OTRS 6 - интеграция с AD - пользователи с правами администратора домена отображаются как агенты, а не как администраторы OTRS
Я тестирую OTRS 6 с модулем ITSM. Прямо сейчас я тестирую его только в нашей среде DEV, поэтому не будет проблемой бросить все и начать с нуля, если это самый простой способ. Я намерен вскоре запустить его в производство, хотя
Я установил его «по инструкции», используя официальную документацию, и он отлично сработал! ( РЕДАКТИРОВАТЬ : установлен на Ubuntu Server 18.04 LTS) У меня все пользователи проходят аутентификацию локально, используя базу данных пользователей в MySQL. У меня были клиенты, агенты и администраторы, которые могли пройти аутентификацию и получить правильную пользовательскую панель.
После этого я смог успешно интегрировать OTRS с моим AD, но с одной уловкой: все мои пользователи AD отображаются как Клиенты, все мои администраторы домена (которые также принадлежат к группе AD OTRS_Admins) являются агентами, и .... У меня нет учетной записи для управления OTRS. Никаких админов.
Что мне делать? Как я могу сопоставить моих администраторов домена администраторами OTRS, а не агентами? Как сделать так, чтобы некоторые из пользователей моего домена были агентами? Я делаю что-то неправильно? Я совершенно потерялся.
Официальная документация не очень помогает, и я не смог найти в Google никого с моими конкретными потребностями.
Мой (отредактированный) Config.pm:[127 provided
На самом деле это проблема из трех частей:
- Когда я использовал бэкэнд LDAP, я потерял своих пользователей из бэкэнда БД (включая суперпользователя root @ localhost)
- Агент пользователи из бэкэнда LDAP не имели прав администратора
- Документация OTRS кое-где устарела
Проблема 1: потерял бэкэнд БД
В Config.pm я вставил следующую строку, чтобы выбрать бэкэнд агента:
$ Self -> {'AuthModule'} = 'Kernel :: System :: Auth :: LDAP';
Что ж, эта строка отменяет исходный внутренний селектор в другом месте системы. Итак, для того, чтобы иметь пользователей DB Backend Admin, а также пользователей агента LDAP, вы должны использовать собственный (и задокументированный!) Способ OTRS иметь несколько бэкендов, который добавляет числовой суффикс к экземпляру модуля (обратите внимание на de 1 сразу после AuthModule ):
$ Self -> {'AuthModule1'} = 'Kernel :: System :: Auth :: LDAP';
Конечно, вы необходимо указать число во всех свойствах модулей:
$Self->{'AuthModule::LDAP::Host1'} = '192.168.xx.xx';
$Self->{'AuthModule::LDAP::BaseDN1'} = 'dc=test,DC=local';
$Self->{'AuthModule::LDAP::UID1'} = 'sAMAccountName';
$Self->{'AuthModule::LDAP::GroupDN1'} = CN=GS_OTRS_Agents,CN=Users,DC=test,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr1'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr1'} = 'DN';
$Self->{'AuthModule::LDAP::SearchUserDN1'} = 'OTRS'; #OTRS LDAP User
$Self->{'AuthModule::LDAP::SearchUserPw1'} = 'somepass'; #Password for the LDAP User
$Self->{'AuthModule::LDAP::AlwaysFilter1'} = '';
$Self->{'AuthModule::LDAP::Params1'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
sscope => 'sub'
};
(Сравните это с кодом, опубликованным выше, по исходному вопросу.)
Честно говоря, это раздел в Руководстве администратора OTRS, объясняющий, как изменить бэкэнд, и как иметь более одного бэкэнда. Но информация о том, что если вы используете $ Self -> {'AuthModule'} вместо $ Self -> {'AuthModule1'} , то вместо запуска обоих бок о бок отсутствует. Потребовалось много мертвых мозгов, чтобы понять это.
Это решило проблему потери моих пользователей Admin, которые все были в исходной БД. Все агенты LDAP не были полными администраторами, поэтому они могли отвечать на заявки, но не могли управлять системой OTRS как администраторы. При этом у меня были оба типа пользователей.
Это подводит нас ко второй проблеме.
Проблема 2: Пользователи-агенты из серверной части LDAP не имели прав администратора
То есть я должен иметь возможность создать пользователя-агента в моем AD, и он / она также должны иметь возможность быть администраторами. И они есть!
`$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users',
];`
Если бы я поместил в этот список не только «пользователей», а также «basic_admin», все мои первоначальные агенты также были бы администраторами. Я мог бы отозвать их права администратора позже, но поскольку я был заблокирован за пределами OTRS без пользователей с правами администратора из-за проблемы 1, я не мог предоставить или отозвать какие-либо права администратора кому-либо.
В конце концов, я выбралчтобы оставить все как есть, и создать моих агентов как простых пользователей, потому что у меня уже есть мой первоначальный пользователь root @ localhost в качестве администратора (как я решил проблему 1), и я буду предоставлять права администратора вручную для всех моих будущих администраторов. Но это еще одна не очень хорошо задокументированная деталь в Руководстве администратора OTRS.
Проблема 3: Руководство администратора OTRS не полностью обновлено
Я понимаю, что со всеми проектами OpenSource это могло происходить время от времени. Но здесь, там и везде, есть некоторые подводные камни из-за вводящей в заблуждение информации, унаследованной от предыдущих версий OTRS, которые не были обновлены. Например, есть некоторые свойства, которые упоминаются в руководстве, но не действительны для версии 6.
Я наткнулся на одно, которое было для версии 5 и не было удалено из версии 6. Я имею в виду ссылку на свойства 'Страница QuickRef была удалена, потому что страница - и свойство - больше не существует, но она все еще упоминается в других местах руководства в важных разделах конфигурации.