Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.04

Hilfe zu OTRS Problemen aller Art
Post Reply
G0bi
Znuny newbie
Posts: 15
Joined: 28 Nov 2013, 10:32
Znuny Version: 3.3.8

Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.04

Post by G0bi »

Hallo Leute, wer kann mir mal ein wenig unter die Arme greifen?

Wir haben derzeit OTRS 3.3.8 im Einsatz, LDAP Authentifizierung der Kunden und Agenten funktioniert auch.

Wo wir noch scheitern ist Single Sign On. Ich hab schon mehrere Möglichkeiten ausprobiert, doch will irgendwie nichts funktionieren.

Das System ist auf einer Ubuntu 14.04 Maschine aufgesetzt. Für den Single Sign On soll der IE 11 genutzt werden. Kompatibilitätsmodus ist deaktiviert. In die Intranetzone wurde die Maschine aufgenommen.

Auszug Config.pm

Code: Select all

  $Self->{'Customer::AuthModule1'} = 'Kernel::System::CustomerAuth::LDAP';
  $Self->{'Customer::AuthModule::LDAP::Host1'} = 'x.x.x.x';
  $Self->{'Customer::AuthModule::LDAP::BaseDN1'} = 'OU=xxx, DC=DOMÄNE, DC=local';
  $Self->{'Customer::AuthModule::LDAP::UID1'} = 'sAMAccountName';
  $Self->{'Customer::AuthModule::LDAP::GroupDN1'} = 'CN=G_xxx,OU=xxx1,OU=xxx2,OU=xxx3,DC=DOMÄNE,DC=local';
  $Self->{'Customer::AuthModule::LDAP::SearchUserDN1'} = 'user@domäne.local';
  $Self->{'Customer::AuthModule::LDAP::SearchUserPw1'} = 'passwort';


  $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';
#$Self->{'Customer::AuthModule::HTTPBasicAuth::Replace'} = 'DOMÄNE\\';
$Self->{'Customer::AuthModule::HTTPBasicAuth::ReplaceRegExp'} = '@domäne.local';
Zunächst haben wir es ohne Kerberos versucht, dann aber doch eingerichtet laut

http://otrshowto.blogspot.de/

Auszug aus Apache otrs.conf

Code: Select all


<Directory "/opt/otrs/bin/cgi-bin/">
    AllowOverride None
    AddHandler cgi-script .cgi .pl
    Options +ExecCGI -Includes
    AuthType Kerberos
    AuthName "DOMÄNE.LOCAL"
    Krb5Keytab /etc/apache2/keytabs/helpdesk.keytab
    KrbAuthRealms DOMÄNE.LOCAL
    KrbMethodNegotiate on
    KrbSaveCredentials  off
    #KrbMethodK5Passwd on
    Require valid-user
    Order allow,deny
    Allow from all

Inhalt krb5.conf

Code: Select all


[libdefaults]
	default_realm = DOMÄNE.LOCAL
	dns_lookup_realm = false
 	dns_lookup_kdc = false

[realms]
WINTERHALDER.LOCAL = {
kdc = dc.domäne.local:88
default_domain = domäne.local
}

[domain_realm]
        .domäne.local = DOMÄNE.LOCAL
	domäne.local = DOMÄNE.LOCAL
Wer hat gute Infos, kann unterstützen?

Wenn ich die http://helpdesk/otrs/customer.pl aufrufe sagt er Benutzername oder Passwort falsch. Im Systemprotokoll von OTS steht folgendes:

Need User!
No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER} !(REMOTE_ADDR: x.x.x.x).


Vorab vielen Dank

Gruß Stefan
zip
Znuny advanced
Posts: 103
Joined: 02 Jan 2014, 12:32
Znuny Version: 5.0.9

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.

Post by zip »

für den SSO musst du folgendes an deinem Link anfügen: /?Action=Login

zB für den customer login: http://helpdesk/otrs/customer.pl/?Action=Login
OTRS 5.0.9 - CentOS 7 - MariaDB 5.5
G0bi
Znuny newbie
Posts: 15
Joined: 28 Nov 2013, 10:32
Znuny Version: 3.3.8

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.

Post by G0bi »

Hallo Zip,

danke für den Hinweis, aber das wird automatisch mit übergeben. Das heißt auch bei deinem vorgeschlagenen Link funktioniert das nicht.

Weitere Ideen?

Gruß Stefan
You do not have the required permissions to view the files attached to this post.
KlausNehrer
Znuny ninja
Posts: 1312
Joined: 25 May 2012, 08:51
Znuny Version: OTRS 4
Real Name: Klaus Nehrer

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.

Post by KlausNehrer »

Es liest sich ja so, als würde kein Benutzer (REMOTE_USER) an OTRS weitergegeben. Unter Umständen erhält auch der Webserver schon keinen "Benutzer", der in diese Variable kopiert werden kann. Also entweder die Einstellungen im Browserprüfen oder auf dem Webserver testen, ob er tatsächlich so eine Variable befüllen kann.
G0bi
Znuny newbie
Posts: 15
Joined: 28 Nov 2013, 10:32
Znuny Version: 3.3.8

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.

