Я тестирую OTRS 6 с модулем ITSM. Прямо сейчас я тестирую его только в нашей среде DEV, поэтому не будет проблемой бросить все и начать с нуля, если это самый простой способ. Я намерен вскоре запустить его в производство.
Я установил его «по книге», используя официальную документацию, и он работал отлично! (РЕДАКТИРОВАТЬ: Установлен на Ubuntu Server 18.04 LTS) У меня все пользователи аутентифицируются локально, используя базу данных пользователей в MySQL. У меня были клиенты, агенты и администраторы, которые могли пройти аутентификацию и получить правильную пользовательскую панель.
После этого я смог успешно интегрировать OTRS с моим AD, но с одной уловкой: все мои пользователи AD отображаются как клиенты, все мои администраторы домена (которые также принадлежат к группе AD OTRS_Admins) являются агентами и ... Я остался без аккаунта для управления OTRS. Никаких админов.
Что я должен делать? Как я могу сопоставить моих администраторов домена администраторами OTRS, а не агентами? Как сделать так, чтобы некоторые из пользователей моего домена были агентами? Я делаю что-то неправильно? Я совершенно потерялся.
Официальная документация не очень помогает, и я не смог найти в Google никого с моими конкретными потребностями.
Мой (отредактированный) Config.pm:
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
### OTRS Admin Auth
###
$Self->{'AuthModule::LDAP::Host'} = '192.168.179.2'; # AD Server
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=test,DC=local'; # Domain
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=OTRS_Admins,CN=Users,DC=test,DC=local'; #OTRS Admin group
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'svc_otrs'; #OTRS service user
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'Passw0rd'; #And its passwird
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '';
$Self->{'AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
sscope => 'sub'
};
### User Sync
### AD <==> DB OTRS (MySQL)
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} = '192.168.179.2'; # AD SRV
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=test,DC=local'; # Domain
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'svc_otrs';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Passw0rd';
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users', 'basic_admin',
];
$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP';
$Self->{'Customer::AuthModule::LDAP::Host'} = '192.168.179.2';
$Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=test,DC=local';
$Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'svc_otrs';
$Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'Passw0rd';
$Self->{CustomerUser} = {
Module => 'Kernel::System::CustomerUser::LDAP',
Params => {
Host => '192.168.179.2', # AD Server
BaseDN => 'dc=test,DC=local', #Domain
SSCOPE => 'sub',
UserDN =>'svc_otrs', #OTRS Service User
UserPw => 'Passw0rd', #its password
AlwaysFilter => '(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))',
SourceCharset => 'utf-8',
DestCharset => 'utf-8',
},
CustomerKey => 'sAMAccountName',
CustomerID => 'mail',
CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'],
CustomerUserSearchPrefix => '',
CustomerUserSearchSuffix => '*',
CustomerUserSearchListLimit => 10000,
CustomerUserPostMasterSearchFields => ['mail'],
CustomerUserNameFields => ['givenname', 'sn'],
Map => [
# note: Login, Email and CustomerID needed!
#[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ],
[ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ],
[ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ],
[ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ],
[ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ],
[ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ],
[ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ],
#[ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ],
#[ 'UserComment', 'Comment', 'description', 1, 0, 'var' ],
],
};
На самом деле это проблема из трех частей:
Проблема 1: потерял серверную часть БД В Config.pm
, Я вставил следующую строку, чтобы выбрать серверную часть агента:
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
Что ж, эта строчка делает отменяет исходный внутренний селектор в другом месте системы. Итак, чтобы иметь пользователей DB Backend Admin, а также пользователей агента LDAP, вы должны использовать собственный (и задокументированный!) Способ OTRS иметь несколько backend, который добавляет числовой суффикс к экземпляру модуля (обратите внимание на de 1 сразу после AuthModule
):
$Self->{'AuthModule1'} = 'Kernel::System::Auth::LDAP';
Конечно, вы должны указать цифры во всех свойствах модулей:
$Self->{'AuthModule::LDAP::Host1'} = '192.168.xx.xx';
$Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=test,DC=local';
$Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN1'} = CN=GS_OTRS_Agents,CN=Users,DC=test,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'OTRS'; #OTRS LDAP User
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'somepass'; #Password for the LDAP User
$Self->{'AuthModule::LDAP::AlwaysFilter1'} = '';
$Self->{'AuthModule::LDAP::Params1'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
sscope => 'sub'
};
(Сравните это с кодом, опубликованным выше по исходному вопросу.)
Честно говоря, в Руководстве администратора OTRS есть раздел, в котором объясняется, как изменить бэкэнд и как иметь более одного бэкенда. Но информация, которую вы используете $Self->{'AuthModule'}
вместо того $Self->{'AuthModule1'}
будет переопределять собственный серверный модуль БД, вместо того, чтобы работать одновременно, отсутствует. Потребовалось много мертвых мозгов, чтобы понять это.
Это решило проблему потери моих пользователей Admin, которые все были в исходной БД. Все агенты LDAP не были полными администраторами, поэтому они могли отвечать на заявки, но не могли управлять системой OTRS как администраторы. При этом у меня были оба типа пользователей.
Это подводит нас ко второй проблеме.
Проблема 2: пользователи-агенты из серверной части LDAP не имели разрешений администратора
Я имею ввиду, я должен иметь возможность создать пользователя-агента в моем AD, и он / она тоже должны быть администраторами. И они являются!
`$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users',
];`
Если бы вместо просто «пользователей» я включил в этот список «basic_admin», все мои первоначальные агенты также были бы администраторами. Я мог бы отозвать их права администратора позже, но поскольку я был заблокирован за пределами OTRS без пользователей с правами администратора из-за проблемы 1, я не мог предоставить или отозвать какие-либо права администратора кому-либо.
В конце концов, я решил оставить все как есть и создать своих агентов как пользователей, потому что у меня уже есть исходный пользователь root @ localhost в качестве администратора (как я решил проблему 1), и я предоставлю права администратора вручную для всех. мои будущие админы. Но это еще одна не очень хорошо задокументированная деталь в Руководстве администратора OTRS.
Проблема 3: Руководство администратора OTRS не полностью обновлено
Я понимаю, что со всеми проектами OpenSource это время от времени происходило. Но здесь, там и везде, есть некоторые подводные камни из-за вводящей в заблуждение информации, унаследованной от предыдущих версий OTRS, которые не были обновлены. Например, есть некоторые свойства, которые упоминаются в руководстве, но не действительны для версии 6.
Я наткнулся на один, который был для версии 5 и не был удален из версии 6. Я имею в виду, что ссылка на страницу свойств QuickRef была удалена, потому что страница - и свойство - больше не существует, но все еще упоминается в другом месте в руководстве, в важных разделах конфигурации.