Conectar OTRS con Active Directory

Voy a intentar resumir la configuración para conectar el sistema de Helpdesk OTRS con Active Directory de Microsoft.
La integración permitirá que los usuarios en el dominio de Windows correspondiente podrán loguearse como agentes a OTRS (también se puede llegar a configurar la autenticación vía Active Directory de clientes en OTRS).

Para configurar Active Directory como backend, el fichero que deberemos modificar es ~otrs/Kernel/Config.pm

En mi caso, la ubicación de OTRS es la de por defecto, /opt/otrs, por lo que sería /opt/otrs/Kernel/Config.pm
Añadiremos antes de la sección “end of your own config options!!!” lo siguiente:

Una vez realicéis estos cambios, debería ser posible loggearos con un usuario que se encuentre dentro del grupo otrs_agents de AD.

Estas configuraciones relativas a LDAP/AD (y otras más avanzadas) están sacadas del fichero /opt/otrs/Kernel/Config/Defaults.pm, por si queréis darle alguna vuelta más.

¡¡¡Acceso admin perdido!!!

Si os pasa como a mi, podréis conectar perfectamente a OTRS con usuarios de dominio, pero habréis perdido el acceso Administrador ([email protected]).
Podréis ver en los logs como intenta autenticar [email protected] con el dominio, pero no lo encuentra (evidentemente):

Para poder conseguir acceso administrador, debéis revertir la configuración añadida (en mi caso tuve que reiniciar apache una vez realizados los cambios), conectaros con el usuario local [email protected] y asignar permisos/roles de Administrador al menos a uno de los usuarios de AD, que ya se han sincronizado en la base de datos.

Finalmente volvéis a configurar el fichero Config.pm con el backend AD .

This entry was posted in linux, software, Uncategorized and tagged , , , . Bookmark the permalink.

12 Responses to Conectar OTRS con Active Directory

  1. Daniel says:

    Buenas tardes Adrían, antes que nada darte mi mas enhorabuena por tan excelente tutorial. Estoy teniendo problemas a la hora de poder conectarme como agente a mi OTRS 3.2. He seguido los pasos de tu hilo al pie de la letra pero no encuentro forma de autenticarme.

    Tengo creado un usuario llamado “otrs” para realizar las consultas de directorio activo, me podrías decir si dicho usuario tiene que tener algún tipo de privilegio?

    También tengo creado un grupo en directorio activo llamado “agentesotrs” con los usuarios que quiero que sean agentes. Habría que realizar algún paso mas?

    En este campo, $Self->{‘AuthSyncModule::LDAP::SearchUserPw’} = ‘password_otrs_user’;——->>>>supongo que se introduce la pass del usuario otrs que he creado no?

    Espero tu respuesta
    Un saludo Daniel

  2. Adrian Perez says:

    Hola Daniel,

    El campo SearchUserPw es referente a la contraseña del usuario en sí. Correcto.
    Con respecto a los problemas de conexión, revisa:

    – Si tienes el módulo de Perl Net::LDAP
    – Si hay conectividad desde el equipo OTRS al servidor DC, puedes revisar con telnet/nc al puerto 389

    Por último, revisa /var/log/messages por si tienes algún mensaje de error que pueda guiarte hacia el problema.

    Saludos y gracias por el comentario!

  3. Marco De la Vega says:

    Estimado Adrían,
    Espero puedas ayudarme, ya logre conectar al OTRS con usuarios del AD, pero no puedo hacer que mi lista de usuarios se cargue como clientes de OTRS, por favor dame luces, ya que intente de todo con el archivo config.pm y no logro nada aun.

  4. Adrian Perez says:

    Hola Marco,
    En mi post, hablo de conectar OTRS con AD para los agentes.
    En tu caso creo que quieres conectar los clientes, correcto? Yo intentaría seguir, si no lo has hecho ya, la información que OTRS proporciona en su documentación: http://doc.otrs.org/3.0/en/html/auth-backends.html#customer-auth-backends

    En caso de que lo hayas seguido, en qué punto te quedas, tienes algún error?

    Saludos y suerte!

  5. Felipe Carmona says:

    Que tal,

    Yo tengo configurado OTRS para autenticar con Active Directory y funciona bien, pero, si intento acceder con un usuario que tenga restricciones de inicio de sesión en active directory aun cuando tenga permisos para OTRS, no logro autenticarme. Alguien más tiene este problema?

    Saludos.

  6. Marco De la Vega says:

    Hola Adrian,
    Disculpa la demora en mi respuesta, en efecto tal como te comento, logro valida como agente con usuario del AD, pero lo que necesito es que la lista de clientes de OTRS sea la lista de usuarios de mi Directorio Activo.
    Espero puedas ayudarme.
    Slds.

  7. Adrian Perez says:

    Buenas a ambos,

    en mi caso como comentaba sólo comentaba los agentes.
    Para configurar que los clientes se conecten a través de LDAP/AD, deberíais seguir las instrucciones indicadas en la siguiente URL: http://otrs.github.io/doc/manual/admin/3.0/en/html/auth-backends.html#customer-auth-backend-ldap

    Los pasos son similares y no parece demasiado complicado.
    Ya me contaréis si finalmente conseguís hacerlo funcionar.

    Un saludo y gracias por vuestros comentarios.

  8. escatolini says:

    Tengo OTRS 4.0.3 y no me conecta el ldap con el active directory (window server 2008)

    Tengo un active directory,, un usuario: OTRS y un grupo otrs_agents.. NO me funciona

    quien me puede ayudar.

  9. Adrian Perez says:

    Hola escatolini

    puedes dar algún detalle? tienes algún log, mensaje de error o te has quedado atascado en algún paso
    Si nos comentas algo más intentamos ayudarte.

  10. Joseph Manobanda says:

    Hola Adrian.

    Primero te felicito por tus oportunas respuestas, con respecto a la conexión de OTRS a AD tengo un problema y estoy estancado.

    Esta es mi segunda implementación de OTRS pero me da problemas al momento de autenticar los usuarios del AD.

    El ambiente que tengo es Active Directory, OTRS Version 3.3 y Zimbra como servidor de correo.

    la configuración que use es la misma de tu post cambiandole los datos de:

    Se ingresa direccion IP del server que tiene el AD.
    Ingresando distinguishedName tanto como para el dominio, para el grupo OTRS y el usuario que se crea para la lectura del AD con su respectiva contraseña.

    El mensaje del log es el siguiente

    [Kernel::System::Auth::DB::Auth] User: edward.gonzalez authentication ok (Method: sha256, REMOTE_ADDR: 127.0.0.1).
    [Error][Kernel::System::Auth::Sync::LDAP::Sync][120] Can’t connect to 198.168.168.10: IO::Socket::INET: connect: 10060
    [Error][Kernel::System::State::StateLookup][598] No State for pending reminder found!

    Usuarios agentes creados en el AD con el parametro mail lleno “e-mail de Zimbra no es el mismo ID del AD”.

    Espero que me pueda dar una mano con lo solicitado.

    Muchas gracias.

  11. Joseph Manobanda says:

    Resuelto.

    El problema es que no resolvía la siguiente linea:
    $Self->{‘AuthModule::LDAP::Host’} = ‘dc.test.local’;

    en “dc.test.local” yo tenia la IP del Server donde se encuentra el Controlador de Dominio pero no resolvía, lo cambie por el nombre completo del server y funciono sin problemas.

    Gracias por todo.

  12. Adrian Perez says:

    Curioso que no funcionara con la IP.
    Gracias por tu aporte!

Leave a Reply

Your email address will not be published. Required fields are marked *