Post by G0bi »

Hallo Klaus,

vielen Dank für den Hinweis, weißt du wie man das Webserverseitig testen könnte ob ein Benutzer übergeben wird?

Gruß Stefan
Matthias42
Znuny newbie
Posts: 17
Joined: 27 May 2014, 22:40
Znuny Version: 4.0.1
Real Name: Matthias Honold

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.

Post by Matthias42 »

Order allow,deny
Allow from all

auskommentieren.
G0bi
Znuny newbie
Posts: 15
Joined: 28 Nov 2013, 10:32
Znuny Version: 3.3.8

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.

Post by G0bi »

Hat leider auch nichts gebracht, ich komm einfach nicht weiter. Wo kann ich noch ansetzen?

Bin jetzt wieder auf Basic Athentifizierung gegangen, aber selber Fehler, need User!

Code: Select all

  $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';

Code: Select all

    <Location /otrs>
  #      ErrorDocument 403 /otrs/customer.pl
        ErrorDocument 403 /otrs/index.pl
        SetHandler  perl-script
        PerlResponseHandler ModPerl::Registry
        Options +ExecCGI
        PerlOptions +ParseHeaders
        PerlOptions +SetupEnv
  PerlAuthenHandler Apache2::AuthenNTLM
  AuthType ntlm,basic
  AuthName Basic
  require valid-user
  PerlAddVar ntdomain "DOMÄNENNAME pdc"
  PerlSetVar defaultdomain DOMÄNENNAME
  PerlSetVar splitdomainprefix 1

        <IfModule mod_version.c>
            <IfVersion < 2.4>
                Order allow,deny
                Allow from all
            </IfVersion>
            <IfVersion >= 2.4>
                Require all granted
            </IfVersion>
        </IfModule>
        <IfModule !mod_version.c>
            Order allow,deny
            Allow from all
        </IfModule>
    </Location>
Matthias42
Znuny newbie
Posts: 17
Joined: 27 May 2014, 22:40
Znuny Version: 4.0.1
Real Name: Matthias Honold

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.

Post by Matthias42 »

also Ubuntu 14.04 bringt wohl Apache 2.4.x mit.
Das hier kann komplett weg:
<IfModule mod_version.c>
<IfVersion < 2.4>
Order allow,deny
Allow from all
</IfVersion>
<IfVersion >= 2.4>
Require all granted
</IfVersion>
</IfModule>
<IfModule !mod_version.c>
Order allow,deny
Allow from all
</IfModule>
siehe:
http://httpd.apache.org/docs/current/mo ... _core.html
hibaaryan
Znuny newbie
Posts: 1
Joined: 05 Jan 2015, 09:54
Znuny Version: 52.26

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.04

Post by hibaaryan »

Sehr schade reneeb den dass sind keine Fragen wie etwas gelöst werden kann sondern lediglich ob dies den möglich wäre!

Bekommt man im Forum keine Hilfe bezüglich Service Kunden AddOn´s den ich bin ein solcher Kunde und finde dies eine äußerst dürftige
Cut down your exam stress by using our latest pmp course exam and high quality ccna questions and Microsoft Exams mcdst demos. We provide updated www.berklee.edu questions with Olivet Nazarene University
reneeb
Znuny guru
Posts: 5018
Joined: 13 Mar 2011, 09:54
Znuny Version: 6.0.x
Real Name: Renée Bäcker
Company: Perl-Services.de
Contact:

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.04

Post by reneeb »

hibaaryan wrote:Sehr schade reneeb den dass sind keine Fragen wie etwas gelöst werden kann sondern lediglich ob dies den möglich wäre!
Worauf bezieht sich das?
Bekommt man im Forum keine Hilfe bezüglich Service Kunden AddOn´s den ich bin ein solcher Kunde und finde dies eine äußerst dürftige
Wenn Du Servicekunde bei der xxx bist, solltest Du Dich an deren Support wenden (Du bezahlst ja auch dafür, dass Du dort (schnell und) kompetent Hilfe bekommst).

Dieses Forum kann in der Regel keine Hilfe zu den Feature-AddOns der xxx geben, weil diese nicht frei verfügbar sind und die meisten hier diese AddOns nicht haben, also auch nichts zu Funktionalitäten/Möglichkeiten sagen können. Das hier ist ein Forum betrieben von der OTRS Community, die sich meistens mit dem OTRS-Framework (Basis-OTRS) und OTRS::ITSM auskennt. Außerdem müssen wir auch irgendwann arbeiten und können keine Antworten garantieren.
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
kleinemeise
Znuny newbie
Posts: 47
Joined: 03 Jun 2016, 13:05
Znuny Version: 5.0.24

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.04

Post by kleinemeise »

Hallo Leute,

ich würde das Thema gern nochmal aufgreifen. Ich stehe aktuell vor genau dem gleichen Problem. Habe Apache 2.4.10 auf Debian.

