Zammad: LDAP認証の統合

これは＃58の複製ですか？

@wagnstこれは新しい問題です。＃58は古く、すでにクローズされています。

注：LDAP統合を含む2017年第1四半期の「エンタープライズ対応」機能に取り組んでいます。 乞うご期待。

@rolfschmidt多分OAuth2を使用したADFSは短期的なソリューションです

これに関するニュースはありますか？

LDAPサポートは素晴らしいでしょう。 これらの機能がいつ表示されるか、および他にどのようなエンタープライズ機能が実装されているかについての更新はありますか？

連絡あった？ 2017年の第1四半期は、最後の数日間になります:)
4月のアップデートでこれを入手するチャンスはありますか？

はい、この機能は素晴らしいでしょう！
私たちは約4000人のユーザーと50人のエージェントを持つ組織であり、OTRSをZammadに置き換えることを計画しています。 しかし、LDAP認証がなければ意味がありません。

小さな更新です。テスト状態です。 少なくとも、次のリリースで利用可能なベータテストLDAP統合があります（そしてそのリリース以降、私たちはそれを安定と呼びます）。

それを使用する方法についての小さなプレビュー（フィードバックは大歓迎です-私たちはそれをできるだけ簡単にするように努めました（LDAP設定の自動検出で）-Zammadの方法）：

@bchynds

LDAPサポートは素晴らしいでしょう。 これらの機能がいつ表示されるか、および他にどのようなエンタープライズ機能が実装されているかについての更新はありますか？

エンタープライズ機能：最も重要なものは役割管理です（そして他の人は不在や交換のようなものです）。

よさそうだ。 利用可能になったら、25kユーザーでこれをテストすることを楽しみにしています。

よさそうだ。 利用可能になったら、25kユーザーでこれをテストすることを楽しみにしています。

🎉

こんにちは、

LDAPを使用した既存のエージェントユーザーの移行/マージはありますか？

LDAPを使用した既存のエージェントユーザーの移行/マージはありますか？

既存のユーザーを識別するには、既存のユーザーベースでログインと電子メールアドレスを検索します（そのうちの1つが一致する必要があります）。

やあ、

LDAP統合がdelevopブランチにあることに気づきました。 現在、テストモードで、「指定された構成でエントリを分析しています...」に約10分間取り組んでいます。

しかし、ADには約25,000人のユーザーがいます。 少し待ちます。

@ Julian0oあなたは速い男です！

現在、テストモードで、「指定された構成でエントリを分析しています...」に約10分間取り組んでいます。

スケジューラーは起動していますか？ 9kユーザーのテスト環境では、約60秒かかります。

PS： rails r 'Delayed::Worker.new.work_off'を使用して、キューに入れられたバックグラウンドジョブを手動で開始することもできます

-マーティン

私は速くしました:)管理者の役割を指定するのを忘れて、今は普通のユーザーです:)

@マティーニ
それを修正するためのアドバイスはありますか？ 私は今OTRSConfig.pmを逃しています：D

管理者の役割を取り戻すには、次のようにします。

rails c
u = User.find_by(email: '[email protected]')
u.roles = Role.where(name: ['Agent', 'Admin'])
u.save!

その後、再度ログインすると、管理者になります。

ありがとう！ 今度は2回目です;）

PS：コードを深く調べずにこれらのコマンドを取得する方法はありますか？

PS：コードを深く調べずにこれらのコマンドを取得する方法はありますか？

ほとんどがRailsの標準コマンドです。 しかし、おそらく虎の巻を作成する必要があります。

初期同期には約10分かかりました。
今、私はエラーを受け取ります：

An error occurred: Can't connect to '' on port '389', Connection refused - connect(2) for 127.0.0.1:389
LDAPホストが構成されていますist" ldaps：//xxx.lan "

