Hallo OTRS-Liste,
ich habe mir gerade die Appliance heruntergeladen und diese (in der
aktuellen Version) installiert.
Ich bin also Neuling im Bereich PRTG, so please be polite :-D
Ich habe vor, folgendes zu Realisieren:
1) lokale Anmeldung
die lokale Anmeldung ist ja mit der Installation installiert worden.
hier wollte ich mir einfach einen 2. Benutzer lokal anlegen, welcher die
selben Rechte hat, wie der bei der Installation erstellte Benutzer. Ist
kein Problem, ist gelöst.
2) Anbindung eines Microsoft AD's für die "Kunden", basierend auf einer
Gruppenmitgliedschaft, z.B. PRTG_Kunden
3) Anbindung eines weiteren Microsoft AD's für die "Agents", basierend auf
einer anderen Gruppenmitgliedschaft (z.B. PRTG_Agenten), welche sich im
SELBEN Active Directory wie die Kunden befinden
4) Alternativ, Anbindung eines weiteren AD's für Kunde 2.
Mir ist wichtig, das die Werte aus dem AD (z.B. für Vorname, Nachname,
Email, Telefonnummer,usw.) mit Synchronisiert werden, so das ich die
Kundenaccounts nicht 2 mal Pflegen muss.
Auch wäre mir wichtig, Die Queues aufgrund einer weiteren
Gruppenzugehörigkeit auszuwählen.
Ein Kunde hat also generell immer die Sicherheitsgruppe PRTG_Kunden und
eine weitere, welche bestimmt in welcher Queue das Ticket erscheint, z.B.
Queue_Buchhaltung.
Was funktioniert:
lokale Anmeldung hat funktioniert
Anbindung eines AD's für die Agenten hat funktioniert.
Was funktioniert nicht?
Nach der Anbindung eines AD's für die Agenten konnte ich mich jedoch mit
den lokalen Accounts nicht mehr anmelden.
Die Anbindung der Kunden und die Zuordnung als "Kunde" basierend auf der
Gruppenmitgliedschaft ist mir nicht klar. Hat da jemand eine
Beispielkonfiguration für mich?
Meine Config.PM-Datei sieht zur Zeit so aus:
# This is an example configuration for using an MS AD backend
$Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
$Self->{'AuthModule::LDAP::Host'} = 'domaincontroller01.prtglab.local';
$Self->{'AuthModule::LDAP::BaseDN'} = 'dc=prtglab,dc=local';
$Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';
# Check if the user is allowed to auth in a posixGroup
# (e. g. user needs to be in a group OTRS_Agents to use otrs)
$Self->{'AuthModule::LDAP::GroupDN'} = 'CN=SG_OTRS,OU=ZZ_Global
Security Groups,OU=Hamburg,DC=prtglab,DC=local';
$Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
$Self->{'AuthModule::LDAP::UserAttr'} = 'DN';
# Bind credentials to log into AD
$Self->{'AuthModule::LDAP::SearchUserDN'} = 'CN=ldapread,OU=ZZ_System
Accounts,OU=Hamburg,DC=prtglab,DC=local';
$Self->{'AuthModule::LDAP::SearchUserPw'} = 'myPassword';
# in case you want to add always one filter to each ldap query, use
# this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter =>
'(objectclass=user)'
$Self->{'AuthModule::LDAP::AlwaysFilter'} = '';
# in case you want to add a suffix to each login name, then
# you can use this option. e. g. user just want to use user but
# in your ldap directory exists user@domain.
#$Self->{'AuthModule::LDAP::UserSuffix'} = '';
# Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
$Self->{'AuthModule::LDAP::Params'} = {
port => 389,
timeout => 120,
async => 0,
version => 3,
};
# Now sync data with OTRS DB
$Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
$Self->{'AuthSyncModule::LDAP::Host'} =
'domaincontroller01.prtglab.local';
$Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=prtglab, dc=local';
$Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
$Self->{'AuthSyncModule::LDAP::SearchUserDN'} =
'CN=ldapread,OU=ZZ_System Accounts,OU=Hamburg,DC=prtglab,DC=local';
$Self->{'AuthSyncModule::LDAP::SearchUserPw'} = 'myPassword';
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
};
# AuthSyncModule::LDAP::UserSyncInitialGroups
# (sync following group with rw permission after initial create of
first agent
# login)
$Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
'users',
];
Für die Anbindung eines weiteren AD's müsste ich doch den gesamten Block
noch mal haben, richtig?
Wie unterschiedet OTRS denn, ob die AD-Anbindung für die Agents oder für
die Kunden ist?
hier: ? $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
Die Synchronisation der AD-Felder bzw. die Zuordnung passiert hier?
$Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
# DB -> LDAP
UserFirstname => 'givenName',
UserLastname => 'sn',
UserEmail => 'mail',
Vielen Dank
Stefan Müller