In meiner Apache otrs.conf habe ich wie folgt eingefügt:

Code: Select all

LoadModule auth_kerb_module usr/lib/apache2/modules/mod_auth_kerb.so
<Directory "/opt/otrs/bin/cgi-bin/">
    AllowOverride None
    Options +ExecCGI -Includes

  AuthType Kerberos
  AuthName "OTRS"
  Krb5Keytab /etc/apache2/keytabs/otrstestserver_intern.keytab
  KrbAuthRealms DOMAIN.INTERN
  KrbMethodNegotiate on
  KrbSaveCredentials  off
  KrbMethodK5Passwd on
  Require valid-user
  Order allow,deny
  Allow from all
		
    <IfModule mod_version.c>
        <IfVersion < 2.4>
            Order allow,deny
            Allow from all
        </IfVersion>
        <IfVersion >= 2.4>
		 ##
		
         #   Require all granted
			Order allow,deny
            Allow from all
        </IfVersion>
    </IfModule>
    <IfModule !mod_version.c>
        Order allow,deny
        Allow from all
    </IfModule>

    <IfModule mod_filter.c>
        <IfModule mod_deflate.c>
            AddOutputFilterByType DEFLATE text/html text/javascript application/javascript text/css text/xml application/json text/json
         </IfModule>
    </IfModule>

</Directory>
Aber der Apache übergibt keine Daten - hat jemand noch einen Tipp?
wurzel
Znuny guru
Posts: 3224
Joined: 08 Jul 2010, 22:25
Znuny Version: x.x.x
Real Name: Florian

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.04

Post by wurzel »

Hi,

Real Single Sign On ist ein eigenes Thema für sich.

Ohne dass Du uns Deine kerberos Infos zeigst, und/oder logfiles kann Dir niemand helfen. Manchmal ist auch nur eine nicht synchronisierte Uhrzeit der Fehler.
Es ist wirklich ein Thema für Experten

Also entweder bringst Du mehr Infos über Deine Umgebung oder Du suchst Dir einen Experten.

viele Grüße
Florian
OTRS 8 SILVER (Prod)
OTRS 8 auf Debian 11 (Test)
Znuny 7.x latest version testing auf Debian 11

-- Ich beantworte keine Forums-Fragen PN - No PN please

I won't answer to unfriendly users any more. A greeting and regards are just polite.
dgoeger
Znuny newbie
Posts: 30
Joined: 11 Feb 2013, 18:46
Znuny Version: 6.0.1

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.04

Post by dgoeger »

Hi,

kommentiere mal folgenden Absatz aus:

Code: Select all

 <IfModule mod_version.c>
        <IfVersion < 2.4>
            Order allow,deny
            Allow from all
        </IfVersion>
        <IfVersion >= 2.4>
       ##
      
         #   Require all granted
         Order allow,deny
            Allow from all
        </IfVersion>
    </IfModule>
    <IfModule !mod_version.c>
        Order allow,deny
        Allow from all
    </IfModule>
und dann mal testen ob es funktioniert.
Wenn nicht folgendes noch ändern:

Code: Select all

# Order allow,deny
 # Allow from all
 Require valid-user
 
Hast du dein keytab file schon mal mit kinit getestet?

MfG
Dominik
kleinemeise
Znuny newbie
Posts: 47
Joined: 03 Jun 2016, 13:05
Znuny Version: 5.0.24

Re: Altes Klaglied OTRS LDAP SSO / Single Sign On Ubuntu 14.04

Post by kleinemeise »

dgoeger wrote:Hi,

kommentiere mal folgenden Absatz aus:

Code: Select all

 <IfModule mod_version.c>
        <IfVersion < 2.4>
            Order allow,deny
            Allow from all
        </IfVersion>
        <IfVersion >= 2.4>
       ##
      
         #   Require all granted
         Order allow,deny
            Allow from all
        </IfVersion>
    </IfModule>
    <IfModule !mod_version.c>
        Order allow,deny
        Allow from all
    </IfModule>
und dann mal testen ob es funktioniert.
Wenn nicht folgendes noch ändern:

Code: Select all

# Order allow,deny
 # Allow from all
 Require valid-user
 
Hast du dein keytab file schon mal mit kinit getestet?

MfG
Dominik

Wenn ich das Umsetze bekomme ich nur noch folgendes angezeigt:
Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator at webmaster@localhost to inform them of the time this error occurred, and the actions you performed just before this error.

More information about this error may be available in the server error log.


Apache/2.4.10 (Debian) Server at otrs-test.FIRMA.intern Port 80
kinit funktioniert eigentlich sauber:

Code: Select all

root@otrs-test:~# kinit -VV -k -t /etc/apache2/keytabs/otrstestserver_intern.keytab HTTP/otrs-test.FIRMA.intern@FIRMA.INTERN
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/otrs-test.FIRMA.intern@FIRMA.INTERN
Using keytab: /etc/apache2/keytabs/otrstestserver_intern.keytab
Authenticated to Kerberos v5
Gern liefere ich auch mehr Info - ich weiß nur nicht, welche Ihr benötigt?
Post Reply