OTRS 4.0.10。 Ubuntu + AD + Kerberos + SSOを使用します（パート2）

この獣をUbuntuに実際にインストールし、透過的なドメイン認証を設定する方法と、OTRSの無料版で利用できるいくつかの素敵なパンをねじ込む方法の話を続けます。



パート1：システムの準備

パート2：OTRSのインストールと設定

パート3：パンを固定するジャムを修正する

6. OTRSのインストールと構成

さて、システムは完全に準備されており、私たちよりも、明確な良心と軽い心を持って、OTRSを直接インストールします。

6.1。 提案された方法の本質と必要なパッケージ

現時点では4.0.10の最新の安定バージョンをインストールしますが、実際には必須ではありません。最初は標準的な正しい方法で、NTLM、SSPI、その他の加算器などのガスケットと松葉杖を使用しなかったが、完全なKerberosを作成したためです。認証 そしてHTTPBasicAuthモジュールはOTRSで重要な変更を受けていないOTRSでそれを担当しているので、説明された方法は少なくとも3.1.1以降のシステムのすべてのバージョンで動作します。



この方法の本質は何ですか？ そして全体のポイントは、OTRSは一般にユーザーの承認と認証を実行せず、単に環境変数からログインしているユーザーの名前を取得します$ _ENV ['Remote_User']はデータベースでそれを探し、それが見つかった場合、それのためのインターフェースを開きますログ形式の顧客。 つまり、ユーザー検証の全負荷はApacheにかかっています。ApacheはKerberosを使用してユーザーを認証し、成功するとユーザー名を環境変数に入れます。 OTRSがそれを拾う場所から、そこに何かがあれば、認証はすでに成功していると信じています。 それでは始めましょう。







この件に関する素晴らしい記事はこちら 。 インストールプロセスについて詳しく説明します。



ドメイン認証とエンドツーエンド認証に関連するすべてのものは、スレッドによって世界中から収集され、試行錯誤によって解決されたため、リンクを提供することはできません。



この段階で必要になるパッケージのリストは次のとおりです。

• libapache2-mod-perl2
• libtemplate-perl
• libarchive-zip-perl
• libjson-xs-perl
• libmail-imapclient-perl
• libdbd-mysql-perl
• libnet-dns-perl
• libnet-ldap-perl
• libio-socket-ssl-perl
• libpdf-api2-perl
• libsoap-lite-perl
• libgd-text-perl
• libgd-graph-perl
• libapache-dbi-perl
• libyaml-libyaml-perl
• mysql-server
• wget

それらのほとんどはすでにシステムにあるか、すでにインストールされていますが、それぞれをソートしないように、すべてを置くコマンドを与えるだけです。すでに存在するものは、パッケージマネージャーによって単純にスキップされます。 そうする

apt-get install libapache2-mod-perl2 libtemplate-perl libarchive-zip-perl libjson-xs-perl libmail-imapclient-perl libdbd-mysql-perl libnet-dns-perl libnet-ldap-perl libio-socket-ssl-perl libpdf-api2-perl libsoap-lite-perl libgd-text-perl libgd-graph-perl libapache-dbi-perl libyaml-libyaml-perl mysql-server wget
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

6.2。 OTRSを置く

上記のように、執筆時点で最新のバージョン4.0.10をインストールします。 OTRS自体をダウンロードします。

 cd ~ wget http://ftp.otrs.org/pub/otrs/otrs-4.0.10.tar.gz
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アーカイブを解凍します。

 tar zxf ./otrs-4.0.10.tar.gz
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

展開したOTRSフォルダーを移動する/ opt：

 mv ./otrs-4.0.10 /opt
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、同じフォルダーにシンボリックリンクを作成します：

 ln -s /opt/otrs-4.0.10/ /opt/otrs
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

インストールしたすべてのモジュールを確認します。

 perl /opt/otrs/bin/otrs.CheckModules.pl
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

