Zammad: 싱글 사인온

안녕하세요 @jaeger13 입니다 .

이것은 물론 가능합니다. 그러나 다음과 같은 구성으로 mod_auth_kerb와 함께 Apache httpd를 사용해야 합니다.

<LocationMatch "/auth/sso">
  SSLRequireSSL
  AuthType Kerberos
  AuthName "Your Zammad"
  KrbMethodNegotiate On
  KrbMethodK5Passwd On
  KrbAuthRealms YOUR.REALM
  KrbLocalUserMapping on
  KrbServiceName HTTP/[email protected]
  Krb5KeyTab /etc/httpd/zammad.keytab
  require valid-user
</LocationMatch>

선택한 uid 속성(위의 예에서 ist sAMAccountName)에 따라 기본적으로 작동합니다.

그리고 Apache를 nginx 대신 역방향 프록시로 구성해야 합니다.

auth 모듈이 환경 변수 REMOTE_USER 또는 HTTP_REMOTE_USER에서 인증된 사용자 이름을 반환하는 한 auth_mellon 등과 같은 다른 모듈을 사용할 수 있습니다.

헉, 로이

안녕하세요 @rkaldung ,

빠른 답변 감사합니다. 나는 Apache와 당신의 지시에 그것을 시도할 것입니다 :-)
nginx로 할 수 있는 방법이 있기를 바랐지만 :-(

감사 해요!

안녕하세요 @jaeger13 입니다 .

nginx를 사용하는 방법이 있지만 현재 테스트하지 않고 있습니다. @martini 이것에 2센트?

안녕하세요 @rkaldung

NGINX로 방법을 설명할 수 있습니까? 그것도 매우 흥미로울 것입니다. 감사 해요.

안녕하세요 @scimitar4444

@rkaldung 은 https://github.com/jgraichen/omniauth-kerberos 와 같은 레일 수준에서의 구현을 의미하지만 먼저 Zammad에서 구현해야 합니다. 🤖

-남자 이름

@martini 항상 한 번만 커밋하면 됩니다 😜

나는 당신의 지시에 따라 SSO가 작동하도록 노력했습니다. 그러나 http://myserver.mydom.local/auth/sso를 탐색하면 로그인 페이지로 돌아갑니다. . . 내가 뭔가를 놓치고 있습니까?

(Stanford) Webauth(및 ldap 사용자)를 사용하려고 하면 동일한 오류가 발생합니다. SSO에 성공적으로 로그인한 후 로그인하라는 zammad 프롬프트가 표시됩니다.
사용: 우분투 16.04; 자마드 2.2.0; 아파치, 마리아DB; (REMOTE_USER는 webauth에 의해 설정됨)

@rkaldung 당신은 sth를 알고

해결 방법을 찾았습니다.

문제점: lib/sso/env.rb에 있는 필요한 모듈이 PUMA에서 필요한 request.env 없이 호출되어 'REMOTE_USER'를 사용할 수 없습니다.

해결 방법:
'create_sso' 함수 내 'zammad/app/controllers/sessions_controller.rb'의 ENV에 request.env의 'REMOTE_USER'를 추가합니다.

   # export required environment variables for sso
   ENV['REMOTE_USER'] = request.env['REMOTE_USER']
   ENV['HTTP_REMOTE_USER'] = request.env['HTTP_REMOTE_USER']

@martini 최신 버전의 PUMA에서 이것이 문제가 될 수 있습니까?

편집: 작동하도록 하려면 httpd.conf에서 헤더 필드를 설정하는 해당 규칙을 추가해야 합니다.

RequestHeader merge REMOTE_USER %{REMOTE_USER}s

2018-01-08 수정:
이제 pikachuprof의 해결 방법으로 모든 것이 작동합니다. /etc/krb5.conf 구성의 오타였습니다.

