Author Topic: Сквозная AD авторизация  (Read 6686 times)

0 Members and 1 Guest are viewing this topic.

Offline strelkov.av

  • Newbie
  • *
  • Posts: 22
Сквозная AD авторизация
« on: 29 03 2020, 08:48:11 »
Добрый день, скажите пожалуйста, планирую разворачивать jabber сервер на базе Openfire, где изначально сделать источником пользователей это определенная роль в AD
Вопрос в том, что можно ли в Miranda сделать автоматическую сквозную авторизацию текущего пользователя?
 

Offline Apollo2k4

Re: Сквозная AD авторизация
« Reply #1 on: 29 03 2020, 09:47:29 »
strelkov.av, да, галочка «доменный логин» в настройках плагина jabber
«Все глупости совершаются с серьёзным выражением лица» © Кён «Меланхолия Сузумии Харухи»

Правильно заданный вопрос – 50% решения.
Правила постинга
 

Offline strelkov.av

  • Newbie
  • *
  • Posts: 22
Re: Сквозная AD авторизация
« Reply #2 on: 29 03 2020, 10:01:25 »
Большое спасибо за быстрый ответ!
 

Offline Apollo2k4

Re: Сквозная AD авторизация
« Reply #3 on: 29 03 2020, 16:06:51 »
strelkov.av, не за что, если будут вопросы приходите и в конференцию тоже заходите, там есть люди которые используют такой такую связку.
«Все глупости совершаются с серьёзным выражением лица» © Кён «Меланхолия Сузумии Харухи»

Правильно заданный вопрос – 50% решения.
Правила постинга
 

Offline Mirusr

  • Newbie
  • *
  • Posts: 2
Re: Сквозная AD авторизация
« Reply #4 on: 25 05 2021, 06:17:37 »
Коллеги, как на текущий день обстоит дело со сквозной авторизацией?
Устанавливаю openfire_4_6_3_bundledJRE_x64. Никак не могу авторизоваться. Если в ручную- то да, работает.
 

Offline ghazan

Re: Сквозная AD авторизация
« Reply #5 on: 25 05 2021, 13:25:20 »
Mirusr,
а какой способ авторизации принимает сервер? GSSAPI?
что за ошибка? нетворк лог бы
 

Offline Mirusr

  • Newbie
  • *
  • Posts: 2
Re: Сквозная AD авторизация
« Reply #6 on: 25 05 2021, 14:03:16 »
Так вот не знаю, думал все из коробки будет авторизовываться, но нет...
 

Offline ghazan

Re: Сквозная AD авторизация
« Reply #7 on: 25 05 2021, 14:08:32 »
Mirusr,
там основная трудность в том, что GSSAPI может требовать для подписи cypher более новой версии, чем установлен в винде
тогда сервер может просто отбивать запросы с устаревшим cypher
нетворк лог все равно можно сделать, ну и в логах сервера посмотреть, что же, с его точки зрения, пошло не так
 

Offline ASix

  • Newbie
  • *
  • Posts: 16
Re: Сквозная AD авторизация
« Reply #8 on: 28 05 2021, 05:02:33 »
Я эту тему поднимал еще несколько лет назад. По итогу не было и нет сквозной доменной Windows авторизации (NTLM-авторизации). Максимум, что тут предлагают - это парнуха в виде GSSAPI.
 

Offline ghazan

Re: Сквозная AD авторизация
« Reply #9 on: 28 05 2021, 18:05:20 »
ASix,
NTLM-авторизация - это времена Windows NT 4.0, которые сейчас мало кто помнит. Вещь это абсолютно несекурная, за что была справедливо выкинута вон во времена Windows XP (20 лет тому назад) и заменена тем самым GSSAPI, которое сейчас в основном и реализовано в популярных серверах XMPP с поддержкой сквозной авторизации
 

Offline Игорь

  • Newbie
  • *
  • Posts: 2
Re: Сквозная AD авторизация
« Reply #10 on: 13 07 2022, 04:55:33 »
Доброго дня !
подниму тему..
установил ejabber  настроил подключение к домену.. установил jabber клиентов (для тестирования) -mirana IM / miranda NG / PSI+ / Padgin / Coccinella_Messenger .. также пару клиентов на Android
кроме миранд ни у кого другого не встретил опции "доменный логин" (может плохо смотрел ? или есть другие клиенты ? )
так вот без использования указанной опции клиенты регистрируются без вопросов (вырезка из лога- обращаю внимание на выделенное цветом)
 
