А можно поподробнее про керберос и WM?
Ибо с outlook керберос замечательно работает. Правда есть один глюк.
При создании учётной записи outlook создаёт новый файл данных .dat, то
есть имени просто нет и в outlook учётная запись соответственно не имеет
названия. А вот если прописать имя пользователя в коннекторе, а затем
поставить переключатель в "использовать керберос", то имя
подхватывается. Хотелось бы чтобы имя автоматом подхватывалось. Если
непонятно объяснил, могу прислать скриншоты.
> -----Original Message-----
> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
> Sent: Thursday, November 03, 2005 3:11 AM
> To: CommuniGate Pro Russian Discussions
> Subject: [CGP] Re: Два вопроса - SIP и Calendar
>
> On Thu, 3 Nov 2005 01:15:17 +0300
> "Alex Iliynsky" <CGatePro@mx.ru> wrote:
> > Alex Iliynsky wrote:
> >> Добрый день.
> >>
> >> Есть два вопроса.
> >> 1. Как сделать (если можно), чтобы пользователи в windows Messenger
> >> логинились автоматом со своими NTLM паролями? Если делать "в лоб" -
то
> >
> > NTLM, как и любой другой SASL метод, требует от сервер знания пароля
в
> > чистом виде. Что с использованием внешних хранилищ для данных
> > авторизации - весьма затруднительно.
> >
> > А нельзя релеить запрос на внешний сервер? Типа выступить в роли
прокси
> >для авторизации клиента и отреагировать на то, что вернет
авторизационный
> >сервер?
>
> Можно, если бы это был так просто, как Вы описали. На самом деле,
процесс
> там минимум трех-ходовой - клиент суется с пустыми руками, ему дают
отлуп,
> но в отлупе - challenge. Клиент хватает challenge, применяет какие-то
> магические действия с ним, с паролем (и может - еще с чем-то), и
отсылает
> это опять серверу. Обычно - вместе с challenge, но не обязательно.
Сервер
> проверяет валидность challenge (вот тут вот собака порылась), делает
те же
> магические действия и смотрит на результат. Совпал - значит,
залогинились.
>
> Так вот, Вы можете сделать External AUTH модуль, которые получит от
> сервера
> challenge, имя юзера и полученный результат магических действий. И Вы
> можете
> это всё зарелеить на чей-то чужой сервер, чтобы он это проверил. Но он
-
> увы, вряд ли воспримет этот challenge - как валидный. Хотя это
Микрософт -
> может, они там и такую проверку тоже забыли. Однако, насколько я
помню, в
> Самба как раз с этим - главная борьба. С другой стороны, Самба не
умеет
> работать по datagram protocols (типа SIP) - поэтому, может, там
микрософт
> и
> не проверяет валидность...
>
> Лучше всего, конечно, перейти на Kerberos, раз уж так хочется
использовать
> Active Directory - но изобретенный Микрософтовскими гениями механизм
> подписи
> при помощи Kerberos мы пока "не исследовали".
>
> Sincerely,
> Vladimir
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
>
>
Получено Thu Nov 03 06:41:40 2005
Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:14:23 MSK