{{getMsg('Help_YouAreHere')}}: {{page.title}} {{page.title}}

{{$root.getMsg("downLoadHelpAsPdf")}} {{helpModel.downloadHelpPdfDataStatus}}

1 Authentifizierungsmethoden nach der Installation

Der i-net HelpDesk verwendet bevorzugt eine System Authentifizierung. Das Betriebssystem stellt die entsprechende Methode zur Authentifizierung eines Benutzers bereits zur Verfügung.

Bei einer Neuinstallation ist folgender Login-Typ aktiv: für Windows die Windows Authentifizierung und unter Linux die PAM Authentifizierung. Bei einer Update-Installation wird die bestehende Methode für die Anmeldung beibehalten 1).

Als integrierte Methoden der Authentifizierung werden installiert die i-net HelpDesk Authentifizierung, Masterpasswort und Gast.

Folgende weitere Login-Typen können aktiviert werden: LDAP-Authentifizierung, OAuth (MS ADFS, GitHub, Facebook, Twitter) und Script-Authentifizierung.

1.1 Windows: Neuinstallation / Update

Unter Windows wird als Standardeinstellung die systemeigene Authentifizierungsmethode verwendet. Sie werden in Browsern, die das unterstützen, automatisch mit Ihrem Benutzeraccount angemeldet. In anderen Browsern werden Sie nach dem Benutzernamen und Passwort eines Windows-Benutzers gefragt. Dieser muss ggf. auch die Domäne enthalten, z.B. MEINEDOMAIN\\hugo.

1.2 Linux: Neuinstallation

Eine Neuinstallation unter Linux - egal ob mit oder ohne Apache Server - verwendet immer zunächst das PAM-Modul für die Anmeldung. Bestehende Benutzeraccounts des Servers können verwendet werden.

Damit dies möglich ist hat der Installer einige Maßnahmen ergriffen, die hier kurz erklärt werden sollen:

  • Der i-net HelpDesk läuft ab Version 8 mit einem eigenen Benutzeraccount (helpdesk:helpdesk).
  • Damit der i-net HelpDesk das PAM-Modul vollumfänglich verwenden kann, muss dieser Benutzer in die Gruppe der Datei /etc/shadow mit aufgenommen werden. Dies erfolgt auf Wunsch des Anwenders und muss mit einem Shell-Script durchgeführt werden. Das Setup weist darauf hin und unterstützt den Anwender bei der Prozedur.

Wichtig: Diese Maßnahmen sind natürlich potentiell sicherheitsrelevant für Ihre Umgebung und können jederzeit rückgängig gemacht werden. Sie müssen jedoch dann dafür sorgen, dass Sie:

  • Entweder dem helpdesk-Benutzer eine Möglichkeit schaffen, um PAM mit z.B. LDAP oder einem anderen Authentifizierungsbackend zu verwenden
  • oder in der Konfiguration ein anderes Login-Modul auswählen.

Hinweis: unter SELinux Systemen ist in Verbindung mit dem Apache (httpd-Dienst) ggf. nötig, diesem die Rechte für den Zugriff auf den i-net HelpDesk via mod_proxy_http zu geben. Dies erreichen Sie mit folgendem Befehl:

sudo setbool -P httpd_can_network_connect 1

1.3 Linux: Update

Bei einem Update sollten alle Einstellungen erhalten bleiben. Eine Ausnahme ist jedoch eine von Ihnen angepasste Authentifizierung in der Konfiguration des Apache. Diese wird vom Setup verändert.

Weiter unten finden Sie Informationen wie Sie dieses Problem lösen können.

1.4 Login-Module

Der i-net HelpDesk wird mit den folgenden Login-Modulen ausgeliefert. Bei einer Neuinstallation wird automatisch die Methode des Betriebssystems als Login-Typ System Authentifizierung aktiviert, unter Windows Windows Authentifizierung und unter Linux PAM.

Hinweis: Einige Login-Module werden als Plug-In mitgeliefert und müssen erst in der Web-Anwendung Konfiguration > Plug-Ins > Authentifizierung aktiviert werden.

1.4.1 i-net HelpDesk Login

Zusätzlich zu vorgenannten Login-Modulen gibt es die Möglichkeit der Anmeldung an der i-net HelpDesk-Datenbank. Damit ist es möglich Benutzer zu authentifizieren, die entweder nicht über das eingestellte Login-Modul abgedeckt werden (können) oder sich von außen, außerhalb eines Firmennetzwerkes anmelden wollen.

