Сквозная AD авторизация

[strelkov.av]

Добрый день, скажите пожалуйста, планирую разворачивать jabber сервер на базе Openfire, где изначально сделать источником пользователей это определенная роль в AD
Вопрос в том, что можно ли в Miranda сделать автоматическую сквозную авторизацию текущего пользователя?

[Apollo2k4]

strelkov.av, да, галочка «доменный логин» в настройках плагина jabber

[strelkov.av]

Большое спасибо за быстрый ответ!

[Apollo2k4]

strelkov.av, не за что, если будут вопросы приходите и в конференцию тоже заходите, там есть люди которые используют такой такую связку.

[Mirusr]

Коллеги, как на текущий день обстоит дело со сквозной авторизацией?
Устанавливаю openfire_4_6_3_bundledJRE_x64. Никак не могу авторизоваться. Если в ручную- то да, работает.

[ghazan]

Mirusr,
а какой способ авторизации принимает сервер? GSSAPI?
что за ошибка? нетворк лог бы

[Mirusr]

Так вот не знаю, думал все из коробки будет авторизовываться, но нет...

[ghazan]

Mirusr,
там основная трудность в том, что GSSAPI может требовать для подписи cypher более новой версии, чем установлен в винде
тогда сервер может просто отбивать запросы с устаревшим cypher
нетворк лог все равно можно сделать, ну и в логах сервера посмотреть, что же, с его точки зрения, пошло не так

[ASix]

Я эту тему поднимал еще несколько лет назад. По итогу не было и нет сквозной доменной Windows авторизации (NTLM-авторизации). Максимум, что тут предлагают - это парнуха в виде GSSAPI.

[ghazan]

ASix,
NTLM-авторизация - это времена Windows NT 4.0, которые сейчас мало кто помнит. Вещь это абсолютно несекурная, за что была справедливо выкинута вон во времена Windows XP (20 лет тому назад) и заменена тем самым GSSAPI, которое сейчас в основном и реализовано в популярных серверах XMPP с поддержкой сквозной авторизации

[Игорь]

Доброго дня !
подниму тему..
установил ejabber  настроил подключение к домену.. установил jabber клиентов (для тестирования) -mirana IM / miranda NG / PSI+ / Padgin / Coccinella_Messenger .. также пару клиентов на Android
кроме миранд ни у кого другого не встретил опции "доменный логин" (может плохо смотрел ? или есть другие клиенты ? )
так вот без использования указанной опции клиенты регистрируются без вопросов (вырезка из лога- обращаю внимание на выделенное цветом)
 

Spoiler

[2022-07-13 9:10:49 51B8] [JABBER_1] (0000000005B95410:1412) Data received
<stream:features><mechanisms xmlns='urn:ietf:params:xml:ns:xmpp-sasl'><mechanism>PLAIN</mechanism><mechanism>X-OAUTH2</mechanism></mechanisms><register xmlns='http://jabber.org/features/iq-register'/></stream:features>
[2022-07-13 9:10:49 51B8] [JABBER_1] recvResult = 218
[2022-07-13 9:10:49 51B8] [JABBER_1] Unsupported auth mechanism: X-OAUTH2, skipping
[2022-07-13 9:10:49 51B8] [JABBER_1] (0000000005B95410:1412) Data sent
<auth xmlns="urn:ietf:params:xml:ns:xmpp-sasl" mechanism="PLAIN">AGl0QGtpcmFzYS5sb2NhbAAxcWF6QFdTWA==</auth>
[2022-07-13 9:10:49 51B8] [JABBER_1] bytesParsed = 218
[2022-07-13 9:10:49 51B8] [JABBER_1] (0000000005B95410:1412) Data received
<success xmlns='urn:ietf:params:xml:ns:xmpp-sasl'/>
[2022-07-13 9:10:49 51B8] [JABBER_1] recvResult = 51
[2022-07-13 9:10:49 51B8] [JABBER_1] Success: Logged-in.

[close]

а вот что имеем с включенной галочкой "доменная авторизация"

Spoiler

[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data received
<stream:features><mechanisms xmlns='urn:ietf:params:xml:ns:xmpp-sasl'><mechanism>PLAIN</mechanism><mechanism>X-OAUTH2</mechanism></mechanisms><register xmlns='http://jabber.org/features/iq-register'/></stream:features>
[2022-07-13 9:15:12 49EC] [11] recvResult = 218
[2022-07-13 9:15:12 49EC] [11] Unsupported auth mechanism: X-OAUTH2, skipping
[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data sent
<auth xmlns="urn:ietf:params:xml:ns:xmpp-sasl" mechanism="PLAIN">AGl0AA==</auth>
[2022-07-13 9:15:12 49EC] [11] bytesParsed = 218
[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data received
<failure xmlns='urn:ietf:params:xml:ns:xmpp-sasl'><not-authorized/><text xml:lang='en'>Invalid username or password</text></failure>
[2022-07-13 9:15:12 49EC] [11] recvResult = 132
[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data sent
<auth xmlns="urn:ietf:params:xml:ns:xmpp-sasl" mechanism="PLAIN">aXRAa2lyYXNhLmxvY2FsAGl0AA==</auth>
[2022-07-13 9:15:12 49EC] [11] bytesParsed = 132
[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data received
<failure xmlns='urn:ietf:params:xml:ns:xmpp-sasl'><not-authorized/><text xml:lang='en'>Invalid username or password</text></failure>
[2022-07-13 9:15:12 49EC] [11] recvResult = 132

[close]

т.е. получается не отсылаются данные для авторизации ? если не в этом дело, то тогда в чем ? до указанного момента в обоих логах ВСЁ идентично

Miranda NG - 096.1 build 24540
ejabber - 22.05-2

[Davis]

IMO для того, чтобы заработал GSSAPI на стороне сервера надо проделать немало приседаний

[ghazan]

Игорь,
сервер почему-то не публикует механизм GSSAPI, его надо включить на сервере в число доступных механизмов авторизации

[Игорь]

1- готов заниматься физ-рой...  упражнения какие ? где посмотреть ?
2- который сервер ? LDAP или Ejabber ?
и почему миранда отправляет разные данные ? может тут собака закопана ?

[Davis]

1- готов заниматься физ-рой... упражнения какие ? где посмотреть ?

https://forum.miranda-ng.org/index.php?topic=5691.msg29469#msg29469