Selektiver SSO möglich?

[DanielBaehr]

Hallo zusammen,

ich setze seit einiger Zeit OTRS ein und benutze zur Authentifizierung SSO (Kernel::System::Auth::HTTPBasicAuth) und verwende dann den LDAP-Sync (Kernel::System::Auth::Sync::LDAP), um die erfolgreich angemeldeten User in die Datenbank zu syncen und mit den passenden Rollen auszustatten.
Das funktioniert problemlos, also wird jeder erfolgreich authentifizierte Benutzer (und damit jeder an Apache mit Kerberos authentifizierte Domänenbenutzer) in die OTRS-Datenbank geschrieben und ihm die richtige Rolle (entsprechend der Rolle im AD) zugewiesen.
Soweit so gut. Mein Problem ist allerdings, dass ich nicht möchte, dass automatisch jeder Benutzer in die Datenbank mittels Sync-Modul in die Datenbank geschrieben wird. Ich kann zwar einstellen, welche Rolle/Gruppe ihm zugewiesen wird anhand der AD-Gruppen, aber ich kann nicht den Sync verhindern, wenn er keiner der möglichen AD-Gruppen zugewiesen ist. Es sieht für mich somit aus, als würde immer automatisch der Sync erfolgen, sobald auch die SSO-Authentifzierung erfolgreich war. Daher ist meine Frage, ob ich entweder für einen erfolgreichen Sync noch eine AD-Gruppenmitgliedschaft als Voraussetzung definieren kann, oder ob ich dem HTTPBasicAuth-Modul vorgeben kann nur eine bestimmte Gruppe erfolgreich zu authentifizieren.

Gibt es von euch da Ratschläge, wie ich das umsetzen kann? Aktuell habe ich das Problem, dass jeder Benutzer ins OTRS beim ersten Aufruf in die DB geschrieben wird und es dann aber Fehlermeldungen hagelt, da der Benutzer natürlich keiner Gruppe/Rolle hinterlegt ist (und das auch nicht sein soll).

Danke für eure Tips!

Viele Grüße
Daniel