RE: аутентификация с АД 2008

От: <dbalaev_at_mx_ru>
Дата: Fri 13 Jan 2012 - 09:23:57 MSK


В Win2008 по умолчанию отключены некоторые виды шифрования ключей Kerberos и типы NTLM аутентификации. Посмотрите в логи Win сервера и Вы все сами увидите. Включать все это дело нужно либо в доменной либо в локальной политике сервера. Все прекрасно работает и на 2008 и на 2008R2.

-----Original Message-----
From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] Sent: Thursday, January 12, 2012 3:44 AM To: CommuniGate Pro Russian Discussions
Subject: Re: [CGP] аутентификация с АД 2008

13.01.2012 00:17, Roman Prokhorov пишет:
> Hello,
> Иван Титоренко on 12.01.2012 17:01 wrote:
>
>> Здравствуйте, Roman.
>>
>> Вы писали 12 января 2012 г., 21:59:31:
>>
>>> Hello,
>>> Ivan Titorenko on 11.01.2012 9:00 wrote:
>>
>>>> Здравствуйте!
>>>>
>>>> Кто-нибудь настраивал аутентификацию через AD 2008?
>>>>
>>>> С 2003 у меня работает, использую этот скрипт
>>>> http://www.stalker.com/CGAUTH/authLDAPNew.pl
>>>>
>>>> Изменяю его под 2008 и аутентификация не проходит. В логах пишут:
>>>>
>>>> 15:36:58.974 4 EXTAUTH out(035): 391 NEW userAD@maildomain.ru\n
>>>> 15:36:58.979 4 EXTAUTH inp(060): 391 ERROR LDAP: nothing found for
>>>> 'sAMAccountName=userAD'
>>>> 15:36:58.979 1 EXTAUTH userAD@maildomain.ru rejected: ERROR LDAP:
>>>> nothing found for 'sAMAccountName=userAD'
>>>>
>>>> В чем может быть проблема?
>>
>>> В том, что вместо sAMAccountName у вас в AD используется какой-то
>>> другой
>>> атрибут, в котором хранится имя экаунта. Смотрите какой и подправьте
>>> скрипт.
>>
>> Да нет, логин хранится в sAMAccountName. и ldapsearch все находит, а
>> скрипт коммунигейта не хочет...
>
> А searchBase в скрипте правильно указали?
> Как выглядит то, что ldapsearch находит?
>
у меня немного модифицированный скрипт.

Вместо этого:
my @ldap_servers=( # you can specify multiple LDAP servers here

{ address=>'127.0.0.1',     # the address or IP of LDAP server
   port=>389,                # LDAP port, 389 by default
   timeout=>5,               # timeout in seconds, 20 by default
   adminDN=>'uid=admin,cn=host', # the DN for admin bind    adminPassword=>'pass',
   searchBase=>'cn=<domain>', # search base for NEW and SASL commands    searchFilter=>'(&(uid=<user>)(objectclass=*))',    bindDN=>'uid=<user>,cn=<domain>', # the account DN for direct bind for VRFY command
},
{ address=>'127.0.0.2',

   adminDN=>'postmaster',
   adminPassword=>'pass',
   searchBase=>'cn=<domain>',
   searchFilter=>'(&(uid=<user>)(objectclass=*))',    bindDN=>'uid=<user>,cn=<domain>',

у меня:

my $LDAPServerAddress =  '192.168.0.1';   # You should redefine these values
my $LDAPAdminDN = 'CN=admin,CN=Users,DC=domain,DC=local';
my $LDAPAdminPassword = 'admin_pass';
my $LDAPSearchBase = 'DC=domain,DC=local';

Оригинал работать не хочет. модифицированный с ад 2003 прекрасно взаимодействует.

searchBase указал верно - dc=newcompany, dc=ru. единственное различие между доменами 2003 и 2008 в том, что имя 2003 - company, а 2008 - newcompany.ru.

ldapsearch:

ldapsearch -x -D "cn=bbadmin,ou=integration,dc=newcompany,dc=ru" -W -b "DC=newcompany,DC=ru" -H ldap://x.x.x.x "(sAMAccountName=ivanov.i)" cn displayName sAMAccountName
Enter LDAP Password:

# extended LDIF
#
# LDAPv3
# base <DC=newcompany,DC=ru> with scope subtree
# filter: (sAMAccountName=ivanov.i)
# requesting: cn displayName sAMAccountName
#

# Ivan Ivanov, Integration, newcompany.ru dn: CN=Ivan Ivanov,OU=Integration,DC=newcompany,DC=ru cn: Ivan Ivanov
displayName: Ivan Ivanov
sAMAccountName: ivanov.i

##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки   <CGatePro@mx.ru>.
Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес <CGatePro-request@mx.ru> Архив списка: http://mx.demos.su/lists/cgp-russian/ Получено Fri Jan 13 05:24:05 2012

Этот архив был сгенерирован hypermail 2.1.8 : Fri 13 Jan 2012 - 13:15:29 MSK