Happy Blogging

MonitoringTicketSystems

OTRS double Authentication in MS Active Directory and local DB

OTRS is a very powerful free / open source ticket system for helpdesk and in general for IT service management. By implementing OTRS this year, we've faced some problems with Active Directory authentication. Below the steps we've followed to get it running in double authentication mode.

1. First create an Active Directory group named like "mydomain OTRS agents", where all AD users that should have access to the ticket system, should be members of the group

2. Second create an Active Directory user named like "otrs_ldap", in order to authenticate OTRS through this user to your Active Directory Controller(s).

3. Edit your configuration file - ubuntu@my-otrs:/opt/otrs/Kernel$  sudo nano Config.pm - in OTRS like in the example below (both authentication methods are supported in this way, local and AD). Just modify the script to meet your AD naming structure.

********************************sample script begin**************************************

   # This is the first Authenication MS AD backend
    $Self->{'AuthModule'} = 'Kernel::System::Auth::LDAP';
    $Self->{'AuthModule::LDAP::Host'} = 'mydc.mydomain.local';
    $Self->{'AuthModule::LDAP::BaseDN'} = 'dc=mydomain,dc=local';
    $Self->{'AuthModule::LDAP::UID'} = 'sAMAccountName';

    # Check if the user is allowed to auth in a posixGroup
    # (e. g. user needs to be in a group OTRS_Agents to use otrs)
    $Self->{'AuthModule::LDAP::GroupDN'} = 'cn=mydomain OTRS Agents,ou=mydomain Groups,ou=mydomain Users and Groups,ou=mydomain Staff,dc$
    $Self->{'AuthModule::LDAP::AccessAttr'} = 'member';
    $Self->{'AuthModule::LDAP::UserAttr'} = 'DN';

    # Bind credentials to log into AD
    $Self->{'AuthModule::LDAP::SearchUserDN'} ='otrs_ldap@mydomain.local';
    $Self->{'AuthModule::LDAP::SearchUserPw'} = '***********************';

    # in case you want to add always one filter to each ldap query, use
    # this option. e. g. AlwaysFilter => '(mail=*)' or AlwaysFilter => '(objectclass=user)'
    $Self->{'AuthModule::LDAP::AlwaysFilter'} = '';

    # in case you want to add a suffix to each login name,  then
    # you can use this option. e. g. user just want to use user but
    # in your ldap directory exists user@domain.
    #$Self->{'AuthModule::LDAP::UserSuffix'} = '';

    # Net::LDAP new params (if needed - for more info see perldoc Net::LDAP)
    $Self->{'AuthModule::LDAP::Params'} = {
        port => 389,
       timeout => 120,
        async => 0,
        version => 3,
    };
   # Now sync data with OTRS DB
    $Self->{'AuthSyncModule'} = 'Kernel::System::Auth::Sync::LDAP';
    $Self->{'AuthSyncModule::LDAP::Host'} = 'mydc.mydomain.local';
    $Self->{'AuthSyncModule::LDAP::BaseDN'} = 'dc=mydomain, dc=local';
    $Self->{'AuthSyncModule::LDAP::UID'} = 'sAMAccountName';
    $Self->{'AuthSyncModule::LDAP::SearchUserDN'} = 'otrs_ldap@mydomain.local';
    $Self->{'AuthSyncModule::LDAP::SearchUserPw'} = '*************************';

    $Self->{'AuthSyncModule::LDAP::UserSyncMap'} = {
        # DB -> LDAP
        UserFirstname => 'givenName',
        UserLastname  => 'sn',
        UserEmail     => 'mail',
    };
    # AuthSyncModule::LDAP::UserSyncInitialGroups
    # (sync following group with rw permission after initial create of first agent
    # login)
    $Self->{'AuthSyncModule::LDAP::UserSyncInitialGroups'} = [
        'users',
    ];
    # Second backend, internal OTRS DB
    $Self->{'AuthModule2'} = 'Kernel::System::Auth::DB';


    $Self->{'AuthModule::DB::CryptType2'} = 'crypt';

******************************sample script end*********************************************

This should do it!

Total: 0 Comment(s)

MASAT PËR SIGURINË E RRJETIT DHE SHËRBIMIT                                                                                                                     Tiranë: 10. 01. 2021

 

PAJISJET DHE SIGURIA E SISTEMIT

Kompania ITirana Shpk është e fokusuar në mbrojtjen e të dhënave dhe interesave të përdoruesve të shërbimeve të kontraktuara nga ana e saj. ITirana ofron impenjimin nga ana e saj për implementimin dhe sigurinë sa më të lartë në ruajtjen e këtyre informacioneve në mënyrë që:

  1. Te sigurojë që të dhënat personale të përdoruesve të jenë të aksesueshme vetëm nga personeli i autorizuar për qëllime ligjore të autorizuara. Ne kompanine ITirana SHPK keto te dhena ruhen dhe vetem nje pjese shume e vogel e personelit te autorizuar ka akses perdorimi per qellime ligjore kontraktule.
  2. të mbrojnë të dhënat personale të ruajtura ose të transmetuara nga aksidentet apo nga shkatërrimi i kundërligjshëm, humbja ose ndryshimi aksidental dhe ruajtja, përpunimi, aksesi apo zbilimi i paautorizuar ose i jashtëligjshëm. Te dhenat e perdoruesve te sherbimeve te kompanise jane ruajtur dhe jane bere backup per te minimizuar humbjen dhe rrjedhjen e infromacionit.
  3. të sigurojnë implementimin e politikave të sigurisë, lidhur me përpunimin e të dhënave personale.

Kompania ITirana zbaton sigurine e saj logjike dhe fizike per te gjitha informacionet bazuar ne rregulloret e AKEP. Kompania ITirana ka te instaluar ne rrjetin e saj Firewall per te mbrojtur rrjetin e saj te brendshem nga sulmet e jashtme nga internetit si dhe nga rrjedhja e infrormacionit ne internet. Kompania ITirana ka te instaluar ne infrastrukturen e saj Core Cisco Router 7600 i cili ka module shtese per filtrimin e trafikut sulmeve nga jashte.Per te gjithe klientet e kompanise ITirana aplikohet siguria ne cdo VLAN te dedikuar ne rastin e sherbimit transmetimit te te dhenave si dhe ne rastin e sherbimit internet, siguria ne VLAN e dedikuar dhe IP Addrese per secilin klient me vete. Konfigurimi i sherbimit per cdo klient te kompanise, sherbim transemtimi te dhena, sherbim i dedikuar ne internet, hostim mail dhe web ka proceduren e vete te sigurise fizike dhe logjike per mbrojtjen e informaionit. Siguria fizike ka te beje me sigurimin e pajisjeve te kompanise qe te mos aksesohen nga palet e treta, fikje per te githa portat e paperdorura si dhe etiketimi me emrin e perdouesit.

Lexo më shumë

Ju lutem gjeni me poshtë Treguesit e Cilësisë së shërbimit: