Hallo Liste, unsere Agenten müssen neben OTRS alle eine Web App nutzen, die Konten dazu liegen in unserem eDirectory, daher wollte ich den OTRS Login auch auf diese Konten umstellen. Hat auch geklappt. Für den Fall, dass der Verzeichnisdienst mal hakt, wollte ich die Datenbank als zweite Authentifizierungsmöglichkeit haben, den Sync bei der Anmeldung habe ich schon eingerichtet. Wie kann ich aber in der config.pm sagen, dass der Verzeichnisdienst die eine und die Datenbank die zweite Möglichkeit sein soll? Momentan geht entweder LDAP oder DB. Und noch eine Verständnisfrage zur Synchronisation: Ich hatte das so verstanden, dass OTRS ALLE User, die in der entsprechenden LDAP Group stehen, beim ersten Login synchronisiert. Bei mir wurde aber nur der User angelegt, mit dem ich mich auch angemeldet habe. Dieser hatte dann Vollzugriff auf die OTRS Gruppe users. So würde das aber bedeuten, dass sich jeder Benutzer erst mal angemeldet haben muß, bevor man ihn in eine OTRS Gruppe oder eine OTRS Rolle bekommt. Oder mache ich es nur falsch? Viele Grüße, Markus
Hallo Markus, warum nutzt Du keinen Load Balancer, damit hast Du auch einen Failover wenn mal ein LDAP/LDAPS Service steht ... macht die Konfig auch simpler. Grüsse Christoph -----Ursprüngliche Nachricht----- Von: otrs-de-bounces@otrs.org [mailto:otrs-de-bounces@otrs.org] Im Auftrag von Ludwig Markus Gesendet: Donnerstag, 12. Dezember 2013 11:36 An: 'User questions and discussions about OTRS.org in German' Betreff: [otrs-de] Mehrere Auth-Backends für Agenten Hallo Liste, unsere Agenten müssen neben OTRS alle eine Web App nutzen, die Konten dazu liegen in unserem eDirectory, daher wollte ich den OTRS Login auch auf diese Konten umstellen. Hat auch geklappt. Für den Fall, dass der Verzeichnisdienst mal hakt, wollte ich die Datenbank als zweite Authentifizierungsmöglichkeit haben, den Sync bei der Anmeldung habe ich schon eingerichtet. Wie kann ich aber in der config.pm sagen, dass der Verzeichnisdienst die eine und die Datenbank die zweite Möglichkeit sein soll? Momentan geht entweder LDAP oder DB. Und noch eine Verständnisfrage zur Synchronisation: Ich hatte das so verstanden, dass OTRS ALLE User, die in der entsprechenden LDAP Group stehen, beim ersten Login synchronisiert. Bei mir wurde aber nur der User angelegt, mit dem ich mich auch angemeldet habe. Dieser hatte dann Vollzugriff auf die OTRS Gruppe users. So würde das aber bedeuten, dass sich jeder Benutzer erst mal angemeldet haben muß, bevor man ihn in eine OTRS Gruppe oder eine OTRS Rolle bekommt. Oder mache ich es nur falsch? Viele Grüße, Markus --------------------------------------------------------------------- OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de
Hallo Christoph, tatsächlich hängt unser LDAP hinter einem Load Balancer :-). Aber auch die Kommunikation mit diesem Dienst kann mal von einer Störung betroffen sein, und es war ja nur ein Teil meiner frage. Wenn ich nur ein Backend zur Nutzerauthentifizierung habe, müßte ich mich jetzt erst mit meinem LDAP-User anmelden, der später Admin in OTRS sein soll, danach das Backend auf DB umstellen und nach einer Anmeldung als Root den entsprechenden Benutzer in die Admin-Gruppe aufnehmen, dann das Backend wieder auf LDAP schalten. Das ist vielleicht etwas umständlich, auch wenn es verhindert, dass sich jemals eine Person mit dem OTRS Root Benutzer anmeldet :-). Viele Grüße, Markus
-----Original Message----- From: otrs-de-bounces@otrs.org [mailto:otrs-de-bounces@otrs.org] On Behalf Of Ohliger, Christoph Sent: Thursday, December 12, 2013 11:47 AM To: 'User questions and discussions about OTRS.org in German' Subject: Re: [otrs-de] Mehrere Auth-Backends für Agenten
Hallo Markus,
warum nutzt Du keinen Load Balancer, damit hast Du auch einen Failover wenn mal ein LDAP/LDAPS Service steht ... macht die Konfig auch simpler.