정보:
중고 Zammad 버전: 최신
사용된 Zammad 설치 소스: rpm
운영 체제: CentOS 7
브라우저 + 버전: Firefox 최신

Apache Server Config:
<VirtualHost *:443>
    ServerName ***
    ServerAdmin ***

    DocumentRoot "/opt/zammad/public"

    <IfModule !mod_auth_kerb.c>
        LoadModule auth_kerb_module /usr/lib64/httpd/modules/mod_auth_kerb.so
    </IfModule>

    ProxyRequests Off
    ProxyPreserveHost On

    <Proxy localhost:3000>
        Require local
    </Proxy>

    ProxyPass /assets !
    ProxyPass /favicon.ico !
    ProxyPass /robots.txt !
    ProxyPass /ws ws://localhost:6042/
    ProxyPass / http://localhost:3000/

    <Directory />
        Options FollowSymLinks
        AllowOverride None
    </Directory>

    <Directory "/opt/zammad/public">
        Options FollowSymLinks
        Require all granted
    </Directory>

    <Location "/auth/sso">
        Order allow,deny
        Allow from all

        AuthType Kerberos
        AuthName "Ticketsystem Kerberos Login"
        KrbServiceName HTTP
        KrbMethodNegotiate on
        KrbMethodK5Passwd on
        KrbLocalUserMapping off
        KrbSaveCredentials on

        Require valid-user

        # Environment specific: Path to the keytab and the realm
        Krb5Keytab /etc/kerberos.keytab
        KrbAuthRealm ***
    </Location>

    SSLEngine on
    SSLCertificateFile /etc/pki/tls/certs/***
    SSLCertificateKeyFile /etc/pki/tls/private/***

    ErrorLog "logs/***-error_log"
    CustomLog "logs/***-access_log" common
</VirtualHost>

https:// /auth/sso 및 "KrbLocalUserMapping on"을 열면 브라우저에 다음 오류가 표시됩니다.인터넷 서버 오류서버에 내부 오류 또는 잘못된 구성이 발생하여 요청을 완료할 수 없습니다.admin@ 으로
이 오류에 대한 자세한 정보는 서버 오류 로그에서 확인할 수 있습니다.

"KrbLocalUserMapping off"를 설정하면 내 브라우저가 https:// * /#login으로 리디렉션됩니다.

"RequestHeader 병합 REMOTE_USER %{REMOTE_USER}s"를 설정하려고 하지만 아무 것도 변경되지 않습니다.

누군가가 도울 수 있기를 바랍니다!

또 다른 작은 해결 방법을 추가했습니다.

RewriteEngine   On
RewriteCond     %{HTTP_COOKIE} !^.*zammad_session.*$
RewriteRule     ^/$ https://%{SERVER_NAME}/auth/sso [R,L]

Apache-config의 이러한 행은 zammad 쿠키가 설정되지 않은 경우에만 '/'를 '/auth/sso'로 리디렉션합니다. 이렇게 하면 '내부 서버 오류'가 발생하는 무한 루프를 생성하지 않고 SSO 로그인 페이지로 리디렉션할 수 있습니다.

작동하지 않는 것 같습니다. . . 아파치 로그는 /auth/sso에 대한 내 사용자 이름을 표시하고 내 요청은 /로 리디렉션되고 내 사용자 이름은 사라집니다. . . 내가 create_sso 함수를 편집할 때 실수를 했을 수도 있습니다!? 누군가 나에게 힌트를 줄 수 있습니까?

@pikachuprof 저는 omniauth-kerberos를 사용하여 구현 작업을 했습니다.

그러나 내 구현에서는 사용자 컴퓨터에서 이미 생성된 "kerberos 티켓"을 사용하는 대신 Zammad에 액세스하려고 할 때마다(물론 Kerberos 자격 증명을 사용하여) 로그인해야 합니다. (예: kinit 또는 기타 "kerberos 티켓팅 클라이언트"에서)

해킹 상황을 피하기 위해 kerberos를 사용하는 기본 로그인에 적합하기를 바랍니다. 😊

'일회성 로그인/인증'이 포함된 고급 구성(예: kinit 한 번 사용하고 인증)의 경우 더 이상 인증하지 않고 zammad/내부 웹사이트/ftp 모든 서버에 ssh/로그인합니다( SPNEGO/GSSAPI)는 현재 수행 중인 프론트엔드 웹서버(Apache와 같은)를 완전히 구성해야만 수행할 수 있습니다.

@muhammadn 우리는 Stanford Webauth(mod_auth_webauth)라는 Kerberos 기반 싱글 사인온 서비스를 사용합니다. 브라우저에서 비밀번호를 통한 로그인을 허용하고 SSO용 Kerberos-Token이 포함된 쿠키를 설정하지만 사용자 비밀번호를 서비스로 전송하지 않고 'WebKDC'로만 전송합니다.