編集：5つのIPアドレスが遅れているDNSアドレスではなく、ストリックのIPアドレスで2回目の試行を行います。

log / Production.logを取得することは可能ですか？

@martiniログをあなたのmailadressに送ることができます。 どこに行けばいいの？

@martiniログをあなたのmailadressに送ることができます。 どこに行けばいいの？

zammadドットコムでのサポート

さて、これで動作し、同期が進行中です。 45分を6k/22kと同期するようになりました。
OTRSはユーザーも同期しますか？

しかし、なぜuidマッピングを変更できないのですか？ エージェントのログインマッピングにはuserprincipalnameを使用します。

そして、なぜ私は管理者とエージェントを「役割」としてしかマップできないのですか。 役割管理が欠落しているだけですか、それともこれが最終的な役割管理ですか？

さて、これで動作し、同期が進行中です。 45分を6k/22kと同期するようになりました。

ちなみに、これを高速化するように取り組んでいます（約3倍高速）。

OTRSはユーザーも同期しますか？

エージェント（および役割の割り当て）はOTRSで同期されます。 顧客ではなく、問題が発生します。

a）顧客がLDAPから削除された場合（履歴とリビジョンの問題）
b）顧客属性を介してチケットを検索する-概要、トリガー、顧客属性を持つSLAはありません（データは最小2のデータソースにあるため不可能です）
c）LDAPクエリのパフォーマンスの問題（ネットワークに関連する場合もあります）

しかし、なぜuidマッピングを変更できないのですか？ エージェントのログインマッピングにはuserprincipalnameを使用します。

現在、すべての設定を自動検出しようとしています。 構成設定を改善/強化する方法についてアイデアがある場合。

そして、なぜ私は管理者とエージェントを「役割」としてしかマップできないのですか。 役割管理が欠落しているだけですか、それともこれが最終的な役割管理ですか？

役割の管理は次のリリースで行われます（ここでは、権限を使用して役割を定義できます）。 インストール（パッケージインストール）でテストする場合は、 https：//raw.githubusercontent.com/zammad/zammad/develop/app/assets/javascripts/app/controllers/role.coffeeをダウンロードして、アセットを再度プリコンパイルします。

わかりました、それは理にかなっています。

samaccountnameとMailを介してログインできることに気づきました。 それは良い行動です！ 私たちにとって：UPN = Mailadress

同期時間は問題ではないと思います。時間がかかるのは最初の同期だけだからです。

タグの自動検出に関するアドバイス。 私たちは多くのマイクロソフトサービスを使用しています（ビジネス、交換などのスカイプ）。 デフォルトでは、「ms」で始まるすべての属性を除外できます。 Zammadのユーザーの交換構成やsip設定は必要ありません（私は思います）。 それはすべてをスピードアップする可能性があります。
私のユーザーアカウントには約45ミリ秒の属性があります。

ロールプラグインについては、追加情報またはグーグルが必要です;）ファイルをアップロードしましたが、アセットをプリコンパイルする方法がわかりません。

編集：ロールプラグインをインストールする良い方法を教えてください！

突然同期が停止しました...すでにすべてのサービスとサーバーを完全に再起動しました。 同期を再開するためのアドバイスはありますか？

すでにrails r 'Delayed::Worker.new.work_off'しました

更新：Zammadはそれ自体で成功しました！ 👍
待って、突然同期が終了しました！

同期ダウンロード写真はActiveDirectoryにありますか？ それらをth​​umbnailPhoto属性に保存します。

次の質問：同期はどのくらいの頻度で実行されますか？ 今では24時間後、新しい同期はありませんでした。

同期ダウンロード写真はActiveDirectoryにありますか？ それらをth​​umbnailPhoto属性に保存します。

今じゃない。今はだめなの。 しかし、良い考えです！

次の質問：同期はどのくらいの頻度で実行されますか？ 今では24時間後、新しい同期はありませんでした。

スケジューラテーブルに1時間ごとに同期を開始するジョブがあります（もちろん、script / scheduler.rbが実行されている必要があります）。

Railsコンソールを介してジョブが存在するかどうかを確認します。

Scheduler.where(name: 'Import Jobs')

ジョブを（再）作成するには、次のようにします。

Scheduler.create_or_update(
  name:          'Import Jobs',
  method:       'ImportJob.start_registered',
  period:        1.hour,
  prio:          1,
  active:        true,
  updated_by_id: 1,
  created_by_id: 1
)

=>＃<：relation i ="5">]>

しかし、Webインターフェイスは次のように述べています。
最終同期

20.04.2017 09:30-20.04.2017 09:51

こんにちは@Julian0o - Setting.get('import_backends')を確認していただけますか？ LDAPエントリが必要です。 その場合は、コマンドImportJob.allを実行して、結果を投稿してください。 出力には、属性payloadにPWやマッピングなどの機密データが含まれていることに注意してください。 payloadの内容は関係がなく、完全に削除される可能性があります。

出力は、ルビーコンソールから貼り付けるには大きすぎます。 ファイルに出力を取得する方法はありますか？

申し訳ありませんが、完全なルビーヌーブです:)