Grüsse Christoph
-----Ursprüngliche Nachricht----- Von: otrs-de-bounces@otrs.org [mailto:otrs-de-bounces@otrs.org] Im Auftrag von Ludwig Markus Gesendet: Donnerstag, 12. Dezember 2013 11:36 An: 'User questions and discussions about OTRS.org in German' Betreff: [otrs-de] Mehrere Auth-Backends für Agenten
Hallo Liste,
unsere Agenten müssen neben OTRS alle eine Web App nutzen, die Konten dazu liegen in unserem eDirectory, daher wollte ich den OTRS Login auch auf diese Konten umstellen. Hat auch geklappt.
Für den Fall, dass der Verzeichnisdienst mal hakt, wollte ich die Datenbank als zweite Authentifizierungsmöglichkeit haben, den Sync bei der Anmeldung habe ich schon eingerichtet.
Wie kann ich aber in der config.pm sagen, dass der Verzeichnisdienst die eine und die Datenbank die zweite Möglichkeit sein soll? Momentan geht entweder LDAP oder DB.
Und noch eine Verständnisfrage zur Synchronisation: Ich hatte das so verstanden, dass OTRS ALLE User, die in der entsprechenden LDAP Group stehen, beim ersten Login synchronisiert. Bei mir wurde aber nur der User angelegt, mit dem ich mich auch angemeldet habe. Dieser hatte dann Vollzugriff auf die OTRS Gruppe users. So würde das aber bedeuten, dass sich jeder Benutzer erst mal angemeldet haben muß, bevor man ihn in eine OTRS Gruppe oder eine OTRS Rolle bekommt. Oder mache ich es nur falsch?
Viele Grüße, Markus
--------------------------------------------------------------------- OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de
Hallo Markus, die Reihenfolge der Auth-Konfigurationen entscheidet über deren Abarbeitung. Diese steuerst du über den nummerischen Zusatz, also z.B. $Self->{AuthModule} und $Self->{AuthModule1}. Diesen Zusatz musst du dann aber auch in allen zu diesem Auth-Backend zugehörigen Config-Optionen mitziehen. Die Synchronisation synchronisiert immer nur den Agenten der sich anmeldet und nicht alle. Viele Grüße Rene Am 12.12.2013 11:35, schrieb Ludwig Markus:
Hallo Liste,
unsere Agenten müssen neben OTRS alle eine Web App nutzen, die Konten dazu liegen in unserem eDirectory, daher wollte ich den OTRS Login auch auf diese Konten umstellen. Hat auch geklappt.
Für den Fall, dass der Verzeichnisdienst mal hakt, wollte ich die Datenbank als zweite Authentifizierungsmöglichkeit haben, den Sync bei der Anmeldung habe ich schon eingerichtet.
Wie kann ich aber in der config.pm sagen, dass der Verzeichnisdienst die eine und die Datenbank die zweite Möglichkeit sein soll? Momentan geht entweder LDAP oder DB.
Und noch eine Verständnisfrage zur Synchronisation: Ich hatte das so verstanden, dass OTRS ALLE User, die in der entsprechenden LDAP Group stehen, beim ersten Login synchronisiert. Bei mir wurde aber nur der User angelegt, mit dem ich mich auch angemeldet habe. Dieser hatte dann Vollzugriff auf die OTRS Gruppe users. So würde das aber bedeuten, dass sich jeder Benutzer erst mal angemeldet haben muß, bevor man ihn in eine OTRS Gruppe oder eine OTRS Rolle bekommt. Oder mache ich es nur falsch?
Viele Grüße, Markus
--------------------------------------------------------------------- OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de
-- ** Besuchen Sie uns auf dem Univention Summit ** ** am 16.01.2014 in Bremen ** ** http://www.univention.de/ ** Dipl.-Ing. Rene Böhm Bereichsleiter Produkte und Support c.a.p.e. IT GmbH Annaberger Str. 240 09125 Chemnitz Tel.: +49 371 5347-620 Fax.: +49 371 5347-625 http://www.cape-it.de Geschäftsführung Rico Barth, Thomas Maier AG Chemnitz, HRB 23192
Hallo Rene,
$Self->{AuthModule} und $Self->{AuthModule1}. Diesen Zusatz musst du dann aber auch in allen zu diesem Auth-Backend zugehörigen Config-Optionen mitziehen.
OK, das war vermutlich mein Fehler, denn den Ansatz in der Form hatte ich schon mal ausprobiert, vermutlich aber nicht in der nötigen Konsequenz bei allen Optionen.
Die Synchronisation synchronisiert immer nur den Agenten der sich anmeldet und nicht alle.
Würde für mich bedeuten, ich muß trotzdem jeden User händisch in der DB anlegen, um sie in die richtigen Gruppen zu bekommen, lediglich die Anmeldung für den User wäre später einfacher, weil er Usernamen und Kennwort schon kennt. Viele Grüße, Markus
Hallo Markus,
Die Synchronisation synchronisiert immer nur den Agenten der sich anmeldet und nicht alle.
