Интеграция OTRS 6.0.5 (Open-source Ticket Request System) с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).
Содержание статьи:
Разберем как интегрировать OTRS с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).
Исходные данные:
- Развернутая система OTRS 6.0.5 (по этой статье)
- Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)
Для интеграции OTRS с Active Directory, необходимо создать пользователя который будет выступать администратором OTRS и с помощью которого будет осуществляться чтение LDAP, для авторизации всех остальных пользователей системы OTRS.
Создание пользователя в Active Directory
Создаем пользователя (прим. admin.otrs), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.
Создаем группу (прим. OTRSagents) и добавляем в нее ранее созданную учетную запись администратора OTRS (admin.otrs).
Интеграция OTRS с Active Directory
Заходим на агентурный портал OTRS (http://OTRS_Server_IP/otrs/index.pl), авторизовываемся под учетной записью root@localhost.
Переходим в Администрирование — Агенты:
Редактируем пользователя root@localhost:
Изменяем Логин, Пароль, Email на аналогичные данные от ранее созданного пользователя в Active Directory (admin.otrs).
Редактируем конфигурационный файл /opt/otrs/Kernel/Config.pm. После строки (# insert your own config settings «here» #) вставляем:
# ----------------LDAP-Authenticated-------------- # $Self->{'DefaultCharset'} = 'utf-8'; # Аутентификация LDAP в Агентурный портал $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP'; # Можно задать страницу редиректа в случае авторизации и деавторизации #$Self->{LoginURL} = 'http://helpdesk/index.pl'; #$Self->{LogoutURL} = 'http://helpdesk/otrs/index.pl?Action=Logout'; $Self->{'AuthModule::LDAP::Host'} = '192.168.1.2'; $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=jakonda,dc=local'; $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName'; # Проверка наличия пользователя в группе OTRS_Agents, для доступа к Агентурному порталу $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OTRS_Agents,ou=Users,dc=jakonda,dc=local'; $Self->{'AuthModule::LDAP::AccessAttr'} = 'member'; $Self->{'AuthModule::LDAP::UserAttr'} = 'DN'; $Self->{'AuthModule::LDAP::SearchUserDN'} = 'admin.otrs@jakonda.local'; $Self->{'AuthModule::LDAP::SearchUserPw'} = 'Aa1234567'; $Self->{'AuthModule::LDAP::Params'} = { port => 389, timeout => 120, async => 0, version => 3, }, # Синхронизация пользователей из каталога LDAP $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP'; $Self->{'AuthSyncModule::LDAP::Host'} = '192.168.1.2'; $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=jakonda,dc=local'; $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName'; $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'admin.otrs@jakonda.local'; $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Aa1234567'; $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = { UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', }; # Синхронизировать пользователей из указанного каталога $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [ 'ActiveUsers', ]; # Авторизация LDAP в клиентский портал $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::LDAP'; # Можно задать страницу редиректа в случае авторизации и деавторизации $Self->{CustomerPanelLoginURL1} = 'http://helpdesk/otrs/customer.pl'; $Self->{CustomerPanelLogoutURL1} = 'http://helpdesk/otrs/customer.pl'; $Self->{'Customer::AuthModule::LDAP::Host'} ='192.168.1.2'; $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=jakonda,dc=local'; $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName'; $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'admin.otrs@jakonda.local'; $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'Aa1234567'; $Self->{CustomerUser} = { Module => 'Kernel::System::CustomerUser::LDAP', Params => { Host => '192.168.1.2', BaseDN => 'dc=jakonda,dc=local', SSCOPE => 'sub', UserDN => 'admin.otrs@jakonda.local', UserPw => 'Aa1234567', AlwaysFilter => '(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))', SourceCharset => 'utf-8', DestCharset => 'utf-8', }, CustomerKey => 'sAMAccountName', CustomerID => 'mail', CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'], CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'], CustomerUserSearchPrefix => '', CustomerUserSearchSuffix => '*', CustomerUserSearchListLimit => 10000, CustomerUserPostMasterSearchFields => ['mail'], CustomerUserNameFields => ['givenname', 'sn'], Map => [ #[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ], [ 'UserFirstname', 'Firstname', 'displayname', 1, 1, 'var' ], [ 'UserLastname', 'Lastname', '', 1, 1, 'var' ], [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ], [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ], [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ], ], }; # ---------------------------------------------------- #
Перезапускаем веб-сервер apache:
service apache2 restart
Проверяем аутентификацию доменных пользователей в агентурном портале (http://OTRS_Server_IP/otrs/index.pl) и пользовательском (http://OTRS_Server_IP/otrs/customer.pl). Для доступа в агентурный портал, пользователь должен состоять в группе OTRSagents.