追加のモジュールが必要な場合は、インストールします（前のコマンドの出力で、各モジュールの反対側に、インストール方法のヒントがあります（インストールされていない場合））。 OTRSのユーザーを取得します。

 useradd -r -d /opt/otrs/ -c 'OTRS user' otrs
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、それをwww-dataグループに含めます：

 usermod -g www-data otrs
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

留意してください：私たちのマシンはドメインに含まれており、 winbindはすべてのユーザーをローカルユーザーデータベースにバインドするため、ドメインにotrsログインを持つユーザーがいないことを確認する必要があります。 存在する場合は、削除してLinuxマシンを再起動します。



OTRSのデフォルト設定を作成します。

 cd /opt/otrs/Kernel cp Config.pm.dist Config.pm cp Config/GenericAgent.pm.dist Config/GenericAgent.pm
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、新しく作成されたユーザーの権利を設定します。

 cd /opt/otrs bin/otrs.SetPermissions.pl --otrs-user=otrs --web-group=www-data /opt/otrs
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

OTRS用のApache vhostを作成するために残り、システムを設定できます：

 cp /opt/otrs/scripts/apache2-httpd.include.conf /etc/apache2/sites-available/otrs.conf
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

vhost OTRSをオンにします。

 a2ensite otrs
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、Apacheの設定を再読み込みします

 service apache2 reload
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

それだけです インストールが完了しました。OTRSの設定を行うことができます。

6.3。 OTRSシステムの初期構成。 LDAP（この場合はAD）との統合

システムの初期構成は、Webインターフェースを介して行われます。 アドレスhelpdesk / otrs / installer.plに移動すると、OTRSインストールウィザードが表示されます。







さらにクリックしてライセンス契約を確認し、注意深く読んで「条件に同意しました」をクリックします。







3番目の段階では、使用するデータベース、この場合はMySQLデータベースを選択する必要があるため、[次へ]をクリックします。 ここでより興味深いのは、同じMySQLユーザーroot @ localhostのログインを入力する必要があることです。このパスワードは、ApacheとMySQLサーバーをインストールしたときにステップ6で作成しました。



OTRSはデータベースサーバー（localhost）への接続を試み、すべてがうまくいけば、名前otrsとユーザーotrs、および非常にトリッキーなパスワードを使用して自分用のデータベースを作成します。







メールを設定します。 出力で、OTRSはデフォルトユーザーroot @ localhostのパスワードを報告し、そのパスワードを覚えています。



「メインページ」リンクをクリックすると、ログインの招待が表示されます。ここでは、記録されたログインとパスワードのみを入力します。 概して、OTRSのインストールはすでに完了していますが、これは私たちには十分ではなく、Kerberosをあまり混乱させませんでした。ADとエンドツーエンド認証との統合が必要なので、さらに進みます。



そして、尊敬されているrasaの マニュアルに目を向けます。 そこから何か、インターネットから何かを引き出し、独自の方法を発明します。



まずは ドメインには、OTRS管理者と完全に一致する1人のユーザーが存在する必要があります。それを読み取るためのLDAPと、それを介して取得する他のOTRS管理者がいます。 ちなみに 、これはユーザーotrs.adminです。インストール期間中に、ドメイン管理者権限と、ドメイン内のマシンの電源投入 、チケットの受信など、ドメインに対するすべての操作を与えました。これらの権限をインストールした後、さらに、ドメインマシンへのログインを禁止することもできます。LDAPから情報を読み取るだけで、それ以上は必要ありません。



そして、OTRSエージェントインターフェースで、「管理」タブに移動し、「エージェント」セクションに移動し、唯一のエージェントを確認し、クリックして、ドメイン内のユーザーデータに従って資格情報を変更します。これはotrs.adminログインおよび対応するドメインパスワードです。ページの下部にある[送信]をクリックし、ログアウトして新しい資格情報で再度ログインします。



！ 注意！ ログインだけでなく、パスワードもドメインユーザーのデータと一致する必要があります！



ブッシャーを自己登録する機能を無効にします。 「管理」-「システム構成」-（左側のドロップダウンリストで「フレームワーク」を選択）-CustomerPanelCreateAccountの「フロントエンド::顧客」は「いいえ」を示し、下部の「更新」ボタンをクリックします。 CustomerHeadlineの顧客に表示される組織の名前をすぐに修正できます。 他にもさまざまな設定を試してみて試してみることができますが、後でLDAPとの統合に関心があります。