Würde für mich bedeuten, ich muß trotzdem jeden User händisch in der DB anlegen, um sie in die richtigen Gruppen zu bekommen, lediglich die Anmeldung für den User wäre später einfacher, weil er Usernamen und Kennwort schon kennt. Kommt darauf an welche Zielsetzung du hast. Der Vorteil ist, dass du nicht im Vorfeld alle möglichen Agenten pflegen musst, sondern kannst autom. diejenigen anlegen und Gruppen/Rollen zuweisen lassen, die sich auch tatsächlich anmelden. Dass danach u.U. noch Feinschliff notwendig ist, damit der Agent tatsächlich die differenzierten Rechte erhält, die er braucht, ist i.d.R. nicht vermeidbar.
Viele Grüße Rene -- ** Besuchen Sie uns auf dem Univention Summit ** ** am 16.01.2014 in Bremen ** ** http://www.univention.de/ ** Dipl.-Ing. Rene Böhm Bereichsleiter Produkte und Support c.a.p.e. IT GmbH Annaberger Str. 240 09125 Chemnitz Tel.: +49 371 5347-620 Fax.: +49 371 5347-625 http://www.cape-it.de Geschäftsführung Rico Barth, Thomas Maier AG Chemnitz, HRB 23192
Hallo Rene, bei uns gibt es nur einen Kontext mit den Benutzerkonten im eDirectory sowie eine Gruppe, die den Login bei OTRS regelt. Die Benutzerkonten lauten auf die Nachnamen der Benutzer. Es gibt also so gut wie keine Attribute, anhand derer eine Gruppen- / Rollenzugehörigkeit in Form einer automatischen Zuordnung innerhalb von OTRS erfolgen könnte. Der Mehrwert für mich als Admin dürfte daher in unserem Szenario eher gering ausfallen. Da es inzwischen aber tadellos mit beiden Backends simultan läuft (nochmals danke!) kann ich es erst mal so lassen und mir überlegen, ob mir noch ein Vorteil einfällt. Viele Grüße, Markus
-----Original Message----- From: otrs-de-bounces@otrs.org [mailto:otrs-de-bounces@otrs.org] On Behalf Of Rene Böhm Sent: Thursday, December 12, 2013 1:21 PM To: otrs-de@otrs.org Subject: Re: [otrs-de] Mehrere Auth-Backends für Agenten
Hallo Markus,
Die Synchronisation synchronisiert immer nur den Agenten der sich anmeldet und nicht alle.
Würde für mich bedeuten, ich muß trotzdem jeden User händisch in der DB anlegen, um sie in die richtigen Gruppen zu bekommen, lediglich die Anmeldung für den User wäre später einfacher, weil er Usernamen und Kennwort schon kennt. Kommt darauf an welche Zielsetzung du hast. Der Vorteil ist, dass du nicht im Vorfeld alle möglichen Agenten pflegen musst, sondern kannst autom. diejenigen anlegen und Gruppen/Rollen zuweisen lassen, die sich auch tatsächlich anmelden. Dass danach u.U. noch Feinschliff notwendig ist, damit der Agent tatsächlich die differenzierten Rechte erhält, die er braucht, ist i.d.R. nicht vermeidbar.
Viele Grüße Rene
--
** Besuchen Sie uns auf dem Univention Summit ** ** am 16.01.2014 in Bremen ** ** http://www.univention.de/ **
Dipl.-Ing. Rene Böhm Bereichsleiter Produkte und Support c.a.p.e. IT GmbH Annaberger Str. 240 09125 Chemnitz Tel.: +49 371 5347-620 Fax.: +49 371 5347-625 http://www.cape-it.de
Geschäftsführung Rico Barth, Thomas Maier AG Chemnitz, HRB 23192
--------------------------------------------------------------------- OTRS mailing list: otrs-de - Webpage: http://otrs.org/ Archive: http://lists.otrs.org/pipermail/otrs-de To unsubscribe: http://lists.otrs.org/mailman/listinfo/otrs-de
On 12.12.2013 13:10, Ludwig Markus wrote:
Die Synchronisation synchronisiert immer nur den Agenten der sich anmeldet und nicht alle.
Würde für mich bedeuten, ich muß trotzdem jeden User händisch in der DB anlegen, um sie in die richtigen Gruppen zu bekommen, lediglich die Anmeldung für den User wäre später einfacher, weil er Usernamen und Kennwort schon kennt.
Viele Grüße, Markus
Du kannst die LDAP-Gruppen auch auf OTRS-Gruppen übertragen: https://github.com/OTRS/otrs/blob/rel-3_3/Kernel/Config/Defaults.pm#L483 -- Perl / OTRS development: http://perl-services.de OTRS AddOn repository: http://opar.perl-services.de
participants (4)
-
Ludwig Markus -
Ohliger, Christoph -
Rene Böhm -
Renee B