Я использую OTRS 4.0.1 для моей службы поддержки.Отображение групп OTRS LDAP
Клиенты проходят аутентификацию по LDAP в Active Directory.
Я хочу скопировать группы Active Directory в группы OTRS.
Возможно ли это, и если бы я был благодарен за любой намек?
Да, это возможно, довольно просто.
Сначала решите, хотите ли вы группы или роли. Общая рекомендация, которую я нахожу (я новичок в OTRS), заключается в том, что роли предпочтительнее управлять правами пользователя, а не (напрямую) группами.
Простым подходом является добавление аутентификации и авторизации AD через LDAP. Вам нужны оба.
Посмотрите в Defaults.pm, и вы найдете структуру для выполнения этого комментария. Скопируйте это в свой Config.pm и измените там (не в Defaults.pm).
Раздел AuthModule предназначен для аутентификации (то есть проверки входа/пароля). Установите это, затем раздел AuthSyncModule предназначен для авторизации (и, самое главное, при первом входе в систему, чтобы просто создать запись агента). Вы не можете войти в первый раз с ТОЛЬКО AuthModule (это подходящее время, чтобы заметить, что вы можете потерять веб-доступ во время экспериментов, поэтому убедитесь, что у вас есть рабочая копия Defaults.pm для восстановления, если вам нужно начать).
В AuthModule некоторые запутанные части по истории - задайте UID для SAMAccountName и AccessAtr для члена (not memberUID) и UserAttr для DN. В некоторых старых документах показано иное.
В AuthSyncModule вы будете использовать UserSyncMap для сопоставления основ (имя и адрес электронной почты). вы ДОЛЖНЫ иметь электронную почту, заполненную внутри AD, или она не будет работать. Показатели по умолчанию показывают все это.
Затем используйте UserSyncRolesDefinition для сопоставления группы AD (НЕ - подразделение, группа - используйте полный DN группы) для определенных ролей. Для групп есть еще один. Как правило, вы не будете использовать версию этих атрибутов, которую вы также увидите по умолчанию (для определенного атрибута, например города, в отличие от членства в группе).
Обратите внимание, что UserSyncRolesDefinition (и я предполагаю группы, но не пробовал), будет соответствовать первому, с которым он сталкивается, поэтому пользователь, который находится в нескольких группах, будет выполнять только обновления, инициированные в первом совпадении. Кроме того, он не устанавливает UNSET что-либо ранее, поэтому, если вы хотите отменить установку, установите роль в нуль явно.
Загляните в журнал (syslog часто, но может отличаться в зависимости от вашего вкуса) за ошибки в аутентификации и в (при условии linux) apache2 error.log для ошибок, которые приводят к ошибке сервера (обычно это синтаксические ошибки в ваш Config.pm). Обратите внимание, что окна более поздних версий обычно не позволяют анонимный доступ ldap, поэтому вы должны определить SearchUserDN и SearchUserPw в обоих модулях, чтобы быть учетной записью, по крайней мере, с доступом на чтение к AD через LDAP.
Благодарим вас за подробный ответ. Его полностью правильный и сделал мой день. Я решил использовать роли, с ролями более гранулированный. – user2273214