OTRS 6- AD集成-域管理用户映射为代理,而不是OTRS管理员
我正在用ITSM模块测试OTRS 6。现在我只是在我们的DEV环境上测试它,所以如果这是最简单的方法的话,抛掉所有的东西并从头开始不会是个问题。我打算很快把它投入生产。
我使用官方文档“按本书”安装了它,它工作起来就像一个魅力!(编辑:安装在UbuntuServer18.04LTS上)我让所有用户在本地使用MySQL上的用户数据库进行身份验证。我有客户、代理和管理员都能够进行身份验证,并向他们展示正确的用户面板。
在此之后,我成功地将OTRS集成到我的AD中,但是有一个陷阱:我的所有AD用户都被映射为客户,我的所有域管理员(也属于OTRS_Admins AD组)都是代理,和.我没什么可以管理OTRS的。根本没有管理员。
我该怎么办?如何将域管理员映射为OTRS管理员而不是代理?如何将我的一些域用户映射为代理?我做错什么了吗?我完全迷路了。
官方文档帮不了多少忙,我在谷歌上找不到有特殊需求的人。
我的(编辑过的) Config.pm:
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
### OTRS Admin Auth
###
$Self->{'AuthModule::LDAP::Host'} = '192.168.179.2'; # AD Server
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=test,DC=local'; # Domain
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS_Admins,CN=Users,DC=test,DC=local'; #OTRS Admin group
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'svc_otrs'; #OTRS service user
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'Passw0rd'; #And its passwird
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '';
$Self->{'AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
sscope => 'sub'
};
### User Sync
### AD <==> DB OTRS (MySQL)
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = '192.168.179.2'; # AD SRV
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=test,DC=local'; # Domain
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'svc_otrs';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Passw0rd';
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users', 'basic_admin',
];
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = '192.168.179.2';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=test,DC=local';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'svc_otrs';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'Passw0rd';
$Self->{CustomerUser} = {
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '192.168.179.2', # AD Server
BaseDN => 'dc=test,DC=local', #Domain
SSCOPE => 'sub',
UserDN =>'svc_otrs', #OTRS Service User
UserPw => 'Passw0rd', #its password
AlwaysFilter => '(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))',
SourceCharset => 'utf-8',
DestCharset => 'utf-8',
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 10000,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
],
};回答 1
Server Fault用户
发布于 2019-05-27 22:49:45
事实上,这是一个三部分的问题:
- 当我使用LDAP后端时,我失去了来自DB后端的用户(包括root@localhost超级用户)
- LDAP后端的代理用户没有管理权限
- OTRS文档有些过时。
Problem 1:在Config.pm中丢失了我的DB后端,我插入了以下行来选择代理后端:
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
好吧,这一行所做的是,它重写了系统中其他地方的原始后端选择器。因此,为了拥有DB后端管理用户和LDAP代理用户,您应该使用OTRS自己的(并记录了!)具有多个后端的方法,该后端在模块实例中追加一个数字后缀(请在AuthModule之后注意de 1 ):
$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
当然,您必须将数字放在所有模块的属性中:
$Self->{'AuthModule::LDAP::Host1'} = '192.168.xx.xx';
$Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=test,DC=local';
$Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN1'} = CN=GS_OTRS_Agents,CN=Users,DC=test,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'OTRS'; #OTRS LDAP User
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'somepass'; #Password for the LDAP User
$Self->{'AuthModule::LDAP::AlwaysFilter1'} = '';
$Self->{'AuthModule::LDAP::Params1'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
sscope => 'sub'
}; (将其与上面发布的关于原始问题的代码进行比较。)
公平地说,这是一个关于OTRS管理手册的章节,解释如何改变后端,以及如何拥有多个后端。但是,如果您使用$Self->{'AuthModule'}而不是$Self->{'AuthModule1'},将覆盖本机DB后端而不是并行运行的信息是缺失的。用了很多脑死亡的物质才能弄清楚。
这解决了失去我的管理员用户的问题,他们都在原来的DB后端中。所有的LDAP代理都不是完全的管理员,所以他们可以回答入场券,但不能将OTRS系统作为管理员管理。有了这个,我就有了两种用户。
这就引出了第二个问题。
Problem 2: LDAP后端的代理用户没有管理权限
我的意思是,我必须能够在我的AD上创建一个代理用户,他/她也应该能够成为管理员。而且他们是!
`$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users',
];`如果我不只是‘用户’,我也把'basic_admin‘放在这个列表中,我所有的初始代理也都是管理员。我可以在以后撤销他们的管理权限,但是由于我被锁在OTRS之外,因为问题1没有管理员用户,所以我不能授予或撤销任何管理员的权限。
但这是OTRS管理手册上另一个没有很好记录的细节。
Problem 3: OTRS管理手册没有完全更新
我知道,在所有的OpenSource项目中,这种情况会时有发生。但是,这里和任何地方都存在一些缺陷,这是由于错误的信息,这些信息是从未更新的OTRS早期版本继承而来的。例如,有些属性在手册中提到,但在版本6中无效。
https://serverfault.com/questions/964489
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号