https://www.opennet.ru/openforum/vsluhforumID1/79698.html Доброго времени суток, господа. <br>Задача следующая: Необходимо настроить авторизацию Jabberd в M$ AD... В качестве стораджа используется муська.<br>Лдап ауф пролетает, биндится к АД и юзера там находит, т.е. аутентификация прошла... Но. Сам юзер не найден в сторадже, т.е. в муське. <br>В нете нашел решение, скриптами портировать из лдапа юзеров в MySQl. Но решение, как мне кажется несколько неудобное, ибо нет изменений в базе на лету при изменениях в АД.<br>Может есть какие-то стандартные средства, котрых я не увидел, самого джаббера, которые будут кидать юзеров в муську. Или есть какой-то иной демон, который позволит реализовать сию задачу ?<br>Заранее большое спасибо за ответы.<br>Да, чуть не забыл<br>OS FreeBSD 7.0<br>Jabberd-2.1.23<br>mysql-server-5.0.51a<br> https://www.opennet.ru/openforum/vsluhforumID1/79698.html#6 Wed, 09 Apr 2008 03:34:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Твоя идея с мускулем не прокатит - пароли из AD вытащить можно, <br>&gt;&gt;&gt;но только в зашифрованном виде. Мускуль тебе их не расшифрует. <br>&gt;&gt;<br>&gt;&gt;тогда что делает этот скрипт ? <br>&gt;&gt;http://www.onlamp.com/pub/a/onlamp/2005/10/06/jabberd.html?page=3 <br>&gt;&gt;К сожалению плохо знаю перл, не пинай сильно ногами ))) <br>&gt;<br>&gt;Они тянут только поля из схемы inteOrgPerson (или типа того), но не <br>&gt;пароли. Может они рассчитывают, что пароль пользователи будут вбивать сами при <br>&gt;первом входе в jabber. <br><br>Т.е. Вы имеете ввиду, что юзеры будут при первом входе криэйтить свой аккаунт ? Ок, он создастся, но... Вопервых не факт, что юзер вобьёт свой пароль правильно с первого раза, и потом, опять же не вижу синхронизации с АД. <br>Точнее, я не прав, при аутентификации через АД, у юзеров вообще отключается возможность криэйтить аккаунты. Посему, идея моя видать не имеет места под солнцем )))<br> https://www.opennet.ru/openforum/vsluhforumID1/79698.html#5 Tue, 08 Apr 2008 13:59:22 GMT &gt;и вообще, какой смысл тогда в аутентификации в АД, если в хранилище <br>&gt;юзеров положить нельзя. <br>&gt;Какой смысл делать аутентификацию вот так ? <br>&gt;http://www.opennms.org/index.php/How_to_configure_jabberd2_to_work_with_OpenNMS <br>&gt;Или может джабберд сам кладет всякие ростеры и вкарды не проверяя пароли, <br>&gt;а просто создаёт списки в муське ? <br>&gt;Объясните пожалуйста, проблема очень насущная <br><br>Считается, что очень хорошо, когда пароли для всех сетевых служб лежат в одном месте - упрощает администрирование. В идеале - можно пытаться организовать single sign-on (к примеру, через kerberos или AD, т.е. через тот же kerberos). Но тут есть сложности в виду идиотизма авторов жабир-клиентов.<br><br>http://www.opennet.ru/openforum/vsluhforumID1/75093.html#4<br> https://www.opennet.ru/openforum/vsluhforumID1/79698.html#4 Tue, 08 Apr 2008 13:54:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt;kinit их проверить на AD. Правда, слать пароли в открытом виде <br>&gt;&gt;- это лучший способ их пропалить. Но если это предполагается использовать <br>&gt;&gt;внутри сети - почему бы и нет. <br>&gt;&gt;<br>&gt;&gt;Твоя идея с мускулем не прокатит - пароли из AD вытащить можно, <br>&gt;&gt;но только в зашифрованном виде. Мускуль тебе их не расшифрует. <br>&gt;<br>&gt;тогда что делает этот скрипт ? <br>&gt;http://www.onlamp.com/pub/a/onlamp/2005/10/06/jabberd.html?page=3 <br>&gt;К сожалению плохо знаю перл, не пинай сильно ногами ))) <br><br>Они тянут только поля из схемы inteOrgPerson (или типа того), но не пароли. Может они рассчитывают, что пароль пользователи будут вбивать сами при первом входе в jabber.<br> https://www.opennet.ru/openforum/vsluhforumID1/79698.html#3 Tue, 08 Apr 2008 10:19:22 GMT и вообще, какой смысл тогда в аутентификации в АД, если в хранилище юзеров положить нельзя.<br>Какой смысл делать аутентификацию вот так ?<br>http://www.opennms.org/index.php/How_to_configure_jabberd2_to_work_with_OpenNMS<br>Или может джабберд сам кладет всякие ростеры и вкарды не проверяя пароли, а просто создаёт списки в муське ?<br>Объясните пожалуйста, проблема очень насущная<br><br> https://www.opennet.ru/openforum/vsluhforumID1/79698.html#2 Tue, 08 Apr 2008 10:06:41 GMT &gt;Можешь настроить saslauthd на аутентификацию в AD, чтобы пользователь вводил plaintext пароли <br>&gt;saslauthd на jabberd сервере их перехватывал и пытался бы с помощью <br>&gt;kinit их проверить на AD. Правда, слать пароли в открытом виде <br>&gt;- это лучший способ их пропалить. Но если это предполагается использовать <br>&gt;внутри сети - почему бы и нет. <br>&gt;<br>&gt;Твоя идея с мускулем не прокатит - пароли из AD вытащить можно, <br>&gt;но только в зашифрованном виде. Мускуль тебе их не расшифрует. <br><br>тогда что делает этот скрипт ?<br>http://www.onlamp.com/pub/a/onlamp/2005/10/06/jabberd.html?page=3<br>К сожалению плохо знаю перл, не пинай сильно ногами )))<br> https://www.opennet.ru/openforum/vsluhforumID1/79698.html#1 Tue, 08 Apr 2008 06:51:18 GMT &gt;[оверквотинг удален]<br>&gt;Но решение, как мне кажется несколько неудобное, ибо нет изменений в <br>&gt;базе на лету при изменениях в АД. <br>&gt;Может есть какие-то стандартные средства, котрых я не увидел, самого джаббера, которые <br>&gt;будут кидать юзеров в муську. Или есть какой-то иной демон, который <br>&gt;позволит реализовать сию задачу ? <br>&gt;Заранее большое спасибо за ответы. <br>&gt;Да, чуть не забыл <br>&gt;OS FreeBSD 7.0 <br>&gt;Jabberd-2.1.23 <br>&gt;mysql-server-5.0.51a <br><br>Можешь настроить saslauthd на аутентификацию в AD, чтобы пользователь вводил plaintext пароли saslauthd на jabberd сервере их перехватывал и пытался бы с помощью kinit их проверить на AD. Правда, слать пароли в открытом виде - это лучший способ их пропалить. Но если это предполагается использовать внутри сети - почему бы и нет.<br><br>Твоя идея с мускулем не прокатит - пароли из AD вытащить можно, но только в зашифрованном виде. Мускуль тебе их не расшифрует.<br>