Varenikus
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я ставил OTRS на Юбунту как устанавливать описывать не буду мануалов хватает Для корректной работы аутентификации через Kerberos нужно, 1.чтобы время на серверах и рабочих станциях совпадало. 2. Необходимо обязательно правильно настроить файлы /etc/hosts, /etc/hostname, /etc/resolv.conf, ну и конечно /etc/network/interfaces. После установки krb5-user 1 Конфигурим krb5.conf : [libdefaults] default_realm = YOURDOMAIN kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true [realms] DOMAIN.LOCAL = { kdc = DC admin_server = DC default_domain = YOURDOMAIN } [domain_realm] .domain.com = YOURDOMAIN domain.com = YOURDOMAIN [login] krb4_convert = false krb4_get_tickets = false Имя домена писать большими буквами не знаю почему но так заработало 2Генерим ключи на DC (Win2008) domain controller: ktpass -princ HOST/hostn...@yourdomain -mapuser userforapache@ YOURDOMAIN -crypto ALL -pass XXXXXPASSWORDXXXX -ptype KRB5_NT_PRINCIPAL -out host.keytab ktpass -princ HTTP/ hostn...@yourdomain -mapuser httpserviceuser@ YOURDOMAIN -pass XXXXXPASSWORDXXXX -out HTTP.keytab setspn.exe -A HTTP/ hostn...@yourdomain Для домена на Win2008 ключ –ptype - KRB5_NT_PRINCIPAL , для домена на Win2003 ключ -ptype KRB5_NT_SRV_HST 3 Копируем ключи на машину с OTRS и создать из них файл conf/apache.keytab. Этот файл создается при помощи утилиты ktutil: ktutil ktutil: read_kt host.keytab ktutil: read_kt http.keytab ktutil: list slot KVNO Principal ---- ---- ------------------------------------ 1 1 host/ hostn...@yourdomain 2 1 HTTP/ hostn...@yourdomain ktutil: write_kt apache.keytab Проверяем корректность работы kinit -k HTTP/hostn...@yourdomain И kinit -t apache.keytab -k HTTP/ hostn...@yourdomain Если никаких ошибок нет то можно идти дальше chown root.www-data /etc/apache/conf/apache.keytab chmod 0640 /etc/apache/conf/apache.keytab 4 Ставим mod_auth_kerb на Апач 5 Вносим изменения в конфу апача otrs.conf LoadModule auth_kerb_module modules/mod_auth_kerb.so <Directory "/opt/otrs/bin/cgi-bin/"> AllowOverride None AuthType Kerberos AuthName "YOURDOMAIN" Krb5Keytab /etc/apache/conf/apache.keytab KrbAuthRealms YOURDOMAIN KrbMethodNegotiate on KrbSaveCredentials on KrbServiceName HTTP/otrs.YOURDOMAIN Require valid-user Options +ExecCGI -Includes Order allow,deny Allow from all </Directory> 6 Конфиг настроек OTRS $Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth'; $Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} ='@YOURDOMAIN'; $Self->{LoginURL} = 'http://your_webserver_fqdn/otrs-web/not-authorised-for-otrs.html'; $Self->{LogoutURL} = 'http://your_webserver_fqdn/otrs-web/thanks-for-using-otrs.html'; $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth'; $Self->{'Customer::AuthModule::HTTPBasicAuth::ReplaceRegExp'} ='@YOURDOMAIN'; $Self->{CustomerUser} = { Module => 'Kernel::System::CustomerUser::LDAP', Params => { Host => '1.1.1.1', BaseDN => 'dc=yourdomain,dc=xxx', SSCOPE => 'sub', UserDN => 'cn=<userwith read permission>,cn=users,dc=yourdomain,dc=xxx', UserPw => 'password', }, CustomerKey => 'sAMAccountName', CustomerID => 'mail', CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'], CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'], CustomerUserPostMasterSearchFields => ['mail'], CustomerUserNameFields => ['givenname', 'sn'], Map => [ # note: Login, Email and CustomerID needed! # var, frontend, storage, shown, required, storage-type # [ 'UserSalutation', 'Title', 'title', 1, 0, 'var' ], [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ], [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ], [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ], [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ], [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ], # [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ], # [ 'UserAddress', 'Address', 'postaladdress', 1, 0, 'var' ], # [ 'UserComment', 'Comment', 'description', 1, 0, 'var' ], ], }; последний штрих настройка IE указать автоматический логон и добавить комп с OTRS в список узлов местной сети |