물론 이 설정에서 인증은 Apache에 의해 수행되어야 하지만 Zammad는 REMOTE_USER 변수를 사용하여 이러한 "webserver-auth" 메커니즘이 작동하도록(또는 유사하게?) 허용하고 차단 방법을 제공해야 합니다. 쿠키 검사에 의존하지 않고 "로그인 루프"에서 벗어나는데, 이는 약간 신뢰할 수 없는 것 같습니다.

@pikachuprof https://github.com/muhammadn/zammad/commit/7e8e01bff8226f2d74e80cbc307416db9bf2ac1d 에서 구현을 푸시했습니다.

해당 구현은 공식적으로 zammad 기능이 아니라 omniauth-kerberos 라이브러리를 사용해 보기 위한 것입니다. 모든 것이 Zammad에 의해 처리되고(레일 수준 구현임) 헤더 또는 mod_auth_webauth에 REMOTE_USER가 필요하지 않으므로 kerberos 지원으로 아파치를 구성할 필요가 없습니다.

krb5.conf를 올바르게 설정하기만 하면 됩니다.

예시:

[logging]
    default = FILE:/var/log/krb5.log

[libdefaults]
    default_realm = ZAMMAD.COM
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true

[realms]
    ZAMMAD.COM = {
        kdc = kdc.zammad.com
        admin_server = kdc.zammad.com
        default_domain = zammad.com
    }

[domain_realm]
    .zammad.com = ZAMMAD.COM
    zammad.com = ZAMMAD.COM

공식 구현이 아니기 때문에 이에 대한 문제를 https://github.com/muhammadn/zammad/issues 에 게시할 수 있습니다.

그러나 zammad로 로그인하려면 영역이 대문자여야 합니다. 예: [email protected]

인증을 위해 기존 kerberos 티켓을 사용할 수 있습니까? 우리 사용자들은 이러한 편안한 솔루션에 익숙하며 실제 SSO가 작동할 때까지 zammad로 전환할 기회가 없습니다.

나에게도 같은 문제. 두 가지 방법(Kerberos 및 X509 SSL 클라이언트 인증서)을 사용하여 Apache 측( REMOTE_USER 채우기)에서 SSO 연결을 만들 수 있었습니다. 그리고 내 사용자 계정은 Zammad LDAP 플러그인으로 잘 채워져 있습니다.

• @EDVLeer로 /auth/sso 도달하면 아파치 로그에 사용자 로그인이 표시되지만(그래서 작동함) 로그인 화면으로 다시 돌아옵니다.
• 나는 쓰기의 해킹 시도 zammad/app/controllers/sessions_controller.rb (해킹 @pikachuprof), 그러나 @EDVLeer로, 하나 나는 잘못된 장소에 넣어 두 코드는 이후 변경하고 우리는 지금 다른 사람이 어딘가를 넣어해야합니다.
• 나는 리다이렉트하지 않는 @pikachuprof 해킹을 시도했다 / 쿠키가 있다면 운이 없다
• 나는 이제 아이디어가 없습니다 :D

그래서...

• 작동하려면 Zammad에서 플러그인이나 무언가를 활성화해야 합니까?
• 코드의 버그입니까? (아마도 예, 소스 코드를 변경해야 하는 경우)
• URL /auth/sso 이 최신 릴리스에서 계속 유효합니까?
• 아니면 Zammad로 SSO를 구현하는 방법에 대한 공식 문서가 있습니까?

노트:

Kerberos 구성

<Location "/auth/sso">
    Options FollowSymLinks
    AuthType        Kerberos
    AuthName        "My Name"
    KrbMethodNegotiate  On
    # 'Off' to force users having a valid kerberos ticket, and not prompting for a login/pass
    KrbMethodK5Passwd   Off
    KrbAuthRealms       MY-DOMAIN.FR
    Krb5KeyTab      /etc/krb5.keytab
    KrbLocalUserMapping On
    KrbServiceName      HTTP
    Require valid-user
</Location>

X509 SSL 인증서 구성

참고: Apache 'CA 번들' 파일( SSLCACertificateFile )에 CA 공개 인증서(.crt)를 추가해야 Apache가 클라이언트 인증서가 괜찮은지 확인할 수 있습니다.