ImportJob.last.attributes.except('payload').inspectを試してください-前回の実行にのみ関心があるためです。 それでもまだ大きい場合は、 File.write('/tmp/zammad_ldap.txt', ImportJob.last.attributes.except('payload').inspect)を使用してファイル/tmp/zammad_ldap.txtに書き込むことができます。

irb(main):001:0> ImportJob.last.attributes.except('payload').inspect
=> "{\"id\"=>10, \"name\"=>\"Import::Ldap\", \"dry_run\"=>false, \"result\"=>{\"skipped\"=>122, \"created\"=>10, \"updated\"=>27, \"unchanged\"=>22256, \"failed\"=>0, \"sum\"=>22415, \"role_ids\"=>{3=>{\"created\"=>10, \"updated\"=>25, \"unchanged\"=>22220, \"failed\"=>0}, 2=>{\"created\"=>0, \"updated\"=>2, \"unchanged\"=>36, \"failed\"=>0}, 1=>{\"created\"=>0, \"updated\"=>1, \"unchanged\"=>5, \"failed\"=>0}}}, \"started_at\"=>Fri, 21 Apr 2017 08:32:15 UTC +00:00, \"finished_at\"=>Fri, 21 Apr 2017 08:44:07 UTC +00:00, \"created_at\"=>Fri, 21 Apr 2017 08:32:15 UTC +00:00, \"updated_at\"=>Fri, 21 Apr 2017 08:44:07 UTC +00:00}"

編集：それは変わった

Last sync

21.04.2017 10:32 - 21.04.2017 10:44

ありがとう！ うーん、それは奇妙です🤔このステートメントの出力を提供していただけますか？
ImportJob.where(name: 'Import::Ldap', dry_run: false).order(created_at: :desc).limit(1).first.attributes.except('payload').inspect

この同じステートメントは、テキストのレンダリングを担当するLDAPフロントエンドコントローラーによって使用されます。

私はあなたがそうしたと確信していますが、正気の理由だけです：あなたはページをリロードしようとしましたか？

irb(main):001:0> ImportJob.where(name: 'Import::Ldap', dry_run: false).order(created_at: :desc).limit(1).first.attributes.except('payload').inspect
=> "{\"id\"=>12, \"name\"=>\"Import::Ldap\", \"dry_run\"=>false, \"result\"=>{\"skipped\"=>110, \"created\"=>0, \"updated\"=>14, \"unchanged\"=>14176, \"failed\"=>0, \"sum\"=>22415, \"role_ids\"=>{3=>{\"created\"=>0, \"updated\"=>14, \"unchanged\"=>14145, \"failed\"=>0}, 2=>{\"created\"=>0, \"updated\"=>0, \"unchanged\"=>31, \"failed\"=>0}, 1=>{\"created\"=>0, \"updated\"=>0, \"unchanged\"=>5, \"failed\"=>0}}}, \"started_at\"=>Fri, 21 Apr 2017 10:33:07 UTC +00:00, \"finished_at\"=>nil, \"created_at\"=>Fri, 21 Apr 2017 10:33:07 UTC +00:00, \"updated_at\"=>Fri, 21 Apr 2017 10:40:31 UTC +00:00}"

PCを起動した後、朝に気づきました。 だから私はハードリロードをしました:)
これで同期が実行されます。 多分それは1つのタイマーの問題でした。

奇妙な🤔これも私には良さそうです。 わかりました。何かありましたらお知らせください。

やあ！

LDAPコネクタも試しましたが、Julian0o（ https://github.com/zammad/zammad/issues/350#issuecomment -295259450）と同じ問題が発生し、admin-groupを宣言しませんでした。 そこで、 @ martiniのおかげで、railsスニペットを使用して管理者の役割を取り戻しました。

LDAPインポートを完了したことはありませんが、グループはすでに同期されているようです。
現在、私のユーザーはまだ顧客の役割を持っているようで、設定を変更することはできません。

幸いなことに、私はまだ管理タスクを実行できるので、独立した管理ユーザーを作成しましたが、それでも最初のユーザーでは何も変更できません。

これについて何かアイデアはありますか？

martinis railsコマンドをもう一度実行することで、これを解決することができました。 👍

しかし、まだ1つ質問があります。最初の同期が行われる前でも、グループのアクセス許可が同期されても大丈夫ですか？
私の場合、同期されてLDAP-Connection-Wizardを終了するユーザーが多すぎることに気づきましたが、上記の状況に気づきました。