Für der i-net HelpDesk Datenbank-Anmeldung ist auch einstellbar, dass Benutzer sich neu registrieren können.

Hinweis: Wenn diese Anmeldungsart freigeschaltet ist, wird das Freifeld 5 der Benutzer für die Speicherung des verschlüsselten Passwortes verwendet.

1.4.2 Masterpasswort

Fallback, falls ein Fehler in der Konfiguration den Zugriff verhindert.

1.4.3 LDAP - Authentifizierung

Falls die Authentifizierung via LDAP erfolgen soll, wählen Sie den Login-Typ 'LDAP Server'. Tragen Sie als LDAP-URL die Verbindungsdaten ein (z.B. ldap://HOSTNAME:389/). Durch Eintragen Ihrer Domäne als Default-Domäne sollte die Anmeldung nur mit Benutzernamen und Passwort möglich sein.
Das Plug-In ist standardmäßig nicht aktiv.

1.4.4 OAuth / OpenID - Authentifizierung

Authentifizierung gegen OAuth2/OpenID Provider von Facebook, GitHub, Google und Microsoft ADFS.
Das Plug-In ist standardmäßig nicht aktiv.

1.4.5 PAM - Authentifizierung

Dieses Modul steht Ihnen nur unter Linux zur Verfügung.

1.4.6 Script – Authentifizierung

Der Login Typ 'Externer Webserver' wird hier am Beispiel einer Authentifizierung gegen einen Apache Web-Server unter Verwendung von PHP und des Apache LDAP Authentifizierungs-Moduls erläutert. Die Adresse für die Login-URL wird dann sein: http://ihrserver/hdlogin

Der Apache Web-Server muss wie folgt konfiguriert werden:

Abbildung 1: Apache Konfigurationsdatei
### HelpDesk Login Start
 Alias /hdlogin "/usr/share/i-net-login/"
 
<AuthnProviderAlias ldap MyLogin>
	AuthLDAPBindDN "CN=dee,OU=Berlin,DC=inetsoftware,DC=local"
	AuthLDAPBindPassword Bz1*Ks39up!
	AuthLDAPURL "ldap://10.10.11.11:389/DC=inetsoftware,DC=local?sAMAccountName?sub?(objectCategory=person)"
	LDAPReferrals Off
 </AuthnProviderAlias>
 <Location /hdlogin/login.php>
	Order Allow,Deny
	Allow from all
	Satisfy All
 
 	AuthBasicProvider MyLogin
	AuthType Basic
	AuthName "i-net HelpDesk"
	Require valid-user
 </Location>
 
### HelpDesk Login End

Das Plug-In ist standardmäßig nicht aktiv.

1.4.7 Windows - Authentifizierung

Dieses Modul steht Ihnen nur unter Windows zur Verfügung. Es verwendet die in Windows eingebaute Methode sich zu authentifizieren und berücksichtigt auch das Anmelden an einem Firmennetzwerk.

2 Behebung bekannter Probleme

Aufgrund verschiedener Neuentwicklungen im Zusammenhang mit der Anmeldung kann es bei der Migration von einer Vorgängerversion oder der Neuinstallation zu verschiedenen Problemen kommen. Im Folgenden werden die häufigsten Probleme und deren Lösungen behandelt.

2.1 Update i-net HelpDesk-Version 8.0: mögliche Fehler bei der Authentifizierung

Bei der Migration von i-net HelpDesk Version 7.6 auf Version 8.0 werden die HelpDesk-spezifischen Inhalte in der Konfigurationsdatei des Apache Web-Servers auf Linux-Systemen entfernt.

Hinweis: Die Einträge zu Authentifizierungsmechanismen werden ebenfalls komplett aus dem HelpDesk-Abschnitt entfernt. Ein adäquates Ersetzen ist leider nicht möglich, so dass Sie die Authentifizierungseinstellungen nach dem Update eventuell selbst neu konfigurieren müssen. Dies betrifft auch eine von Ihnen verwendete und erweiterte passwd-Datei.

