Русские буквы в имени пользователя при использовании опции "Доменный логин"

[shuum]

Добрый день! Отцы, возник вопрос с использованием Miranda NG в корпоративной среде, а именно по использованию опции "Доменный логин", разворачиваю Миранду пользователям из собственноручно сделанного MSI-пакета политиками домена, SSO настроен и работает, сервер Openfire 4.3.1(Debian), клиент ставится на Windows 10, НО! если имя входа пользователя домена на русском, то клиент не коннектится, при этот в логах сервера вижу:

Code: [Select]

2019.01.31 10:04:29 org.jivesoftware.openfire.auth.AuthorizationManager - AuthorizationManager: Trying Default Policy.authorize(����������������_���� , ����������������_����@LGS-GROUP.RU)
При этом, в этих же логах сервера вижу, что он сам абсолютно корректно работает с русскими именами:

Code: [Select]

2019.01.30 23:57:45 org.jivesoftware.openfire.ldap.LdapManager - LdapManager: Trying to find a user's DN based on their username. sAMAccountName: петрофанова_ив, Base DN: DC="lgs-group",DC="ru"...
Информация о версии:

Sorry but you are not allowed to view spoiler contents.

Содержимое секции [JABBER_1] из разворачиваемого политиками ini-файла:

Sorry but you are not allowed to view spoiler contents.

UPD: Очень похоже, что строка с логином летит на сервер в виндовой ансишной кодировке... а всё остальное (группы и проч. летит, как и положено в UTF-8), но это не точно
UPD2: Спарк с русским именем пользователя работает в любых вариантах, Миранда не работает даже если его писать руками(без доменного логина)!
 
Товарищи разработчики, если Вы тут бываете, - помогите пожалуйста. Спасибо.

[ghazan]

нетворк лог бы, ядро + жабер. пока не очень понятно, куда вообще попадает это имя пользователя, потому что имя у нас уникодное, по понятным причинам, вот только в GSSAPI оно не передается (т.е. на его базе вычисляется credentials, которые потом и едут на сервер)

PS: нашел одно место, где самый старый NTLM используется, тогда есть одно преобразование из уникода прямо в анси, да.
поправил, сейчас соберу девелоперский билд - попробуй его. в стаблю пихать фикс напрямую, понятное дело, никто не будет

[shuum]

Спасибо! Похоже помогло! С русским именем ночная сборка законнектилась без проблем, чего раньше не получалось! Вопрос, какой файл из ночной сборки подсунуть в стабильную, чтобы эта ошибка исправилась и в стабильной(попробовал mir_app.mir - ругается на плагин ядра stdcrypt) тоже можно было коннектиться с русским именем? Спасибо.

[Apollo2k4]

shuum, увы но придётся подождать стабильную версию, она уже в планах.

[shuum]

Так, в прошлом посте написал ересь, поэтому удалил его. Что имеем сейчас - определенно поправили кодировку и сервер теперь видит имя пользователя не квадратиками (см. мой первый пост), а нормальной строкой UTF-8, но авторизация всё-равно не проходит, вот как это выглядит сейчас со стороны сервера OpenFire:

Code: [Select]