# Let this before <Location> to get the certificate at the first connect, and avoid SSL renegotiation
# when we now the real url
SSLVerifyClient     require
<Location "/auth/sso">
    Options FollowSymLinks
    SSLRequireSSL
    SSLVerifyDepth      1    # Depend of your config. Can be higher
    Require expr %{SSL_CLIENT_I_DN_CN} in {'MY CA NAME'}
    SSLOptions      +StdEnvVars
    # Get the 'firstname.lastname' part of the corporate email, and populate REMOTE_USER
    RewriteEngine       On
    RewriteCond     %{SSL:SSL_CLIENT_S_DN_Email} ^(.+)@.+$
    RewriteRule     .* - [E=REMOTE_USER:%1]
    RequestHeader set REMOTE_USER %{REMOTE_USER}e
</Location>

SSO 문제를 "해결"할 수 있습니다. 확실히 완벽한 방법은 아니지만 작동합니다.

내 환경은 Postgres가 포함된 Apache2 2.4가 포함된 최신 zammad 버전(2.5)입니다. mod_auth_kerb를 사용하여 SSO를 구성한 후 다음 작업을 수행해야 합니다.

직원을 동기화하도록 LDAP를 구성했습니다. SAMACOUNTNAME을 로그인 이름에 매핑했습니다. 예를 들어 내 Windows 사용자 이름은 schman입니다. 따라서 이 사용자 이름으로 로그인할 수 있습니다(이메일이 아님).

그 후 session_controller.rb를 편집하고 다음 줄을 추가합니다(173번 줄).

ENV['HTTP_REMOTE_USER']=request.env['HTTP_REMOTE_USER']

그래서 Zammad는 HTTP_REMOTE_USER를 알고 있습니다. 그 후 로그인이 작동하지 않습니다. HTTP_REMOTE_USER의 값이 이제 [email protected]이기 때문입니다. 이 문제를 해결하려면 vHost 구성에 다음 줄을 추가합니다.

RequestHeader edit REMOTE_USER "@DOMAIN.AT" ""

다시 시작한 후(Apache2 및 Zammad) http://zammad.domain.at/auth/sso를 사용하여 SSO에 로그인할 수 있습니다.

누군가 독일어를 할 수 있다면 내 블로그 에 작은 게시물을 작성했습니다.

@schmanat "login-loop"을 어떻게 해결했습니까? 아니면 사용자가 "/auth/sso" URL을 사용하도록 합니까?

현재 사용자는 /auth/sso url을 얻습니다.

그러나 이것은 내가 파고들고 싶은 다음 것입니다. 위의 몇 가지 의견(RewriteRule)에 대한 답변에 대한 해결 방법이 작동하지 않았습니까?

예, 그랬습니다. 그러나 그것은 꽤 신뢰할 수 없습니다.

이 작업을 수행하고 수행한 작업을 문서화해 주신 모든 분들께 감사드립니다. 불행히도 나는 길을 잃었다. 다른 사람들이 경험한 것처럼 나도 "auth/sso" 끝점에 도달한 후 로그인 페이지로 리디렉션됩니다. 내가 한 모든 작업은 다음과 같습니다.

• Debian 9(stretch)에 Zammad를 설치했습니다.
• 구성된 ldap 통합(매핑된 samaccountname -> login )
• AD 사용자 이름/비밀번호로 로그인할 수 있음을 확인했습니다.
• AD에서 생성된 서비스 계정(간단히 zammad 라고 함)
• zammad 서비스 계정에 매핑된 생성된 keytab
• 구성된 kerberos 클라이언트/영역( /etc/krb5.conf )
• kinit 검증된 kerberos 환경
• keytab이 작동하는지 확인했습니다(KDC에서 TGT를 가져올 수 있음).
• 구성된 Apache2 가상 호스트(cohausz에서 설명)
• 수정된 sessions_controller.rb (pikachuprof가 설명함)
• vhost 구성에 헤더 규칙 추가(pikachuprof 설명)

나는 또한 schmant에서 제공하는 솔루션을 시도했지만 아무 것도 도움이되지 않는 것 같습니다.

