Ansicht von 0 Antwort-Themen
  • Autor
    Beiträge
    • #12723
      Dominik Fuller
      Teilnehmer

      Bisher hatten wir nur die LDAP Konfiguration bezüglich der Agentanmeldung.
      Hier musste der Agent dann in einer AD Gruppe sein, nur dann konnte er sich im OTOBO / OTRS anmelden.
      Dann hatten wir das für SSO erweitert und dadurch ergab sich folgenden Config.pm

      $Self->{‚AuthModule‘} = ‚Kernel::System::Auth::HTTPBasicAuth‘;
      $Self->{‚AuthModule1‘} = ‚Kernel::System::Auth::LDAP‘;
      $Self->{‚AuthModule::LDAP::Host1‘} = ‚DC.DOMAIN.local‘;
      $Self->{‚AuthModule::LDAP::BaseDN1‘} = ‚dc=DOMAIN,dc=local‘;
      $Self->{‚AuthModule::LDAP::UID1‘} = ‚cn‘;

      $Self->{‚AuthModule::LDAP::SearchUserDN1‘} = ‚DOMAIN\ad_reader‘;
      $Self->{‚AuthModule::LDAP::SearchUserPw1‘} = ‚abc‘;
      $Self->{‚AuthModule::LDAP::Params1‘} = {
      port => 389,
      timeout => 120,
      async => 0,
      version => 3,
      };

      # Check if user is in otrsallow Group
      $Self->{‚AuthModule::LDAP::GroupDN1‘} = ‚cn=gl_OTRS,ou=Administration,dc=DOMAIN,dc=local‘;
      $Self->{‚AuthModule::LDAP::AccessAttr1‘} = ‚member‘;
      $Self->{‚AuthModule::LDAP::UserAttr1‘} = ‚DN‘;

      $Self->{‚AuthModule::UseSyncBackend‘} = ‚AuthSyncBackend‘;

      # agent data sync against ldap
      $Self->{‚AuthSyncModule‘} = ‚Kernel::System::Auth::Sync::LDAP‘;
      $Self->{‚AuthSyncModule::LDAP::Host‘} = ‚ldap://DC.DOMAIN.local/‘;
      $Self->{‚AuthSyncModule::LDAP::BaseDN‘} = ‚dc=DOMAIN,dc=local‘;
      $Self->{‚AuthSyncModule::LDAP::UID‘} = ‚cn‘;
      $Self->{‚AuthSyncModule::LDAP::SearchUserDN‘} = ‚DOMAIN\ad_reader‘;
      $Self->{‚AuthSyncModule::LDAP::SearchUserPw‘} = ‚abc‘;
      $Self->{‚AuthSyncModule::LDAP::UserSyncMap‘} = {
      # DB -> LDAP
      UserFirstname => ‚givenName‘,
      UserLastname  => ’sn‘,
      UserEmail     => ‚mail‘,
      };

      #    $Self->{‚AuthSyncModule::LDAP::UserSyncInitialGroups‘} = [
      #    ‚users‘,
      #];

      # UserTable
      $Self->{DatabaseUserTable1} = ‚users‘;
      $Self->{DatabaseUserTableUserID1} = ‚id‘;
      $Self->{DatabaseUserTableUserPW1} = ‚pw‘;
      $Self->{DatabaseUserTableUser1} = ‚login‘;

      Jetzt ist es leider so, dass eine Anmeldung im Agentbereich immer möglich ist, auch wenn der User nicht in der AD-Gruppe ist.

      Ich habe schon einiges versucht, komme aber auf keinen grünen Zweig…

      Auch ist es so, wenn ein User im AD deaktiviert wird, bleibt er im OTOBO trotzdem als „gültig“ im Agentbereich drin…

Ansicht von 0 Antwort-Themen
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.