Ab Version 8.0 des i-net HelpDesk übernimmt der integrierte Jetty-Web-Server den Authentifizierungsmechanismus des jeweiligen Linux-Systems. Die normale Linux-Authentifizierung wird über PAM (Pluggable Authentication Modules) bereitgestellt.

In der Folge dieser Umstellung können folgende zwei Probleme bei der Authentifizierung auftreten.

    • Hintergrund: Nach dem HelpDesk-Update versuchen Sie eine Anmeldung an der HelpDesk-Startseite. Die Anmeldung scheitert, weil Ihr HelpDesk-Konto NICHT in der Passwortdatenbank des Authentifizierungsmechanismus enthalten ist.
    • Beispiel: In der HelpDesk-Version 7.x konfigurierten Sie eine LDAP-Authentifizierung. Nach dem Update wurde die LDAP-Konfiguration entfernt. Das Linux-System verwendet PAM. In der PAM-Passwortdatenbank gibt es diesen User allerdings nicht.
    • Nach dem erfolgreichen HelpDesk-Login zeigt die Startseite nur zwei Button (Aufruf des Desktop- und des Web-Clients), obwohl Sie vor dem Update HelpDesk-Admin waren und alle Rechte hatten.
    • Hintergrund: Das Konto wurde in der PAM-Passwortdatenbank gefunden. Allerdings existiert dieses Konto bisher NICHT in der HelpDesk-Datenbank, sondern wurde durch das Einloggen erst erstellt. Daher besitzt dieses Konto keine weitergehenden Rechte im Tool.

Den Zugriff auf die HelpDesk-Konfigurationsanwendung erhalten Sie bei beiden Problemen nur über den lokalen Aufruf des Recovery Tools.

2.1.1 Problem 1: HelpDesk-Login scheitert

Falls das HelpDesk-Login generell fehlschlägt, müssen die Login-Einstellungen geändert werden. Öffnen Sie hierzu im Recovery Tool die Anwendung Konfiguration. Kontrollieren Sie die Einstellungen für die Authentifizierung unter Allgemein > Login.

Abbildung 2: Einstellungen der Authentifizierung

Beenden Sie nach Behebung des Anmeldeproblems das Recovery Tool (Button Shutdown, oder CTRL+C auf einem System ohne GUI). Starten Sie den Apache sowie den zuvor gestoppten i-net HelpDesk Server neu.

2.1.2 Problem 2: Kein administrativer Zugang möglich

Im Recovery Tool öffnen Sie das Modul Benutzer und Gruppen.

Suchen Sie das Konto, mit dem Sie sich am i-net HelpDesk anmelden konnten. Nehmen Sie den Benutzer in die Gruppe Administratoren auf.

Abbildung 3: Rechteverwaltung für Benutzer und Gruppen

Als Mitglied der Gruppe Administratoren verfügen Sie über alle Rechte im Tool.

Beenden Sie nach Behebung des Anmeldeproblems das Recovery Tool (Button Shutdown, oder CTRL+C auf einem System ohne GUI). Starten Sie den Apache sowie den zuvor gestoppten i-net HelpDesk Server neu.

2.2 Recovery Tool

Wichtig: Bevor Sie das Recovery-Tool aufrufen, stoppen sie den i-net HelpDesk Server. Das Recovery-Tool schreibt Einträge in die HelpDesk-Konfiguration, die erst durch einen Neustart des HelpDesk-Services wirksam werden.

Starten Sie nun das Recovery Tool mit Hilfe der Dienstdatei /etc/init.d/helpdesk:

/etc/init.d/helpdesk recovery
 
# Zum Aufrufen der Hilfe:
/etc/init.d/helpdesk recovery -help
 
# Damit nur Ihr Browser-Client Zugriff auf das Tool hat:
/etc/init.d/helpdesk recovery -client.ip <IHRE IP>

Das Recovery Tool öffnet sich im Browser und zeigt eine reduzierte Einstellungsauswahl.

Abbildung 4: Oberfläche des Recovery-Tools

Hinweis zu Headless-Systemen: Das Vorgehen ist vergleichbar. Es muss jedoch der Startparameter -client.ip beachtet werden. Näheres hierzu finden Sie hier.

1)
Mit Einschränkungen bei der Verwendung von Apache unter Linux
 
This application uses cookies to allow login. By continuing to use this application, you agree to the use of cookies.