Re: несколько вопросов по CommuniGate

От: Dmitry Akindinov <CGatePro_at_mx_ru>
Дата: Tue 28 Jul 2009 - 11:47:31 MSD

здравствуйте,

Балаев Дмитрий Владимирович wrote:

>> Будет работать в следующей версии Connector'а.
>> Но вообще, в аутлуке всегда можно настроить еще и directory search 
>> аккаунт - через него всегда можно получить полный список записей в >директории.

>
> За столь оперативную доработку коннектора - огромное спасибо.
> Про возможность создать directory search аккаунт мы конечно знаем,
> Но уж больно накладно создавать их на более чем тысяче хостов во всех
> Концах нашей необъятной родины.
>

>>> 2. Будет ли когда нибудь Пронто поддерживать сквозную аутентификацию >>через Kerberos? И если такие работы ведуться, то когда данный
>>>> функционал можно ожидать.

>

>> В принципе, если браузер такой тип аутентификации поддерживает, то это 
>> можно сделать уже сейчас. Идея такая: если зайти на порт WebUser с 
>> запросом к реалму /login/, то при включенной аутентификации через 
>> Керберос будет создана WebUser сессия. С идентификатором этой сессии уже 
>> можно создать сессию Пронто, не показывая входную страницу.

>
> А вот об этом если можно поподробнее. Т.е. Вы хотите сказать, что если мы
> укажем скин по умолчанию Pronto и будем использовать Kerberos авторизацию через /login/, то это заработает. Или необходимо еще что-то допилить?

Надо добавить в скин Pronto (не Pronto-* - это важно!) один скрипт, который будет выполняться при логине и файл strings.data. указывающий, что этот скрипт надо применить. Плюс, в домене должна быть разрешена аутентификация с использованием SessionID.

>>> 3. Возможноли подружить автоизацию пользователей в AD с аутентификацией >>пользователей через Kerberos. Т.е. сейчас прикрутили авторизацию в AD 
>>> с помощью внешнего скрипта. Все заботает замечательно, пользователи >>создаются при их отсутствии в CGP и наличии в AD. Прикрутили авторизацию
>>> через Kerberos - замечательно, авторизация существующих пользователей >>проходит на ура. Но, если в CGP пользователя нет, то при авторизации
>>> через Kerberos пользователь не создается. Причина конечна понятна, но все >>же хотелось бы какой то костыль для такой ситуации.

>

>> Можно попробовать прикрутить внешний аутентификатор, который будет 
>> отрабатывать команду NEW при включенной в настройках домена опции 
>> "Consult External Authenticator".

>
> Так оно так и сделано. Внешний аутентификатор смотрит в AD и берет от туда данные для аутентификации и при отсутсвии пользователя в AD отрабатывает
> через команду NEW создание пользователя в CommuniGate. Это все замечательно
> работает везде кроме авторизации через Kerberos. При авторизации через Kerberos дело до внешнего аутентификатора просто не доходит.

Действительно... Там, с аутентификацией через Керберос довольно жесткие требование на имя аккаунта и домена - при такой аутентификации не используются записи в роутере и форвардеры - чтобы случайно не дать возможность аутентифицироваться людям из другого домена с их keytab. Запрещенным оказался и вызрв внешнего аутентификатора. В 5.3с1 постараемся добавить эту возможность.

-- 
Best regards,
Dmitry Akindinov

Получено Tue Jul 28 07:47:38 2009