2019.02.01 13:30:43 org.apache.mina.filter.codec.ProtocolCodecFilter - Processing a MESSAGE_RECEIVED for session 2478
2019.02.01 13:30:43 org.jivesoftware.openfire.ldap.LdapManager - LdapManager: In LdapManager.checkAuthentication(userDN, password), userDN is: CN="Пробный пользователь",OU="Test",OU="Пользователи",OU="Отдел ИТ",OU="Ромашка",OU="Н-ск",OU="Лгс"...
2019.02.01 13:30:43 org.jivesoftware.openfire.ldap.LdapManager - LdapManager: Warning: Using unencrypted connection to LDAP service!
2019.02.01 13:30:43 org.jivesoftware.openfire.ldap.LdapManager - LdapManager: Created context values, attempting to create context...
2019.02.01 13:30:43 org.jivesoftware.openfire.ldap.LdapManager - LdapManager: Caught a naming exception when creating InitialContext
javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839]
        at com.sun.jndi.ldap.LdapCtx.mapErrorCode(LdapCtx.java:3154) ~[?:1.8.0_181]
        at com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:3100) ~[?:1.8.0_181]
        at com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:2886) ~[?:1.8.0_181]
        at com.sun.jndi.ldap.LdapCtx.connect(LdapCtx.java:2800) ~[?:1.8.0_181]
        at com.sun.jndi.ldap.LdapCtx.<init>(LdapCtx.java:319) ~[?:1.8.0_181]
        at com.sun.jndi.ldap.LdapCtxFactory.getUsingURL(LdapCtxFactory.java:192) ~[?:1.8.0_181]
        at com.sun.jndi.ldap.LdapCtxFactory.getUsingURLs(LdapCtxFactory.java:210) ~[?:1.8.0_181]
        at com.sun.jndi.ldap.LdapCtxFactory.getLdapCtxInstance(LdapCtxFactory.java:153) ~[?:1.8.0_181]
        at com.sun.jndi.ldap.LdapCtxFactory.getInitialContext(LdapCtxFactory.java:83) ~[?:1.8.0_181]
        at javax.naming.spi.NamingManager.getInitialContext(NamingManager.java:684) ~[?:1.8.0_181]
        at javax.naming.InitialContext.getDefaultInitCtx(InitialContext.java:313) ~[?:1.8.0_181]
        at javax.naming.InitialContext.init(InitialContext.java:244) ~[?:1.8.0_181]
        at javax.naming.ldap.InitialLdapContext.<init>(InitialLdapContext.java:154) ~[?:1.8.0_181]
        at org.jivesoftware.util.JiveInitialLdapContext.<init>(JiveInitialLdapContext.java:39) ~[xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.ldap.LdapManager.checkAuthentication(LdapManager.java:700) [xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.ldap.LdapAuthProvider.authenticate(LdapAuthProvider.java:115) [xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.auth.AuthFactory.authenticate(AuthFactory.java:203) [xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.net.XMPPCallbackHandler.handle(XMPPCallbackHandler.java:94) [xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.sasl.SaslServerPlainImpl.evaluateResponse(SaslServerPlainImpl.java:118) [xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.net.SASLAuthentication.handle(SASLAuthentication.java:329) [xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.net.StanzaHandler.process(StanzaHandler.java:185) [xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.nio.ConnectionHandler.messageReceived(ConnectionHandler.java:177) [xmppserver-4.3.1.jar:4.3.1]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain$TailFilter.messageReceived(DefaultIoFilterChain.java:690) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:417) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:47) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:765) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.IoFilterAdapter.messageReceived(IoFilterAdapter.java:109) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:417) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:47) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:765) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.codec.ProtocolCodecFilter$ProtocolDecoderOutputImpl.flush(ProtocolCodecFilter.java:407) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.codec.ProtocolCodecFilter.messageReceived(ProtocolCodecFilter.java:236) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:417) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:47) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:765) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.IoFilterEvent.fire(IoFilterEvent.java:74) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.session.IoEvent.run(IoEvent.java:63) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.executor.OrderedThreadPoolExecutor$Worker.runTask(OrderedThreadPoolExecutor.java:769) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.executor.OrderedThreadPoolExecutor$Worker.runTasks(OrderedThreadPoolExecutor.java:761) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.executor.OrderedThreadPoolExecutor$Worker.run(OrderedThreadPoolExecutor.java:703) [mina-core-2.0.7.jar:?]
