Jabber & Active Directory

[Kuzmich]

Удалось ли кому-нибудь настроить связку jabberd2 - ldap - Active Directory, в смысле авторизации.

 

Мне удалость добиться, чтобы в вихре отладочного режима выдавался полный путь до пользователя

(CN=kuzmich,OU=Office,DN=mydomain,DN=local), ldapsearch c этим именем пускает... а jabberd тихо пишет - фиг вам...

 

FreeBSD 5.3, jabberd2s6, 2s8, jajc 112&113, W2KServ SP4...

 

Не дайте пропасть админу - и так приходится базу пользователей в двух местах держать, если придется "жабе" тоже пользователей вручную скармливать - повешусь.

[repa]

Форумы по жабе на английскомм посмотри. Как-то читал описание коректной настроки.

[Kuzmich]

Блин, три дня гуглил - результат половинчатый...

[repa]

Поиск по "jabber2 ldap"

довольно много чего дает.

 

Как насчет того чтобы сначала настроить связку OpenLDAP + jabber2?

[Kuzmich]

Поиск по jabber2 ldap дает много чего. Поиск по jabber2 ldap "Active Directory" -ejabberd дает даже несколько статей, относящихся к теме... То, что у меня хоть как-то начало подавать признаки жизни взято из статьи на испанском, которого я не знаю...

 

Насчет OpenLDAP - а смысл? Я хочу только авторизацию "жабьих" пользователей в Win2K Server. pam_winbind не предлагать - файрвол не пропускает smb...

 

P.S.

Очевидно, придется после праздников попробовать pam_ldap или даже pam_pop3 :)

[repa]

Я конечно не эксперт в тонкостях LDAP и Active Directory, но это одни и те же яйца. Смысл в том чтобы добится рабочей схемы с тем под что заточен jabber2, а потом побороть особености от микрософта.

 

Есть еще один вариант. Предположу, что можно держать реплику Active Directory в OpenLDAP. Как насчет такой схемы?

[olebedev]

Работает без проблем, без репликации в Open LDAP, напрямую из AD.

[Kuzmich]

Ну а соответствующий кусочек c2s.xml привести лень?

[olebedev]

<ldap>

<host>10.0.0.1</host>

<port>389</port>

<v3/>

<starttls/>

<ssl/>

<binddn>jabsrv@domain.local</binddn>

<bindpw>password</bindpw>

<uidattr>sAMAccountName</uidattr>

<basedn>ou=someou,dc=domain,dc=local</basedn>

</ldap>

 

Ну с адресами все понятно, это адрес где сидит AD, дальше создаем в AD пользователя (в примере он зовется jabsrv) и паролем (password). Единственным "волшебным пузырьком" является поле uidattr, оно имеет в AD крайне неблагозвучное название (sAMAccountName). Ну, а поле basedn это уже где искать, в примере все пользователи лежат ниже ветки с именем someou, которая является Organisation Unit'ом. Имя домена конечно надо подставлять свое, например microsoft.com ;-))

[Kuzmich]

Гы :)

Я уже нашел свой баг - не включил на клиенте clear-text-password. Теперь всё работает. Всем спасибо, а мне пару подзатыльников для укрепления ума :)

[Guest]

Что-то не прошла конфига от olebedev на предмет аутентификации через ЛДАП.

Вот то, что у меня:

<ldap>

<host>10.0.32.17</host>

<port>389</port>

<v3/>

<binddn>cn=jabber,dc=сyriba,dc=com</binddn>

<bindpw>jabber1234</bindpw>

<uidattr>sAMAccountName</uidattr>

<basedn>ou=BY Users,dc=сyriba,dc=com</basedn>

</ldap>

 

Вобщем нужен человек, у которого все получилось и который опишет свою ситуацию, чтобы сравнить настройки.

[Kuzmich]

FreeBSD 5.3

jabberd2-2.0.6

 

c2s.xml:

...

<local>

<id realm='ja.mydomain.local'>ja.mydomain.local</id>

<ip>0.0.0.0</ip>

<port>0</port>

<pemfile>/usr/local/etc/jabberd/server.pem</pemfile>

<require-starttls/>

<ssl-port>5223</ssl-port>

</local>

...

<authreg>

<module>ldap</module>

<register></register>

<mechanisms>

<traditional><plain/></traditional>

<sasl><plain/></sasl>

</mechanisms>

 

<ldap>

<host>62.113.XXX.XXX</host>

<port>389</port>

<starttls/>

<binddn>CN=ldapuser,OU=IT,OU=Office,DC=mydomain,DC=local</binddn>

<bindpw>ldapuser's password</bindpw>

<uidattr>sAMAccountName</uidattr>

<basedn>OU=Office,DC=mydomain,DC=local</basedn>

</ldap>

</authreg>

...

 

На клиентах - JAJC 0.0.8.112, SSL, Clear Text Password

Ростеры забиваю непосредственно в mysql скриптом... осорожно - в mysql все значения в utf8!