我正在为我的帮助台使用 OTRS 4.0.1。
客户通过 Active Directory 上的 LDAP 进行身份验证。
我想将 Active Directory 组映射到 OTRS 组。
这可能吗?如果我能感谢任何提示?
问问题
1703 次
1 回答
2
是的,这是可能的,相当简单。
首先,决定是否需要组或角色。我发现的常见建议(我是 OTRS 新手)是首选角色来管理用户权限,而不是(直接)按组。
一个简单的方法是通过 LDAP 添加 AD 身份验证和授权。你需要两者。
查看 Defaults.pm,您会发现执行此操作的结构已被注释掉。将此复制到您的 Config.pm 并在那里修改(不在 Defaults.pm 中)。
AuthModule 部分用于身份验证(即检查登录名/密码)。设置好它,然后 AuthSyncModule 部分用于授权(最重要的是在第一次登录时只构建一个代理条目)。您不能仅使用 AuthModule 第一次登录(这是一个很好的时机,请注意您在试验时可能会失去 Web 访问权限,因此如果您需要重新开始,请确保您有 Defaults.pm 的工作副本以恢复)。
在 AuthModule 中,历史上一些令人困惑的部分 - 将 UID 设置为 SAMAccountName,将 AccessAtr 设置为 member(不是 memberUID),将 UserAttr 设置为 DN。一些较旧的文档另有说明。
在 AuthSyncModule 中,您将使用 UserSyncMap 映射基本信息(姓名和电子邮件)。您必须在 AD 中填写电子邮件,否则将无法正常工作。默认值显示了所有这些。
然后使用 UserSyncRolesDefinition 将 AD 组(不是 OU,组 - 使用组的完整 DN)映射到特定角色。还有一个是给团体的。通常,您不会使用您也会在默认值中看到的属性版本(这是针对特定属性,如城市,而不是组成员身份)。
请注意,UserSyncRolesDefinition(我假设组但没有尝试过)将匹配它遇到的第一个,因此位于多个组中的用户只会执行在第一个匹配中触发的更新。此外,它不会取消以前设置的任何内容,因此如果您想取消设置,请将角色明确设置为零。
在日志(系统日志经常,但可能因您的风格而异)中查找来自身份验证的错误,并在(假设是 linux)apache2 的 error.log 中查找导致服务器错误的错误(通常是 Config.pm 中的语法错误)。请注意,更高版本的窗口通常不允许匿名 ldap 访问,因此您必须将两个模块中的 SearchUserDN 和 SearchUserPw 定义为至少通过 LDAP 对 AD 具有读取访问权限的帐户。
于 2015-02-23T16:29:16.200 回答