        at java.lang.Thread.run(Thread.java:748) [?:1.8.0_181]
2019.02.01 13:30:43 org.jivesoftware.openfire.net.SASLAuthentication - SASL negotiation failed for session: org.jivesoftware.openfire.session.LocalClientSession@384aacc7 status: 1 address: lgs-web.lgs.ru/3mpqhqoljr id: 3mpqhqoljr presence:
<presence type="unavailable"/>
javax.security.sasl.SaslException: PLAIN authentication failed for: пробный_пользователь@lgs-web.lgs.ru
        at org.jivesoftware.openfire.sasl.SaslServerPlainImpl.evaluateResponse(SaslServerPlainImpl.java:144) ~[xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.net.SASLAuthentication.handle(SASLAuthentication.java:329) [xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.net.StanzaHandler.process(StanzaHandler.java:185) [xmppserver-4.3.1.jar:4.3.1]
        at org.jivesoftware.openfire.nio.ConnectionHandler.messageReceived(ConnectionHandler.java:177) [xmppserver-4.3.1.jar:4.3.1]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain$TailFilter.messageReceived(DefaultIoFilterChain.java:690) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:417) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:47) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:765) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.IoFilterAdapter.messageReceived(IoFilterAdapter.java:109) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:417) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:47) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:765) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.codec.ProtocolCodecFilter$ProtocolDecoderOutputImpl.flush(ProtocolCodecFilter.java:407) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.codec.ProtocolCodecFilter.messageReceived(ProtocolCodecFilter.java:236) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:417) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:47) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:765) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.filterchain.IoFilterEvent.fire(IoFilterEvent.java:74) [mina-core-2.0.7.jar:?]
        at org.apache.mina.core.session.IoEvent.run(IoEvent.java:63) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.executor.OrderedThreadPoolExecutor$Worker.runTask(OrderedThreadPoolExecutor.java:769) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.executor.OrderedThreadPoolExecutor$Worker.runTasks(OrderedThreadPoolExecutor.java:761) [mina-core-2.0.7.jar:?]
        at org.apache.mina.filter.executor.OrderedThreadPoolExecutor$Worker.run(OrderedThreadPoolExecutor.java:703) [mina-core-2.0.7.jar:?]
        at java.lang.Thread.run(Thread.java:748) [?:1.8.0_181]
Caused by: javax.security.sasl.SaslException: PLAIN: user not authorized: пробный_пользователь@lgs-web.lgs.ru
        at org.jivesoftware.openfire.sasl.SaslServerPlainImpl.evaluateResponse(SaslServerPlainImpl.java:133) ~[xmppserver-4.3.1.jar:4.3.1]
        ... 22 more
2019.02.01 13:30:43 org.apache.mina.filter.ssl.SslFilter - Session Server[2478](SSL): Writing Message : WR WrapperWriteRequest: HeapBuffer[pos=0 lim=77 cap=128: 3C 66 61 69 6C 75 72 65 20 78 6D 6C 6E 73 3D 22...]
2019.02.01 13:30:43 org.jivesoftware.openfire.net.SASLAuthentication - Closing session that failed to authenticate 3 times: org.jivesoftware.openfire.session.LocalClientSession@384aacc7 status: 1 address: lgs-web.lgs.ru/3mpqhqoljr id: 3mpqhqoljr presence:
<presence type="unavailable"/>
2019.02.01 13:30:43 org.apache.mina.filter.ssl.SslFilter - Session Server[2478](SSL): Writing Message : WR WrapperWriteRequest: HeapBuffer[pos=0 lim=16 cap=16: 3C 2F 73 74 72 65 61 6D 3A 73 74 72 65 61 6D 3E]
2019.02.01 13:30:43 org.apache.mina.filter.executor.OrderedThreadPoolExecutor - Adding event MESSAGE_SENT to session 2478
Queue : [MESSAGE_SENT, ]