LDAPインポートは昨日からハングしています

インポートを停止/再開することはできますか？

こんにちは@SGVubmluZ0cK - rails管理コンソールを使用して、次の3つのコマンドのそれぞれの出力を提供してください。

Setting.get('import_backends')

ImportJob.last.attributes.except('payload').inspect

ImportJob.where(name: 'Import::Ldap', dry_run: false).order(created_at: :desc).limit(1).first.attributes.except('payload').inspect

ありがとう！

それは、rails管理コンソールが言うことです：

irb(main):004:0> Setting.get('import_backends')
=> ["Import::Ldap"]

irb(main):005:0> ImportJob.last.attributes.except('payload').inspect
=> "{\"id\"=>55, \"name\"=>\"Import::Ldap\", \"dry_run\"=>false, \"result\"=>{\"skipped\"=>2, \"created\"=>2, \"updated\"=>0, \"unchanged\"=>496, \"failed\"=>0, \"sum\"=>2403, \"role_ids\"=>{3=>{\"created\"=>2, \"updated\"=>0, \"unchanged\"=>493, \"failed\"=>0}, 2=>{\"created\"=>0, \"updated\"=>0, \"unchanged\"=>3, \"failed\"=>0}, 1=>{\"created\"=>0, \"updated\"=>0, \"unchanged\"=>1, \"failed\"=>0}}}, \"started_at\"=>Wed, 26 Apr 2017 09:57:42 UTC +00:00, \"finished_at\"=>nil, \"created_at\"=>Wed, 26 Apr 2017 09:57:42 UTC +00:00, \"updated_at\"=>Wed, 26 Apr 2017 10:00:11 UTC +00:00}"

irb(main):006:0> ImportJob.where(name: 'Import::Ldap', dry_run: false).order(created_at: :desc).limit(1).first.attributes.except('payload').inspect
=> "{\"id\"=>55, \"name\"=>\"Import::Ldap\", \"dry_run\"=>false, \"result\"=>{\"skipped\"=>2, \"created\"=>2, \"updated\"=>0, \"unchanged\"=>496, \"failed\"=>0, \"sum\"=>2403, \"role_ids\"=>{3=>{\"created\"=>2, \"updated\"=>0, \"unchanged\"=>493, \"failed\"=>0}, 2=>{\"created\"=>0, \"updated\"=>0, \"unchanged\"=>3, \"failed\"=>0}, 1=>{\"created\"=>0, \"updated\"=>0, \"unchanged\"=>1, \"failed\"=>0}}}, \"started_at\"=>Wed, 26 Apr 2017 09:57:42 UTC +00:00, \"finished_at\"=>nil, \"created_at\"=>Wed, 26 Apr 2017 09:57:42 UTC +00:00, \"updated_at\"=>Wed, 26 Apr 2017 10:00:11 UTC +00:00}"

どうもありがとう！

こんにちは@SGVubmluZ0cK-一見、すべてが私にはうまく見えます。 確かにそうではありません。 新しい問題を作成していただけませんか？ システム/セットアップについて、さらに深く掘り下げるために知っておく必要のある質問がいくつかあります。 production.logファイルへのリクエストもあります。これを提供できれば素晴らしいと思います。
また、コピーしてください-上記のコマンドの出力を新しい問題に貼り付けて、すべてが整っているようにします。 ありがとう！

こんにちは@Julian0o -LDAPグループからZammadへの役割のマッピングが欠落しているためにZammadが役割の割り当てを削除した問題は、上記のコミットで修正されています。 マッピングが指定されていない場合、ユーザーはローカルの役割の割り当てを保持するようになりました。 ただし、マッピングが指定されている場合、LDAPが役割割り当ての主要なソースになります。 フィードバックをいただければ幸いです🤓

こんにちは、みんな。 ADFSを介した認証、または将来のリリースのカードでの認証は可能ですか？ 😃

こんにちは@kmclea16！

はい。Zammadは優れたomniauthgemを使用して、サードパーティプロバイダーを介してユーザーを認証および同期するため、 ADFSが可能です。 omn​​iauthにADFSを提供するgemはすでに存在します。

ただし、近い将来これを実装する予定はありませんが、それほど難しくはないはずです。 誰が知っている、多分誰かがプルリクエストを提供することができますか？ そのための新しい問題を作成できれば素晴らしいと思います。

LDAP認証は、次のZammadバージョン1.6リリースの準備ができています🎉この機能に問題がある場合は、新しい問題を開いてください。

@kmclea16 -ADFSの問題やプルリクエストを確認するのは素晴らしいことです👀