Spoiler
[2022-07-13 9:10:49 51B8] [JABBER_1] (0000000005B95410:1412) Data received
<stream:features><mechanisms xmlns='urn:ietf:params:xml:ns:xmpp-sasl'><mechanism>PLAIN</mechanism><mechanism>X-OAUTH2</mechanism></mechanisms><register xmlns='http://jabber.org/features/iq-register'/></stream:features>
[2022-07-13 9:10:49 51B8] [JABBER_1] recvResult = 218
[2022-07-13 9:10:49 51B8] [JABBER_1] Unsupported auth mechanism: X-OAUTH2, skipping
[2022-07-13 9:10:49 51B8] [JABBER_1] (0000000005B95410:1412) Data sent
<auth xmlns="urn:ietf:params:xml:ns:xmpp-sasl" mechanism="PLAIN">AGl0QGtpcmFzYS5sb2NhbAAxcWF6QFdTWA==</auth>
[2022-07-13 9:10:49 51B8] [JABBER_1] bytesParsed = 218
[2022-07-13 9:10:49 51B8] [JABBER_1] (0000000005B95410:1412) Data received
<success xmlns='urn:ietf:params:xml:ns:xmpp-sasl'/>
[2022-07-13 9:10:49 51B8] [JABBER_1] recvResult = 51
[2022-07-13 9:10:49 51B8] [JABBER_1] Success: Logged-in.
[close]
а вот что имеем с включенной галочкой "доменная авторизация"
Spoiler
[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data received
<stream:features><mechanisms xmlns='urn:ietf:params:xml:ns:xmpp-sasl'><mechanism>PLAIN</mechanism><mechanism>X-OAUTH2</mechanism></mechanisms><register xmlns='http://jabber.org/features/iq-register'/></stream:features>
[2022-07-13 9:15:12 49EC] [11] recvResult = 218
[2022-07-13 9:15:12 49EC] [11] Unsupported auth mechanism: X-OAUTH2, skipping
[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data sent
<auth xmlns="urn:ietf:params:xml:ns:xmpp-sasl" mechanism="PLAIN">AGl0AA==</auth>
[2022-07-13 9:15:12 49EC] [11] bytesParsed = 218
[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data received
<failure xmlns='urn:ietf:params:xml:ns:xmpp-sasl'><not-authorized/><text xml:lang='en'>Invalid username or password</text></failure>
[2022-07-13 9:15:12 49EC] [11] recvResult = 132
[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data sent
<auth xmlns="urn:ietf:params:xml:ns:xmpp-sasl" mechanism="PLAIN">aXRAa2lyYXNhLmxvY2FsAGl0AA==</auth>
[2022-07-13 9:15:12 49EC] [11] bytesParsed = 132
[2022-07-13 9:15:12 49EC] [11] (0000000005B95B80:1604) Data received
<failure xmlns='urn:ietf:params:xml:ns:xmpp-sasl'><not-authorized/><text xml:lang='en'>Invalid username or password</text></failure>
[2022-07-13 9:15:12 49EC] [11] recvResult = 132
[close]
т.е. получается не отсылаются данные для авторизации ? если не в этом дело, то тогда в чем ? до указанного момента в обоих логах ВСЁ идентично

Miranda NG - 096.1 build 24540
ejabber - 22.05-2
 

Offline Davis

Re: Сквозная AD авторизация
« Reply #11 on: 14 07 2022, 12:14:00 »
IMO для того, чтобы заработал GSSAPI на стороне сервера надо проделать немало приседаний
 

Offline ghazan

Re: Сквозная AD авторизация
« Reply #12 on: 14 07 2022, 14:37:03 »
Игорь,
сервер почему-то не публикует механизм GSSAPI, его надо включить на сервере в число доступных механизмов авторизации
 

Offline Игорь

  • Newbie
  • *
  • Posts: 2
Re: Сквозная AD авторизация
« Reply #13 on: 18 07 2022, 13:25:41 »
1- готов заниматься физ-рой...  упражнения какие ? где посмотреть ?
2- который сервер ? LDAP или Ejabber ?
и почему миранда отправляет разные данные ? может тут собака закопана ?
 

Offline Davis

Re: Сквозная AD авторизация
« Reply #14 on: 18 07 2022, 13:34:09 »
1- готов заниматься физ-рой... упражнения какие ? где посмотреть ?
https://forum.miranda-ng.org/index.php?topic=5691.msg29469#msg29469