2019.02.01 13:30:43 org.apache.mina.filter.executor.OrderedThreadPoolExecutor - Adding event MESSAGE_SENT to session 2478
Queue : [MESSAGE_SENT, , MESSAGE_SENT, ]

Ошибка LDAP 49 со стороны сервера означает, что неверное имя пользователя или пароль, пруф: https://ldapwiki.com/wiki/LDAP_INVALID_CREDENTIALS

Прилагаю netlog со стороны Миранды для неудачного доменного коннекта(русские буквы в имени пользователя): https://pastebin.com/BkdSGsn8 - где конкретно смущает 87 строка
Прилагаю netlog со стороны Миранды для УДАЧНОГО доменного коннекта(имя пользователя на английском): https://pastebin.com/PDD4WN37 - где ничего не смущает и нет никаких ошибок со стороны Kerberos

P.S. Т.е. сервер сейчас видит правильного пользователя с русскими буквами, но не авторизует его, возможно секрет NTLM считается по имени в неправильной кодировке ? При этом если вписать имя пользователя и пароль руками, то всё ок!

[ghazan]

Прилагаю netlog со стороны Миранды для неудачного доменного коннекта(русские буквы в имени пользователя): https://pastebin.com/BkdSGsn8 - где конкретно смущает 87 строка

непонятно... в коде очень странная идея, которая заключается в том, что NTLM отдается предпочтение по отношению к GSSAPI aka Kerberos, в то время, как NTLM авторизация в современной винде просто вырублена из-за ломкости, ее надо специально включать политиками. поправил, чтобы GSSAPI включался первым, собрал билдик.

PS: и лучше для локалки выключить zlib, чтобы не грузить сервер понапрасну.

[shuum]

Спасибо, сейчас попробую!

P.S. NTLM не выпилен ... он успешно тащится во все версии винды, включая десятку, ну во всяком случае, так говорит Википедия: https://ru.wikipedia.org/wiki/NTLMv2

[shuum]

Проверил - не работает  , симптомы те-же ...

Code: [Select]

CPU: Intel(R) Core(TM) i7-7700K CPU @ 4.20GHz [Intel64 Family 6 Model 158 Stepping 9] [DEP Enabled] [8 CPUs]
Installed RAM: 16303 MBytes
Microsoft Windows 10 , 64-bit (build 14393)
Internet Explorer: 9.11.14393.0 (build 914393)
Administrator privileges: No
OS Languages: (UI | Locale (User/System)) : Russian/Russian | Russian/Russian
Free disk space on Miranda partition: 26263 MBytes

Miranda NG Version: 0.95.11 alpha build #21299 (b0a9d63d5e) [running inside WOW64]
Build time: 1 Feb 2019 15:29:24
Profile: C:\Miranda-NG3\Profiles\ааа\ааа.dat
Profile size: 1048576 Bytes
Profile creation date: 1 Feb 2019 17:16:11
Language pack: No language pack installed
Service Mode: No

Active Plugins (17):
¤ AVS.dll v.0.95.11.0 [1 Feb 2019 15:29:28] - Avatar service
¤ Clist_modern.dll v.0.95.11.0 [1 Feb 2019 15:29:56] - Modern contact list
¤ CrashDumper.dll v.0.95.11.0 [1 Feb 2019 15:29:54] - Crash dumper
¤ Db_autobackups.dll v.0.95.11.0 [1 Feb 2019 15:29:34] - Db autobackuper
¤ Dbx_mdbx.dll v.0.95.11.0 [1 Feb 2019 15:30:45] - Miranda NG MDBX database driver
¤ Dbx_mmap.dll v.0.95.11.0 [1 Feb 2019 15:29:28] - Miranda NG mmap database driver
¤ Dummy.dll v.0.95.11.0 [1 Feb 2019 15:30:23] - Dummy protocol
¤ Facebook.dll v.0.95.11.0 [1 Feb 2019 15:29:54] - Facebook
¤ GG.dll v.0.95.11.0 [1 Feb 2019 15:29:51] - Gadu-Gadu protocol
¤ ICQ.dll v.0.95.11.0 [1 Feb 2019 15:30:38] - ICQ-WIM protocol
¤ Import.dll v.0.95.11.0 [1 Feb 2019 15:29:51] - Import contacts and messages
¤ IRC.dll v.0.95.11.0 [1 Feb 2019 15:29:31] - IRC protocol
¤ Jabber.dll v.0.95.11.0 [1 Feb 2019 15:30:02] - Jabber protocol
¤ MSN.dll v.0.95.11.0 [1 Feb 2019 15:29:52] - MSN protocol
¤ PluginUpdater.dll v.0.95.11.0 [1 Feb 2019 15:29:58] - Plugin updater
¤ TabSRMM.dll v.0.95.11.0 [1 Feb 2019 15:29:35] - TabSRMM
¤ TopToolBar.dll v.0.95.11.0 [1 Feb 2019 15:29:46] - TopToolBar

