Tipp: Kopplung von I-DoIT mit OTRS in Apache Single Sign On Konfiguration

Megahulk

Hintergrund:

Die Kopplung von I-DoIT mit OTRS erfolgt über das Generic Interface von OTRS, das mit SOAP arbeitet. SOAP übermittelt Benutzername und Kennwort via XML im SOAP-Paket.

OTRS bietet die Möglichkeit, über Single Sign On die Kennwortabfrage mit dem Microsoft Active Directory zu verknüpfen.
In diesem Fall wird der Apache Server so konfiguriert, dass er für OTRS ein HTTP Basic Authentication durchführt und über Kerberos das AD befragt:

In dem Fall sieht suche Apache Config etwa so aus:
    <location otrs="">AllowOverride None
    AuthType Kerberos
    AuthName "OTRS"
    Krb5Keytab /etc/apache2/keytabs/otrsserver.keytab
    KrbAuthRealms MEINE.DOMÄNE
    KrbMethodNegotiate on
    KrbSaveCredentials  off
    KrbMethodK5Passwd on
    Require valid-user
  ….

Eure OTRS-Config sieht so aus:
$Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth';
$Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} ='@MEINE DOMÄNE;

Problem:

OTRS erwartet bei dieser Konfiguration eine gültige HTTP Basic Authentifizierung (Form Authentifizierung). Die Eingabe von Benutzername und Kennwort in die entsprechenden Eingabefelder der I-DoIT GUI für die Trouble Ticket Konfiguration reicht nicht aus. Es kommt der SOAP-Fehler: Authentifizierung fehlgeschlagen.

Lösung:

Benutzername und Kennwort müssen in der OTRS-URL übergeben werden.

Im I-DoIT GUI:
Administration -> Interfaces/External Data -> TroubleTicketSystem (TTS) -> Configuration

URL incl. Protocol: http://BENUTZERNAME:KENNWORT@otrs.host.name/otrs

Somit wird die Form-Authentifizierung gemacht und anschließend kann I-DoIT das OTRS Generic Interface nutzen.</location>