OTRS LDAP 组映射
OTRS LDAP Group Mapping
我的服务台使用的是 OTRS 4.0.1。
客户通过 Active Directory 上的 LDAP 进行身份验证。
我想将 Active Directory 组映射到 OTRS 组。
这可能吗?如果能给我任何提示,我将不胜感激?
是的,这是可能的,非常简单。
首先,决定您是想要群组还是角色。我发现的常见建议(我是 OTRS 的新手)是首选角色来管理用户权限,而不是(直接)按组。
一个简单的方法是通过 LDAP 添加 AD 身份验证和授权。你两者都需要。
查看 Defaults.pm,您会发现执行此操作的结构被注释掉了。将其复制到您的 Config.pm 并在那里修改(不在 Defaults.pm 中)。
AuthModule 部分用于身份验证(即检查 login/password)。设置它,然后 AuthSyncModule 部分用于授权(最重要的是在第一次登录时只构建一个代理条目)。您不能仅使用 AuthModule 首次登录(这是注意您在试验时可能会丢失 Web 访问权限的好时机,因此请确保您有 Defaults.pm 的工作副本以在需要时恢复重来)。
在 AuthModule 中,历史上有些令人困惑的部分 - 将 UID 设置为 SAMAccountName,将 AccessAtr 设置为成员(而非 memberUID),将 UserAttr 设置为 DN。一些较旧的文档另有说明。
在 AuthSyncModule 中,您将使用 UserSyncMap 映射基础知识(姓名和电子邮件)。您必须在 AD 中填写电子邮件,否则将无法使用。默认值显示了所有这些。
然后使用 UserSyncRolesDefinition 将 AD 组(不是 OU,组 - 使用组的完整 DN)映射到特定角色。还有一个用于团体。通常你不会使用这个你也会在默认值中看到的属性版本(这是针对特定属性,如城市,而不是组成员)。
请注意,UserSyncRolesDefinition(我假设是组,但还没有尝试过)将匹配它遇到的第一个,因此在多个组中的用户将只执行在第一个匹配中触发的更新。此外,它不会取消之前设置的任何内容,因此如果您想取消设置,请将角色明确设置为零。
查看日志(经常使用 syslog,但根据您的风格可能会有所不同)以查找来自身份验证的错误,并查看(假设 linux)apache2 的 error.log 以查找导致服务器错误(通常是 Config.pm 中的语法错误)。请注意,windows 以后的版本通常不允许匿名 ldap 访问,因此您必须在两个模块中定义 SearchUserDN 和 SearchUserPw 为至少具有通过 LDAP 对 AD 的读取权限的帐户。
我的服务台使用的是 OTRS 4.0.1。
客户通过 Active Directory 上的 LDAP 进行身份验证。
我想将 Active Directory 组映射到 OTRS 组。
这可能吗?如果能给我任何提示,我将不胜感激?
是的,这是可能的,非常简单。
首先,决定您是想要群组还是角色。我发现的常见建议(我是 OTRS 的新手)是首选角色来管理用户权限,而不是(直接)按组。
一个简单的方法是通过 LDAP 添加 AD 身份验证和授权。你两者都需要。
查看 Defaults.pm,您会发现执行此操作的结构被注释掉了。将其复制到您的 Config.pm 并在那里修改(不在 Defaults.pm 中)。
AuthModule 部分用于身份验证(即检查 login/password)。设置它,然后 AuthSyncModule 部分用于授权(最重要的是在第一次登录时只构建一个代理条目)。您不能仅使用 AuthModule 首次登录(这是注意您在试验时可能会丢失 Web 访问权限的好时机,因此请确保您有 Defaults.pm 的工作副本以在需要时恢复重来)。
在 AuthModule 中,历史上有些令人困惑的部分 - 将 UID 设置为 SAMAccountName,将 AccessAtr 设置为成员(而非 memberUID),将 UserAttr 设置为 DN。一些较旧的文档另有说明。
在 AuthSyncModule 中,您将使用 UserSyncMap 映射基础知识(姓名和电子邮件)。您必须在 AD 中填写电子邮件,否则将无法使用。默认值显示了所有这些。
然后使用 UserSyncRolesDefinition 将 AD 组(不是 OU,组 - 使用组的完整 DN)映射到特定角色。还有一个用于团体。通常你不会使用这个你也会在默认值中看到的属性版本(这是针对特定属性,如城市,而不是组成员)。
请注意,UserSyncRolesDefinition(我假设是组,但还没有尝试过)将匹配它遇到的第一个,因此在多个组中的用户将只执行在第一个匹配中触发的更新。此外,它不会取消之前设置的任何内容,因此如果您想取消设置,请将角色明确设置为零。
查看日志(经常使用 syslog,但根据您的风格可能会有所不同)以查找来自身份验证的错误,并查看(假设 linux)apache2 的 error.log 以查找导致服务器错误(通常是 Config.pm 中的语法错误)。请注意,windows 以后的版本通常不允许匿名 ldap 访问,因此您必须在两个模块中定义 SearchUserDN 和 SearchUserPw 为至少具有通过 LDAP 对 AD 的读取权限的帐户。