The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Jabberd+AD+Ldap"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Jabberd+AD+Ldap"  
Сообщение от raistlin (ok) on 08-Апр-08, 09:23 
Доброго времени суток, господа.
Задача следующая: Необходимо настроить авторизацию Jabberd в M$ AD... В качестве стораджа используется муська.
Лдап ауф пролетает, биндится к АД и юзера там находит, т.е. аутентификация прошла... Но. Сам юзер не найден в сторадже, т.е. в муське.
В нете нашел решение, скриптами портировать из лдапа юзеров  в MySQl. Но решение, как мне кажется несколько неудобное, ибо нет изменений в базе на лету при изменениях в АД.
Может есть какие-то стандартные средства, котрых я не увидел, самого джаббера, которые будут кидать юзеров в муську. Или есть какой-то иной демон, который позволит реализовать сию задачу ?
Заранее большое спасибо за ответы.
Да, чуть не забыл
OS FreeBSD 7.0
Jabberd-2.1.23
mysql-server-5.0.51a
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • Jabberd+AD+Ldap, geekkoo, 10:51 , 08-Апр-08, (1)  
    • Jabberd+AD+Ldap, raistlin, 14:06 , 08-Апр-08, (2)  
      • Jabberd+AD+Ldap, raistlin, 14:19 , 08-Апр-08, (3)  
        • Jabberd+AD+Ldap, geekkoo, 17:59 , 08-Апр-08, (5)  
      • Jabberd+AD+Ldap, geekkoo, 17:54 , 08-Апр-08, (4)  
        • Jabberd+AD+Ldap, raistlin, 07:34 , 09-Апр-08, (6)  

Сообщения по теме [Сортировка по времени | RSS]


1. "Jabberd+AD+Ldap"  
Сообщение от geekkoo email(??) on 08-Апр-08, 10:51 
>[оверквотинг удален]
>Но решение, как мне кажется несколько неудобное, ибо нет изменений в
>базе на лету при изменениях в АД.
>Может есть какие-то стандартные средства, котрых я не увидел, самого джаббера, которые
>будут кидать юзеров в муську. Или есть какой-то иной демон, который
>позволит реализовать сию задачу ?
>Заранее большое спасибо за ответы.
>Да, чуть не забыл
>OS FreeBSD 7.0
>Jabberd-2.1.23
>mysql-server-5.0.51a

Можешь настроить saslauthd на аутентификацию в AD, чтобы пользователь вводил plaintext пароли saslauthd на jabberd сервере их перехватывал и пытался бы с помощью kinit их проверить на AD. Правда, слать пароли в открытом виде - это лучший способ их пропалить. Но если это предполагается использовать внутри сети - почему бы и нет.

Твоя идея с мускулем не прокатит - пароли из AD вытащить можно, но только в зашифрованном виде. Мускуль тебе их не расшифрует.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Jabberd+AD+Ldap"  
Сообщение от raistlin (ok) on 08-Апр-08, 14:06 
>Можешь настроить saslauthd на аутентификацию в AD, чтобы пользователь вводил plaintext пароли
>saslauthd на jabberd сервере их перехватывал и пытался бы с помощью
>kinit их проверить на AD. Правда, слать пароли в открытом виде
>- это лучший способ их пропалить. Но если это предполагается использовать
>внутри сети - почему бы и нет.
>
>Твоя идея с мускулем не прокатит - пароли из AD вытащить можно,
>но только в зашифрованном виде. Мускуль тебе их не расшифрует.

тогда что делает этот скрипт ?
http://www.onlamp.com/pub/a/onlamp/2005/10/06/jabberd.html?p...
К сожалению плохо знаю перл, не пинай сильно ногами )))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Jabberd+AD+Ldap"  
Сообщение от raistlin (ok) on 08-Апр-08, 14:19 
и вообще, какой смысл тогда в аутентификации в АД, если в хранилище юзеров положить нельзя.
Какой смысл делать аутентификацию вот так ?
http://www.opennms.org/index.php/How_to_configure_jabberd2_t...
Или может джабберд сам кладет всякие ростеры и вкарды не проверяя пароли, а просто создаёт списки в муське ?
Объясните пожалуйста, проблема очень насущная

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Jabberd+AD+Ldap"  
Сообщение от geekkoo email(??) on 08-Апр-08, 17:59 
>и вообще, какой смысл тогда в аутентификации в АД, если в хранилище
>юзеров положить нельзя.
>Какой смысл делать аутентификацию вот так ?
>http://www.opennms.org/index.php/How_to_configure_jabberd2_t...
>Или может джабберд сам кладет всякие ростеры и вкарды не проверяя пароли,
>а просто создаёт списки в муське ?
>Объясните пожалуйста, проблема очень насущная

Считается, что очень хорошо, когда пароли для всех сетевых служб лежат в одном месте - упрощает администрирование. В идеале - можно пытаться организовать single sign-on (к примеру, через kerberos или AD, т.е. через тот же kerberos). Но тут есть сложности в виду идиотизма авторов жабир-клиентов.

https://www.opennet.ru/openforum/vsluhforumID1/75093.html#4

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Jabberd+AD+Ldap"  
Сообщение от geekkoo email(??) on 08-Апр-08, 17:54 
>[оверквотинг удален]
>>kinit их проверить на AD. Правда, слать пароли в открытом виде
>>- это лучший способ их пропалить. Но если это предполагается использовать
>>внутри сети - почему бы и нет.
>>
>>Твоя идея с мускулем не прокатит - пароли из AD вытащить можно,
>>но только в зашифрованном виде. Мускуль тебе их не расшифрует.
>
>тогда что делает этот скрипт ?
>http://www.onlamp.com/pub/a/onlamp/2005/10/06/jabberd.html?p...
>К сожалению плохо знаю перл, не пинай сильно ногами )))

Они тянут только поля из схемы inteOrgPerson (или типа того), но не пароли. Может они рассчитывают, что пароль пользователи будут вбивать сами при первом входе в jabber.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Jabberd+AD+Ldap"  
Сообщение от raistlin (ok) on 09-Апр-08, 07:34 
>[оверквотинг удален]
>>>Твоя идея с мускулем не прокатит - пароли из AD вытащить можно,
>>>но только в зашифрованном виде. Мускуль тебе их не расшифрует.
>>
>>тогда что делает этот скрипт ?
>>http://www.onlamp.com/pub/a/onlamp/2005/10/06/jabberd.html?p...
>>К сожалению плохо знаю перл, не пинай сильно ногами )))
>
>Они тянут только поля из схемы inteOrgPerson (или типа того), но не
>пароли. Может они рассчитывают, что пароль пользователи будут вбивать сами при
>первом входе в jabber.

Т.е. Вы имеете ввиду, что юзеры будут при первом входе криэйтить свой аккаунт ? Ок, он создастся, но... Вопервых не факт, что юзер вобьёт свой пароль правильно с первого раза, и потом, опять же не вижу синхронизации с АД.
Точнее, я не прав, при аутентификации через АД, у юзеров вообще отключается возможность криэйтить аккаунты. Посему, идея моя видать не имеет места под солнцем )))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру