我正在使用OTRS 4.0.1作为我的服务台。
客户通过LDAP在Active Directory上进行身份验证。
我想将Active Directory组映射到OTRS组。
这可能吗?如果我愿意感谢任何提示?
答案 0 :(得分:2)
是的,这是可能的,相当简单。
首先,确定您是否需要组或角色。我发现(我是OTRS的新手)的共同建议是,首选角色来管理用户权限,而不是(直接)按群组管理。
一种简单的方法是通过LDAP添加AD身份验证和授权。你需要两者。
查看Defaults.pm,您将找到用于注释掉的结构。将其复制到Config.pm并在那里进行修改(不在Defaults.pm中)。
AuthModule部分用于验证(即检查登录/密码)。设置它,然后AuthSyncModule部分用于授权(最重要的是在首次登录时才建立一个代理条目)。您不能仅使用AuthModule第一次登录(现在是时候注意您在实验时可能会丢失Web访问,因此如果需要重新开始,请确保您有Defaults.pm的工作副本以进行恢复)。
在AuthModule中,历史记录中存在一些令人困惑的部分 - 将UID设置为SAMAccountName,将AccessAtr设置为成员(不是memberUID),将UserAttr设置为DN。一些较旧的文档显示不然。
在AuthSyncModule中,您将使用UserSyncMap映射基础(名称和电子邮件)。你必须在AD内部填写一封电子邮件,否则它将无法正常工作。默认设置显示了所有这些。
然后使用UserSyncRolesDefinition将AD组(不是OU,组 - 使用组的完整DN)映射到特定角色。还有另一组用于团体。通常,您不会使用默认值中的属性版本(对于特定属性,例如城市,而不是组成员资格)。
请注意,UserSyncRolesDefinition(我假定组但尚未尝试过)将匹配它遇到的第一个,因此多个组中的用户只会执行第一个匹配中触发的更新。此外,它不会取消先前设置的任何内容,因此如果要取消设置,请将角色明确设置为零。
查看日志(syslog经常,但可能会有所不同,具体取决于你的风味)来验证错误,并在(假设linux)apache2的error.log中查找导致服务器错误的错误(通常Config.pm中的语法错误。请注意,以后版本的窗口通常不允许匿名ldap访问,因此您必须将两个模块中的SearchUserDN和SearchUserPw定义为至少具有通过LDAP对AD的读访问权限的帐户。