Protocols and Accounts:
-------------------------------------------------------------------------------
JABBER                   1 - Enabled 0 - Disabled  Loaded

Icon Packs:
-------------------------------------------------------------------------------
 Proto_Dummy.dll [1 Feb 2019 15:30:58]
 Proto_Facebook.dll [1 Feb 2019 15:30:57]
 Proto_GG.dll [1 Feb 2019 15:30:57]
 Proto_ICQ.dll [1 Feb 2019 15:30:58]
 Proto_IRC.dll [1 Feb 2019 15:30:57]
 Proto_Jabber.dll [1 Feb 2019 15:30:57]
 Proto_MetaContacts.dll [1 Feb 2019 15:30:58]
 Proto_MSN.dll [1 Feb 2019 15:30:57]
 TabSRMM_icons.dll [1 Feb 2019 15:30:58]
 Toolbar_icons.dll [1 Feb 2019 15:30:57]
 xStatus_Jabber.dll [1 Feb 2019 15:30:58]

И вот netlog: https://pastebin.com/ecsiQzZY

[ghazan]

NTLM не выпилен ... он успешно тащится во все версии винды, включая десятку

все зашибись, но судя по тому, что фикс помог с именем пользователя, управление прилетает в NTLMv1, который таки да выпилен нахрен :-) поэтому он работать в принципе не может.

Проверил - не работает  , симптомы те-же ...
Code: [Select]

спасибо, буду дальше гуглить код ошибки. там какой-то трэш, угар и содомия, и пока ни одного позитивного совета, как это лечить

кстати, а вот этот SPN, который в логе, точно правильный и существует? потому что в качестве лекарства в одной статье приводится необходимость запросить описание SPN, и если оно резолвится в другое имя, то потом юзать другое имя, а не приведенное

PS: а если ввести в настройках имя пользователя (но не вводить пароль), то ситуация изменится?

[shuum]

кстати, а вот этот SPN, который в логе, точно правильный и существует?

Конечно, ведь коннект с именем доменного пользователя не содержащего русских букв с включенной опцией "Use Domain Login" проходит на ура, а я использую для тестов один и тот-же комп и одну и ту-же Миранду(просто меняю пользователя винды и настройки Миранды).

а если ввести в настройках имя пользователя (но не вводить пароль), то ситуация изменится?

Миранда так-же ругается. Вот так это выглядит в логе Миранды: https://pastebin.com/DLY3WWdN

P.S. Собственно, то, что оно идеально работает для англоязычных пользователей(в абсолютно одинаковых условиях) и наводит на мысли, что NTLM или GSSAPI работает(т.к. если бы SPN не существовала, то англоязычные пользователи бы тоже не законнектились), а проблема где-то в формировании данных для них в Миранде, но это не точно ... просто версия, но в подтверждение версии вот кусок лога(весь лог) для успешного логина англоязычного имени доменного пользователя(ровно в тех же условиях, что и русскоязычного), начинающегося ровно с того его куска, которая в случае с именем пользователя содержащим кириллицу - вызывало ошибку SPN:

Code: [Select]

