В Win2008 по умолчанию отключены некоторые виды шифрования ключей Kerberos и типы NTLM аутентификации. Посмотрите в логи Win сервера и Вы все сами увидите. Включать все это дело нужно либо в доменной либо в локальной политике сервера. Все прекрасно работает и на 2008 и на 2008R2.
-----Original Message-----
From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
Sent: Thursday, January 12, 2012 3:44 AM
To: CommuniGate Pro Russian Discussions
Subject: Re: [CGP] аутентификация с АД 2008
13.01.2012 00:17, Roman Prokhorov пишет:
> Hello,
> Иван Титоренко on 12.01.2012 17:01 wrote:
>
>> Здравствуйте, Roman.
>>
>> Вы писали 12 января 2012 г., 21:59:31:
>>
>>> Hello,
>>> Ivan Titorenko on 11.01.2012 9:00 wrote:
>>
>>>> Здравствуйте!
>>>>
>>>> Кто-нибудь настраивал аутентификацию через AD 2008?
>>>>
>>>> С 2003 у меня работает, использую этот скрипт
>>>> http://www.stalker.com/CGAUTH/authLDAPNew.pl
>>>>
>>>> Изменяю его под 2008 и аутентификация не проходит. В логах пишут:
>>>>
>>>> 15:36:58.974 4 EXTAUTH out(035): 391 NEW userAD@maildomain.ru\n
>>>> 15:36:58.979 4 EXTAUTH inp(060): 391 ERROR LDAP: nothing found for
>>>> 'sAMAccountName=userAD'
>>>> 15:36:58.979 1 EXTAUTH userAD@maildomain.ru rejected: ERROR LDAP:
>>>> nothing found for 'sAMAccountName=userAD'
>>>>
>>>> В чем может быть проблема?
>>
>>> В том, что вместо sAMAccountName у вас в AD используется какой-то
>>> другой
>>> атрибут, в котором хранится имя экаунта. Смотрите какой и подправьте
>>> скрипт.
>>
>> Да нет, логин хранится в sAMAccountName. и ldapsearch все находит, а
>> скрипт коммунигейта не хочет...
>
> А searchBase в скрипте правильно указали?
> Как выглядит то, что ldapsearch находит?
>
у меня немного модифицированный скрипт.
Вместо этого:
my @ldap_servers=( # you can specify multiple LDAP servers here
{ address=>'127.0.0.1', # the address or IP of LDAP server
port=>389, # LDAP port, 389 by default
timeout=>5, # timeout in seconds, 20 by default
adminDN=>'uid=admin,cn=host', # the DN for admin bind
adminPassword=>'pass',
adminDN=>'postmaster',
adminPassword=>'pass',
searchBase=>'cn=<domain>',
searchFilter=>'(&(uid=<user>)(objectclass=*))',
bindDN=>'uid=<user>,cn=<domain>',
у меня:
my $LDAPServerAddress = '192.168.0.1'; # You should redefine these values my $LDAPAdminDN = 'CN=admin,CN=Users,DC=domain,DC=local'; my $LDAPAdminPassword = 'admin_pass'; my $LDAPSearchBase = 'DC=domain,DC=local';
Оригинал работать не хочет. модифицированный с ад 2003 прекрасно взаимодействует.
searchBase указал верно - dc=newcompany, dc=ru. единственное различие между доменами 2003 и 2008 в том, что имя 2003 - company, а 2008 - newcompany.ru.
ldapsearch:
ldapsearch -x -D "cn=bbadmin,ou=integration,dc=newcompany,dc=ru" -W -b
"DC=newcompany,DC=ru" -H ldap://x.x.x.x "(sAMAccountName=ivanov.i)" cn
displayName sAMAccountName
Enter LDAP Password:
# extended LDIF # # LDAPv3 # base <DC=newcompany,DC=ru> with scope subtree # filter: (sAMAccountName=ivanov.i) # requesting: cn displayName sAMAccountName #
# Ivan Ivanov, Integration, newcompany.ru
dn: CN=Ivan Ivanov,OU=Integration,DC=newcompany,DC=ru
cn: Ivan Ivanov
displayName: Ivan Ivanov
sAMAccountName: ivanov.i
##################################################################Вы получили это сообщение потому, что подписаны на список рассылки <CGatePro@mx.ru>.
Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>Для административных запросов адрес <CGatePro-request@mx.ru> Архив списка: http://mx.demos.su/lists/cgp-russian/ Получено Fri Jan 13 05:24:05 2012
Этот архив был сгенерирован hypermail 2.1.8 : Fri 13 Jan 2012 - 13:15:29 MSK