LDAPとのOTRS統合の構成は、構成ファイル/opt/otrs/Kernel/Config.pmを介して行われます。

 mcedit /opt/otrs/Kernel/Config.pm
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次の行を見つけます＃独自の設定を「ここ」に挿入し、その後に次の設定を挿入します。

 #  LDAP    # #  LDAP      # $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP'; # IP  LDAP  # $Self->{'AuthModule::LDAP::Host'} = '192.168.10.1'; #   ,   LDAP # $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=domain,dc=ru'; #        UID # $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName'; #   .      OTRSagents  OU organization # #       ,        # $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=OTRSagents,ou=organization,dc=domain,dc=ru'; $Self->{'AuthModule::LDAP::AccessAttr'} = 'member'; $Self->{'AuthModule::LDAP::UserAttr'} = 'DN'; #     LDAP # $Self->{'AuthModule::LDAP::SearchUserDN'} = 'otrs.admin@domain.ru'; $Self->{'AuthModule::LDAP::SearchUserPw'} = '  otrs.admin'; #       LDAP# $Self->{'AuthModule::LDAP::AlwaysFilter'} = ''; $Self->{'AuthModule::LDAP::Params'} = { port => 389, timeout => 120, async => 0, version => 3, sscope => 'sub' }; #   LDAP    # #      LDAP # #     LDAP # $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP'; # IP  LDAP  # $Self->{'AuthSyncModule::LDAP::Host'} = '192.168.10.1'; #  BaseDN # $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=domain, dc=ru'; #       UID # $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName'; #     LDAP # $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'otrs.admin@domain.ru'; $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = '  otrs.admin'; #    # $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = { UserFirstname => 'givenName', UserLastname => 'sn', UserEmail => 'mail', }; #    # $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [ 'users', 'basic_admin', ]; #      # #    # #   ,     HTTPBasicAuth # #  HTTPBasicAuth   # $Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth'; #          # $Self->{CustomerPanelLoginURL1} = 'http://helpdesk.domain.ru/otrs/customer.pl'; $Self->{CustomerPanelLogoutURL1} = 'http://helpdesk.domain.ru/otrs/customer.pl'; #     # #       LDAP # #          # $Self->{CustomerUser} = { Module => 'Kernel::System::CustomerUser::LDAP', Params => { Host => '192.168.10.1', BaseDN => 'DC=domain,DC=ru', SSCOPE => 'sub', UserDN =>'otrs.admin@domain.ru', UserPw => '  otrs.admin', AlwaysFilter => '(&(samAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))', SourceCharset => 'utf-8', DestCharset => 'utf-8', }, #    # #   ,   ,   # CustomerKey => 'sAMAccountName', CustomerID => 'mail', CustomerUserListFields => ['sAMAccountName', 'cn', 'mail'], CustomerUserSearchFields => ['sAMAccountName', 'cn', 'mail'], CustomerUserSearchPrefix => '', CustomerUserSearchSuffix => '*', CustomerUserSearchListLimit => 10000, CustomerUserPostMasterSearchFields => ['mail'], CustomerUserNameFields => ['givenname', 'sn'], Map => [ #              # #      # # , : Login, Email  CustomerID ! # [ 'UserFirstname', 'Firstname', 'givenname', 1, 1, 'var' ], [ 'UserLastname', 'Lastname', 'sn', 1, 1, 'var' ], [ 'UserLogin', 'Login', 'sAMAccountName', 1, 1, 'var' ], [ 'UserEmail', 'Email', 'mail', 1, 1, 'var' ], [ 'UserCustomerID', 'CustomerID', 'mail', 0, 1, 'var' ], [ 'UserPhone', 'Phone', 'telephonenumber', 1, 0, 'var' ], ], }; #   #
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その後、ファイルを保存し、ドメイン内のOTRSagentsグループの一部であるドメインアカウントでエージェントとしてログインを試みることができます。



