{DatabaseUserTable1} = ‚users‘;
      $Self->{DatabaseUserTableUserID1} = ‚id‘;
      $Self->{DatabaseUserTableUserPW1} = ‚pw‘;
      $Self->{DatabaseUserTableUser1} = ‚login‘;

      Jetzt ist es leider so, dass eine Anmeldung im Agentbereich immer möglich ist, auch wenn der User nicht in der AD-Gruppe ist.

      Ich habe schon einiges versucht, komme aber auf keinen grünen Zweig…

      Auch ist es so, wenn ein User im AD deaktiviert wird, bleibt er im OTOBO trotzdem als „gültig“ im Agentbereich drin…

Viewing 0 reply threads
  • You must be logged in to reply to this topic.