URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79698
[ Назад ]

Исходное сообщение
"Jabberd+AD+Ldap"

Отправлено raistlin , 08-Апр-08 09:23 
Доброго времени суток, господа.
Задача следующая: Необходимо настроить авторизацию Jabberd в M$ AD... В качестве стораджа используется муська.
Лдап ауф пролетает, биндится к АД и юзера там находит, т.е. аутентификация прошла... Но. Сам юзер не найден в сторадже, т.е. в муське.
В нете нашел решение, скриптами портировать из лдапа юзеров  в MySQl. Но решение, как мне кажется несколько неудобное, ибо нет изменений в базе на лету при изменениях в АД.
Может есть какие-то стандартные средства, котрых я не увидел, самого джаббера, которые будут кидать юзеров в муську. Или есть какой-то иной демон, который позволит реализовать сию задачу ?
Заранее большое спасибо за ответы.
Да, чуть не забыл
OS FreeBSD 7.0
Jabberd-2.1.23
mysql-server-5.0.51a

Содержание

Сообщения в этом обсуждении
"Jabberd+AD+Ldap"
Отправлено geekkoo , 08-Апр-08 10:51 
>[оверквотинг удален]
>Но решение, как мне кажется несколько неудобное, ибо нет изменений в
>базе на лету при изменениях в АД.
>Может есть какие-то стандартные средства, котрых я не увидел, самого джаббера, которые
>будут кидать юзеров в муську. Или есть какой-то иной демон, который
>позволит реализовать сию задачу ?
>Заранее большое спасибо за ответы.
>Да, чуть не забыл
>OS FreeBSD 7.0
>Jabberd-2.1.23
>mysql-server-5.0.51a

Можешь настроить saslauthd на аутентификацию в AD, чтобы пользователь вводил plaintext пароли saslauthd на jabberd сервере их перехватывал и пытался бы с помощью kinit их проверить на AD. Правда, слать пароли в открытом виде - это лучший способ их пропалить. Но если это предполагается использовать внутри сети - почему бы и нет.

Твоя идея с мускулем не прокатит - пароли из AD вытащить можно, но только в зашифрованном виде. Мускуль тебе их не расшифрует.


"Jabberd+AD+Ldap"
Отправлено raistlin , 08-Апр-08 14:06 
>Можешь настроить saslauthd на аутентификацию в AD, чтобы пользователь вводил plaintext пароли
>saslauthd на jabberd сервере их перехватывал и пытался бы с помощью
>kinit их проверить на AD. Правда, слать пароли в открытом виде
>- это лучший способ их пропалить. Но если это предполагается использовать
>внутри сети - почему бы и нет.
>
>Твоя идея с мускулем не прокатит - пароли из AD вытащить можно,
>но только в зашифрованном виде. Мускуль тебе их не расшифрует.

тогда что делает этот скрипт ?
http://www.onlamp.com/pub/a/onlamp/2005/10/06/jabberd.html?p...
К сожалению плохо знаю перл, не пинай сильно ногами )))


"Jabberd+AD+Ldap"
Отправлено raistlin , 08-Апр-08 14:19 
и вообще, какой смысл тогда в аутентификации в АД, если в хранилище юзеров положить нельзя.
Какой смысл делать аутентификацию вот так ?
http://www.opennms.org/index.php/How_to_configure_jabberd2_t...
Или может джабберд сам кладет всякие ростеры и вкарды не проверяя пароли, а просто создаёт списки в муське ?
Объясните пожалуйста, проблема очень насущная


"Jabberd+AD+Ldap"
Отправлено geekkoo , 08-Апр-08 17:59 
>и вообще, какой смысл тогда в аутентификации в АД, если в хранилище
>юзеров положить нельзя.
>Какой смысл делать аутентификацию вот так ?
>http://www.opennms.org/index.php/How_to_configure_jabberd2_t...
>Или может джабберд сам кладет всякие ростеры и вкарды не проверяя пароли,
>а просто создаёт списки в муське ?
>Объясните пожалуйста, проблема очень насущная

Считается, что очень хорошо, когда пароли для всех сетевых служб лежат в одном месте - упрощает администрирование. В идеале - можно пытаться организовать single sign-on (к примеру, через kerberos или AD, т.е. через тот же kerberos). Но тут есть сложности в виду идиотизма авторов жабир-клиентов.

http://www.opennet.me/openforum/vsluhforumID1/75093.html#4


"Jabberd+AD+Ldap"
Отправлено geekkoo , 08-Апр-08 17:54 
>[оверквотинг удален]
>>kinit их проверить на AD. Правда, слать пароли в открытом виде
>>- это лучший способ их пропалить. Но если это предполагается использовать
>>внутри сети - почему бы и нет.
>>
>>Твоя идея с мускулем не прокатит - пароли из AD вытащить можно,
>>но только в зашифрованном виде. Мускуль тебе их не расшифрует.
>
>тогда что делает этот скрипт ?
>http://www.onlamp.com/pub/a/onlamp/2005/10/06/jabberd.html?p...
>К сожалению плохо знаю перл, не пинай сильно ногами )))

Они тянут только поля из схемы inteOrgPerson (или типа того), но не пароли. Может они рассчитывают, что пароль пользователи будут вбивать сами при первом входе в jabber.


"Jabberd+AD+Ldap"
Отправлено raistlin , 09-Апр-08 07:34 
>[оверквотинг удален]
>>>Твоя идея с мускулем не прокатит - пароли из AD вытащить можно,
>>>но только в зашифрованном виде. Мускуль тебе их не расшифрует.
>>
>>тогда что делает этот скрипт ?
>>http://www.onlamp.com/pub/a/onlamp/2005/10/06/jabberd.html?p...
>>К сожалению плохо знаю перл, не пинай сильно ногами )))
>
>Они тянут только поля из схемы inteOrgPerson (или типа того), но не
>пароли. Может они рассчитывают, что пароль пользователи будут вбивать сами при
>первом входе в jabber.

Т.е. Вы имеете ввиду, что юзеры будут при первом входе криэйтить свой аккаунт ? Ок, он создастся, но... Вопервых не факт, что юзер вобьёт свой пароль правильно с первого раза, и потом, опять же не вижу синхронизации с АД.
Точнее, я не прав, при аутентификации через АД, у юзеров вообще отключается возможность криэйтить аккаунты. Посему, идея моя видать не имеет места под солнцем )))