Агенты создаются в базе OTRS, после первого входа. У созданного агента будут отсутствовать права администратора, для их выдачи нужно авторизоваться под начальным администратором (admin.otrs) и выдать права новому агенту.
Проверим подтянулись ли учетные записи пользователей из Active Directory. Переходим в Администрирование — Учетная запись клиента.
Прозрачная аутентификация SSO (Single Sign On)
Реализацию прозрачной/сквозной (SSO) аутентификации в OTRS, будем осуществлять посредством авторизации Apache в Active Directory.
Выполняем настройку авторизации SSO на Apache в Active Directory по этой статье. При создании KEYTAB-файла, используем созданную ранее учетную запись администратора (admin.otrs).
Редактируем конфигурационный файл /opt/otrs/Kernel/Config.pm. После строки (# insert your own config settings «here» #) вставляем:
# ----------------SSO-LDAP-Authenticated-------------- # $Self->{'DefaultCharset'} = 'utf-8'; # Аутентификация SSO в Агентурный портал $Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth'; $Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} = '@JAKONDA.LOCAL'; # Можно задать страницу редиректа в случае авторизации и деавторизации #$Self->{LoginURL} = 'http://helpdesk/index.pl'; #$Self->{LogoutURL} = 'http://helpdesk/otrs/index.pl?Action=Logout'; $Self->{'AuthModule::LDAP::Host'} = '192.168.1.2'; $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=jakonda,dc=local'; $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName'; # Проверка наличия пользователя в группе OTRS_Agents, для доступа к Агентурному порталу $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OTRS_Agents,ou=Users,dc=jakonda,dc=local'; $Self->{'AuthModule::LDAP::AccessAttr'} = 'member'; $Self->{'AuthModule::LDAP::UserAttr'} = 'DN'; $Self->{'AuthModule::LDAP::SearchUserDN'} = 'admin.otrs@jakonda.local'; $Self->{'AuthModule::LDAP::SearchUserPw'} = 'Aa1234567'; $Self->{'AuthModule::LDAP::Params'} = { port => 389, timeout => 120, async => 0, version => 3, sscope => 'sub' }, # Синхронизация пользователей из каталога LDAP $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP'; $Self->{'AuthSyncModule::LDAP::Host'} = '192.168.1.2'; $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=jakonda,dc=local'; $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName'; $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'admin.otrs@jakonda.local'; $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'Aa1234567'; $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = { UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', }; # Синхронизировать пользователей из указанного каталога $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [ 'ActiveUsers', ]; # Авторизация SSO в клиентский портал $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth'; $Self->{'Customer::AuthModule::HTTPBasicAuth::ReplaceRegExp'} = '@JAKONDA.LOCAL'; # Можно задать страницу редиректа в случае авторизации и деавторизации $Self->{CustomerPanelLoginURL1} = 'http://helpdesk/otrs/customer.pl'; $Self->{CustomerPanelLogoutURL1} = 'http://helpdesk/otrs/customer.pl'; $Self->{'Customer::AuthModule::LDAP::Host'} ='192.168.1.2'; $Self->{'Customer::AuthModule::LDAP::BaseDN'} = 'dc=jakonda,dc=local'; $Self->{'Customer::AuthModule::LDAP::UID'} = 'sAMAccountName'; $Self->{'Customer::AuthModule::LDAP::SearchUserDN'} = 'admin.otrs@jakonda.local'; $Self->{'Customer::AuthModule::LDAP::SearchUserPw'} = 'Aa1234567'; $Self->{CustomerUser} = { Module => 'Kernel::System::CustomerUser::LDAP', Params => { Host => '192.168.1.2', BaseDN => 'dc=jakonda,dc=local', SSCOPE => 'sub', UserDN => 'admin.otrs@jakonda.local', UserPw => 'Aa1234567', AlwaysFilter => '(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))', SourceCharset => 'utf-8', DestCharset => 'utf-8', }, CustomerKey => 'sAMAccountName', CustomerID => 'mail', CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'], CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'], CustomerUserSearchPrefix => '', CustomerUserSearchSuffix => '*', CustomerUserSearchListLimit => 10000, CustomerUserPostMasterSearchFields => ['mail'], CustomerUserNameFields => ['givenname', 'sn'], Map => [ #[ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ], [ 'UserFirstname', 'Firstname', 'displayname', 1, 1, 'var' ], [ 'UserLastname', 'Lastname', '', 1, 1, 'var' ], [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ], [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ], [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ], ], }; # ---------------------------------------------------- #
Перезапускаем веб-сервер apache:
service apache2 restart
Проверяем аутентификацию доменных пользователей в агентурном портале (http://OTRS_Server_IP/otrs/index.pl) и пользовательском (http://OTRS_Server_IP/otrs/customer.pl). При входе на тот или иной портал, авторизация должна пройти автоматически