アドレスhelpdesk.domain.ru/otrs/index.plに移動し、OTRSagentsグループにドメインアカウントのログインとパスワードを入力します。 乗る必要があります。 新しくログインしたエージェントには管理タブがありません。元の管理者のアカウントでログインして有効にすることができます。私の場合はotrs.adminで、新しいエージェントにアクセス権を与えます。



注意：エージェントは、最初のログイン後にOTRSデータベースに作成されます。



また、OTRSがLDAPからCustomersデータベースをプルアップしたことを確認する必要があります。 これを行うには、 「管理」-「クライアントアカウント」に進みます。 ここでは、表形式、ログイン、名前、メールなどでドメインユーザーの完全なリストが表示されます。



すべてがドメインから正常にプルされたかどうかを確認します。



顧客によるアクセスには、もう少し改良が必要です。まず、スクリプトを使用してフォルダーでKerberos認証を有効にする必要があります。 スクリプトは、 / opt / otrs / bin / cgi-binにあります。 。



Kerberosを有効にするには、ステップ7で/ var / www / html / phpフォルダーを使用して実行した操作と同様の操作が必要です。 otrs仮想ホスト構成ファイルを開きます。

 mcedit /etc/apache2/site-available/otrs.conf
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

また、場所/ otrsおよびディレクトリ/ opt / otrs / bin / cgi-binの次の構成が表示されます。 最初の作品：

 <Location /otrs> # ErrorDocument 403 /otrs/customer.pl ErrorDocument 403 /otrs/index.pl SetHandler perl-script PerlResponseHandler ModPerl::Registry Options +ExecCGI PerlOptions +ParseHeaders PerlOptions +SetupEnv <IfModule mod_version.c> <IfVersion < 2.4> Order allow,deny Allow from all </IfVersion> <IfVersion >= 2.4> Require all granted </IfVersion> </IfModule> <IfModule !mod_version.c> Order allow,deny Allow from all </IfModule> </Location>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2番目の部分：

 <Directory "/opt/otrs/bin/cgi-bin/"> AllowOverride None <IfModule mod_version.c> <IfVersion < 2.4> Order allow,deny Allow from all </IfVersion> <IfVersion >= 2.4> Require all granted </IfVersion> </IfModule> <IfModule !mod_version.c> Order allow,deny Allow from all </IfModule> <IfModule mod_filter.c> <IfModule mod_deflate.c> AddOutputFilterByType DEFLATE text/html text/javascript application/javascript text/css text/xml application/json text/json </IfModule> </IfModule> # Make sure CSS and JS files are read as UTF8 by the browsers. AddCharset UTF-8 .css AddCharset UTF-8 .js # Set explicit mime type for woff fonts since it is relatively new and apache may not know about it. AddType application/font-woff .woff </Directory>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

一見、すべてが非常に明確でシンプルですが、このシャーマニズムを簡単に理解することはできませんでした。 簡単に言えば、特定のApacheモジュールの有無、またはそのバージョンに応じて、特定のディレクティブがここに接続されます。 開発者は、システムが動作する条件、パッケージ、およびこれらのパッケージのバージョンを事前に知らなかったため、これらすべてを積み重ねました。 しかし、どのパッケージとどのバージョンがシステム上にあるかは、すでに完全に確実にわかっています。 したがって、すべての過剰を容赦なく切り取り、これらの2つのブロックを次の形式にします。



最初の作品：

 <Location /otrs> ErrorDocument 403 /otrs/index.pl SetHandler perl-script PerlResponseHandler ModPerl::Registry Options +ExecCGI PerlOptions +ParseHeaders PerlOptions +SetupEnv AuthType Kerberos AuthName "Kerberos Authntication" KrbAuthRealms RUS.LOCAL Krb5Keytab /etc/httpd.keytab KrbMethodNegotiate On KrbSaveCredentials Off KrbVerifyKDC Off Require valid-user </Location>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2番目のピース：