아래는 내 Apache2 로그입니다. 보시다시피 사용자가 통과하고 있습니다... REMOTE_USER / HTTP_REMOTE_USER 환경 변수가 올바르게 설정되었는지 어떻게 확인할 수 있습니까? 시도할 수 있는 다른 문제 해결 단계가 있습니까?

zammad.example.com:443 10.1.4.197 - - [09/Aug/2018:09:39:23 -0500] "GET /auth/sso HTTP/1.1" 401 855 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36"
zammad.example.com:443 10.1.4.197 - [email protected] [09/Aug/2018:09:39:23 -0500] "GET /auth/sso HTTP/1.1" 302 969 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36"
zammad.example.com:443 10.1.4.197 - - [09/Aug/2018:09:39:23 -0500] "GET / HTTP/1.1" 200 1757 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36"
zammad.example.com:443 10.1.4.197 - - [09/Aug/2018:09:39:23 -0500] "POST /api/v1/signshow HTTP/1.1" 200 15874 "https://zammad.example.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36"
zammad.example.com:443 10.1.4.197 - - [09/Aug/2018:09:39:24 -0500] "GET /api/v1/translations/lang/en-us?_=1533825563736 HTTP/1.1" 200 720 "https://zammad.example.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36"
zammad.example.com:443 10.1.4.197 - - [09/Aug/2018:09:39:24 -0500] "GET /assets/images/fed16b83d2e87ea36cea961d6d8a2101.png HTTP/1.1" 304 210 "https://zammad.example.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36" 

안녕하십니까,

@jeremyj563과 같은 오류가 있습니다.

SSO로 로그인하는 방법이 있습니까?

답변 감사합니다

저도 SSO에 관심이 있습니다.

SSO용 Azure AD를 구현하는 옵션입니다.

우리도 매우 관심이 있습니다. 저는 현재 Univention Test App Center에서 앱을 테스트하고 있으며 매우 기대됩니다.

귀찮게 해서 죄송합니다. docker compose가 nginx를 사용하기 때문에 univention에서는 작동하지 않습니다.

주의 : 이 문제 또는 다른 문제에 설명된 방식으로 SSO 구현을 사용하도록 경고해야 합니다. 여기에 제공된 변경 사항에는 심각한 보안 취약점이 포함되어 있습니다. 이 취약점은 인증되지 않은 사용자에 대해 SSO를 통해 생성된 세션을 유지합니다. 이는 인증되지 않은 사용자가 사용자에 대해 이전에 생성된 SSO 세션을 인수할 수 있음을 의미합니다(Zamad 컨텍스트에서).

이 문제가 해결될 때까지 SSO를 비활성화하는 것이 좋습니다.

그러나 좋은 소식은 우리가 공식 SSO 구현 작업을 시작했다는 것입니다.

@rlue 덕분에 SSO(Single Sign-On)가 마침내 develop 에 도달했습니다 ! 몇 주 안에 곧 출시될 3.2 릴리스의 일부가 될 것입니다. develop 분기를 사용하는 Zammad 인스턴스의 업데이트는 현재 중단되었습니다. 우리는 그것에 대해 노력하고 있습니다. 그러나 새로운 Zammad(테스트) 시스템에서 SSO를 테스트할 수 있습니다.

@MrGeneration 다음 자유 시간에 SSO 구성을 다루도록 문서를 확장할 수 있습니까?

후속 조치가 있었습니다. 위의 커밋에 유의하십시오.

불행하게도 우리는 문서 😞받는 끌어 오기 요청의 형태로 기여 만드는 몇 가지 장애물에 직면 https://github.com/zammad/zammad-admin-documentation 높게 평가 될 것입니다.
API 엔드포인트는 /auth/sso 입니다. 다음 중 하나가 존재하고 사용자의 login 속성을 포함할 것으로 예상합니다.

• 환경 REMOTE_USER
• 환경 HTTP_REMOTE_USER
• 헤더 X-Forwarded-User

질문이 있으면 알려주세요. 답변을 드리게 되어 기쁩니다.

지금 닫습니다.

완전성을 위해: SSO 문서는 현재 QA를 진행 중입니다.
https://github.com/zammad/zammad-documentation/pull/147