Синхронизация с ad


#21

У меня тип пользователя LDAP.
Конфиг:
$MyModuleSettings = array(
‘authent-ldap’ => array (
‘host’ => ‘192.168.х.х’,
‘port’ => 389,
‘default_user’ => ‘хх@ххх.ххх.ru’,
‘default_pwd’ => ‘ххххххххх’,
‘base_dn’ => ‘dc=ххх,dc=ххх,dc=ru’,
‘user_query’ => ‘(&(samaccountname=%1$s)(objectCategory=User))’,
‘options’ => array (
17 => 3,
8 => 0,
),
‘start_tls’ => false,
‘debug’ => false,
),


#22

При таком конфиге учетка в ITOP должна быть типа LDAP, в качестве логина указывается имя доменного пользователя без указания домена, то есть:

  • логин в учетке Itop “user”
  • доменный пользователь "user@xxx.xxx.ru"
  • для входа в itop используется логин “user” и пароль от доменной учетки.

#23

Все равно у меня ничего не выходит, перепробовал всевозможные варианты.
Если я правильно понял, то при таком способе не работает Single Sign On ?


#24

Затупил, выключил на iis windows autentification, ну и оно заработало, т.е. ввожу логин и пароль от доменной учетки и заходит, но без сквозного проваливания пользователя в itop (Single Sign On) - это все не очень здорово…


#25

single sign on делать так - в itop заводишь учетки как external , также правишь скрипт чтобы создавал не LDAP а External.
У меня работает , если актуально подскажу где в скрипте поправить (там пара строчек).


#26

У кого-нибудь получилось сделать SSO на apache RHEL7?
Apache настроил, в нете много статей про это.
Когда захожу в itop, в браузере выходит окно на ввод логина и пароля, но аутентификация не проходит.
В логах apache есть ошибки:

  • cannot find key for HTTP/itop.example.com@EXAMPLE.COM kvno 16 in keytab
  • failed to verify krb5 credentials: Key version is not available

В iTop выставил вперед external в настроках, создал внешнего пользователя


#27

Получилось. Проблема была в контроллере домена, на котором делал ktpass. Плюс в itop имя внешнего пользователя надо задавать user@DOMAIN.COM