 <Directory "/opt/otrs/bin/cgi-bin/"> AllowOverride All Options +ExecCGI -Includes AuthType Kerberos AuthName "Kerberos Authntication" KrbAuthRealms RUS.LOCAL Krb5Keytab /etc/httpd.keytab KrbMethodNegotiate On KrbSaveCredentials Off KrbVerifyKDC Off Require valid-user </Directory>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、Apacheの設定を再度読み取り、再起動します。

 service apache2 reload service apache2 restart
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらの操作の後、OTRSスクリプトにアクセスしようとするとき、Apacheはユーザーを認証しようとし、成功した場合、ユーザー名を$ _ENV ['REMOTE_USER']変数に入れます。次に、ログインフォームで[顧客]ページを開きます。



そして、すべては何のようにも見えません。今すぐアクセスしようとすると、お客様のページだけが、「認証は成功しましたが、データベースでユーザーを見つけることができませんでした」という非常に奇妙なことを教えてくれます。



デバッグを開始します。 これを行うには、真珠上のいくつかのスクリプトをダウンロードします。

whoami.pl

test.pl



それらを/ opt / otrs / bin / cgi-binフォルダーの残りのOTRSスクリプトにドロップし、既に存在するものと同様の権利と所有者を設定し、ブラウザーでそれらを開こうとします。



最初のスクリプトは、単に変数$ _ENV ['REMOTE_USER']の存在をチェックし、その中に何かがあれば、そのようなアカウントでNTドメインに追い込まれたと思われるメッセージを表示します。正しい会計、その後、すべてが大丈夫です。



2番目のスクリプトは、ユーザーログインとしてOTRSを取得する行を示しています。 そして、ここでOTRSはusername@DOMAIN.RUのようなものを受け取ることがわかりますが、ログインとしてsAMAccountNameを使用すること、つまり、ドメインなしのusernameだけを使用し、前のClientリストで使用することがわかりますステージでは、ドメイン名なしでログインしていることも確認しました。



犬が大騒ぎしたので、この状況が発生し、Apacheは機能し、認証は成功し、すべては問題ありませんが、OTRSはデータベースでユーザーを見つけることができませんでした。 OTRSデータベースで検索する前に、何らかの方法でユーザー名からドメインを除外する必要があることがわかりました。



幸いなことに、それを修正するのは非常に簡単ですが、その方法はわかりましたが、かなり手間がかかりました。



これを行うには、再びエージェントのインターフェース「管理」-「システム構成」-「フレームワーク」-「フロントエンド::顧客::認証」に移動し、パラメーターCustomer：AuthModule :: HTTPBasicAuth :: ReplaceRegExpを見つけて、フィールドでオンにします入力のために、そこにあるものを残し、デフォルト値を消去した人のために、そのような定期的ながあるはずです

^(.+?)@.+?$







残念ながら、Perleの正規表現はアクセスしにくい魔法であり、私にとって超越的なシャーマニズムなので、どのように機能するのか説明できません（コメントで誰かが説明してくれれば非常に感謝しますが、記事にそれを追加させていただきます） 「@」記号以降のすべてをユーザー名から破棄します。



ページの下部にある[送信]をクリックして、カスタマーインターフェースのアドレスhelpdesk.domain.ru/otrs/customer.plを踏みます。

すべてが機能するはずです。

UPD。

正規表現の魔法について：

^(.+?)@.+?$







彼らは私に説明したように、すべてが非常にシンプルであることが判明しました、「常連の魔法と比較して、それはそのような、子供の精神的なセッション」（c）。

文字^-処理された文字列の先頭

文字$-処理された文字列の終わり

記号（）-処理の結果、それらの間にあるものを残す必要があることを示します

？ -任意のキャラクター

。+-再帰的連結（結果として、式 '。+？'-文字通り文字列を意味します）

@記号は特殊文字ではないため、文字列の一部として処理されます（驚いたことに、私はそれを考えたことがありませんでしたが、常に特殊文字であり、エスケープする必要があると思っていました。そのようなエスケープがないことは、私を誤解させ、この表現を自分で理解するのを妨げました）



そして結果として、通常のテーブルは結果の文字列を「@記号の前にあるすべて」と「@記号の後にあるすべて」の2つの部分に分割し、最初の部分を返します（括弧内にあるため）。



MA-A-A-A-A-giya