[14:07:54 5F8C] SPN: xmpp/lgs-web.lgs.ru@lgs.ru
[14:07:54 5F8C] InitializeSecurityContext(Kerberos): 0x90312
[14:07:54 5F8C] [JABBER_1] Deflate: Z_OK
[14:07:54 5F8C] [JABBER_1] Deflate: Z_OK
[14:07:54 5F8C] [JABBER_1] (ZLIB) Data sent
<auth xmlns="urn:ietf:params:xml:ns:xmpp-sasl" mechanism="GSSAPI">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</auth>
===OUT: 3289(2473) bytes
[14:07:54 5F8C] [JABBER_1] Inflate: Z_OK
[14:07:54 5F8C] [JABBER_1] (ZLIB) Data received
<challenge xmlns="urn:ietf:params:xml:ns:xmpp-sasl">YGUGCSqGSIb3EgECAgIAb1YwVKADAgEFoQMCAQ+iSDBGoAMCAReiPwQ9MMEK5qo6xbch8+tBTrRAmm+hPKjnC0kslDY+lhFyIc4+E7g2LUYwf778Z8I3oROwCyByGvjszqJJK/ezJg==</challenge>
===IN: 204(148) bytes
[14:07:54 5F8C] [JABBER_1] recvResult = 204
[14:07:54 5F8C] [JABBER_1] bytesParsed = 204
[14:07:54 5F8C] InitializeSecurityContext(Kerberos): 0x0
[14:07:54 5F8C] [JABBER_1] Deflate: Z_OK
[14:07:54 5F8C] [JABBER_1] (ZLIB) Data sent
<response xmlns="urn:ietf:params:xml:ns:xmpp-sasl"></response>
===OUT: 62(12) bytes
[14:07:54 5F8C] [JABBER_1] Inflate: Z_OK
[14:07:54 5F8C] [JABBER_1] (ZLIB) Data received
<challenge xmlns="urn:ietf:params:xml:ns:xmpp-sasl">YDAGCSqGSIb3EgECAgIBEQD/////pe5KmV5vVk9CLz6rD+BmR5I4NF4RijNUAQEAAAE=</challenge>
===IN: 132(60) bytes
[14:07:54 5F8C] [JABBER_1] recvResult = 132
[14:07:54 5F8C] [JABBER_1] bytesParsed = 132
[14:07:54 5F8C] [JABBER_1] Deflate: Z_OK
[14:07:54 5F8C] [JABBER_1] (ZLIB) Data sent
<response xmlns="urn:ietf:params:xml:ns:xmpp-sasl">YDAGCSqGSIb3EgECAgIBEQD/////knrsvzds2OkpYh40r/Zzkojih8Cuz2VJAQAQAAE=</response>
===OUT: 130(75) bytes
[14:07:54 5F8C] [JABBER_1] Inflate: Z_OK
[14:07:54 5F8C] [JABBER_1] (ZLIB) Data received
<success xmlns="urn:ietf:params:xml:ns:xmpp-sasl"/>
===IN: 51(18) bytes
[14:07:54 5F8C] [JABBER_1] recvResult = 51
[14:07:54 5F8C] [JABBER_1] bytesParsed = 51
[14:07:54 5F8C] [JABBER_1] Success: Logged-in.
[14:07:54 5F8C] [JABBER_1] Stream will be initialized after successful sasl
[14:07:54 5F8C] [JABBER_1] Stream is initializing after successful sasl
[14:07:54 5F8C] [JABBER_1] Deflate: Z_OK

Как видим, SPN не вызывает ошибки ...

P.P.S. Кстати - NTLM действительно не работает, это видно в этом-же логе выше, вы правы, работает GSSAPI

[ghazan]

shuum,
вопрос - а если выпилить пробел из русского имени пользователя, то это поможет?

[shuum]

вопрос - а если выпилить пробел из русского имени пользователя, то это поможет?

А его там нет, там не пробел, а символ нижнего подчеркивания "_" ...

[shuum]

Основной вопрос в том, что на английском то всё работает ...

[ghazan]

Основной вопрос в том, что на английском то всё работает ...

очевидно, что это последствия кривой конвертации уникода, но проблема в том, что все остальные системные вызовы не содержат конвертации.. там просто все параметры уходят в уникоде

[shuum]

Есть надежда, что у Вас дойдут руки заняться этим вопросом?, а то внедрение локальной "аськи" встало раком, т.к. много пользователей заведены на русском