Looking for ejabberd docs?

To access the most up-to-date ejabberd documentation, please visit docs.ejabberd.im »

Авторизация через LDAP (NTLM) для пользователей user@domain.org без @domain.org

Submitted by Timur377 on Tue, 2010-08-24 07:25

ejabberd Administration

доброго времени суток всем, после долгих безуспешных поисков решился все-таки написать свой вопрос....

ситуация:
* debian + ejabberd 2 + авторизация через AD (Windows 2008) работает без проблем для jid-ов вида "user@domain.org"

вопрос:
* как заставить ходить пользователей домена, в качестве логина используя не "user@domain.org" а только "user" (до собачки).

Собственно вопрос встал после попытки NTLM-авторизоваться с некоторых клиентов (pandion, gajim), как я понял они передают "неверный" jid, что и становится проблемой для авторизации (увы. подтверждения в логах увидеть не удалось даже на уровне "debug"), но скорее всего дело в этом.

подскажите, пожалуйста, куда копать?

-----------кусок конфига--------------------------------

%% Admin user
{acl, admin, {user, "jabber", "domain.org"}}.
%% Hostname
{hosts, ["domain.org"]}.
%%Auth LDAP
{auth_method, ldap}.
{ldap_servers, ["10.20.30.3"]}.
{ldap_port, 389}.
{ldap_rootdn, "CN=jabber,CN=Users,DC=domain,DC=org"}.
{ldap_password, "blank"}.
{ldap_base, "dc=domain,dc=org"}.
{ldap_uids, [{"userPrincipalName", "%u@domain.org"}]}.
{ldap_uidattr, "SamAccountName"}.
{ldap_filter, "(objectCategory=person)"}.
-----------кусок конфига--------------------------------

Re: Авторизация через LDAP (NTLM) для пользователей

Submitted by zinid on Tue, 2010-08-24 15:04.

Ну убери "@domain.org" в ldap_uids. Если не помогает, то я тогда не понял твою проблему.

спасибо, учту этот момент...

Submitted by Timur377 on Wed, 2010-08-25 11:37.

спасибо, учту этот момент... вообще странная вещь происходить: когда по NTLM хочу заставить ходить pandion - такое ощущение что Pandion не отправляет серверу данных об учетке....

законнектиться с jid вида "user" без "@domain" нет возможности из pandion - требует указания доменного имени... поэтому вопрос наверное нужно сформулировать так - как заставить Pandion ходить в ejabberd через ntlm без интерактивного ввода пароля.

вот что пишется в логах.... это вообще о чем говорит?

=INFO REPORT==== 2010-08-25 15:11:27 ===
I(<0.200.0>:ejabberd_listener:112) : (#Port<0.523>) Accepted connection {{10,20,3
0,39},55354} -> {{10,20,40,3},5222}

=INFO REPORT==== 2010-08-25 15:11:27 ===
D(<0.537.0>:ejabberd_receiver:297) : Received XML on stream = "<?xml version=\"1.
0\"?>"

=INFO REPORT==== 2010-08-25 15:11:27 ===
D(<0.537.0>:ejabberd_receiver:297) : Received XML on stream = ""

=INFO REPORT==== 2010-08-25 15:11:27 ===
D(<0.538.0>:ejabberd_c2s:1352) : Send XML on stream = "<?xml version='1.0'?>"

=INFO REPORT==== 2010-08-25 15:11:27 ===
D(<0.538.0>:ejabberd_c2s:1352) : Send XML on stream = "PLAIN"

=INFO REPORT==== 2010-08-25 15:11:27 ===
D(<0.537.0>:ejabberd_receiver:297) : Received XML on stream = ""

=INFO REPORT==== 2010-08-25 15:11:27 ===
D(<0.537.0>:shaper:61) : State: {maxrate,1000,0,1282734687206188}, Size=49
M=24.5, I=2.168

=INFO REPORT==== 2010-08-25 15:11:27 ===
D(<0.537.0>:ejabberd_receiver:297) : Received XML on stream = ""

=INFO REPORT==== 2010-08-25 15:11:27 ===
D(<0.537.0>:shaper:61) : State: {maxrate,1000,973.0717292874732,
1282734687231366}, Size=16
M=15.580445544554458, I=1.904

=INFO REPORT==== 2010-08-25 15:11:27 ===
D(<0.538.0>:ejabberd_c2s:1352) : Send XML on stream = ""

=ERROR REPORT==== 2010-08-25 15:11:51 ===
W(<0.374.0>:eldap:564) : LDAP server closed the connection: 10.20.20.3:389
In State: active

=INFO REPORT==== 2010-08-25 15:11:51 ===
I(<0.374.0>:eldap:897) : LDAP connection on 10.20.20.3:389

=INFO REPORT==== 2010-08-25 15:11:51 ===
D(<0.374.0>:eldap:941) : Bind Request Message:{'LDAPMessage',26,
{bindRequest,
{'BindRequest',3,
"CN=jabber,CN=Users,DC=ladomain,D
C=org",
{simple,"SECRET123"}}},
asn1_NOVALUE}

=INFO REPORT==== 2010-08-25 15:30:22 ===
D(<0.204.0>:eldap:941) : Bind Request Message:{'LDAPMessage',28,
{bindRequest,
{'BindRequest',3,
"CN=jabber,CN=Users,DC=ladomain,DC=org",
{simple,"SECRET123"}}},
asn1_NOVALUE}

=INFO REPORT==== 2010-08-25 15:30:22 ===
D(<0.204.0>:eldap:794) : {'LDAPMessage',28,
{bindResponse,
{'BindResponse',success,[],[],asn1_NOVALUE,
asn1_NOVALUE}},
asn1_NOVALUE}

Re: Авторизация через LDAP (NTLM) для пользователей

Submitted by zinid on Wed, 2010-08-25 16:11.

Какая-то путаница у вас. Причём тут NTML? ejabberd вообще не умеет NTML без сторонних патчей. Кстати, без "@domain.com" запрещает логиниться не Pandion, а стандарт XMPP.

PS. Лог мне ни о чём не говорит.
PPS. Я до сих пор не понимаю суть вопроса: у вас проблема с NTML, с доменной частью или с пандионом?

Вопрос снимаю пока. Нашел -

Submitted by Timur377 on Thu, 2010-08-26 05:28.

Вопрос снимаю пока. Нашел - оказалось то, что я искал (прозрачная автиризация клиентов EJABBERD в AD) это GSSAPI, и пока эта функция доступна только в виде патча или в версии 3 альфаX.

Looking for ejabberd docs?

Авторизация через LDAP (NTLM) для пользователей user@domain.org без @domain.org

Re: Авторизация через LDAP (NTLM) для пользователей

спасибо, учту этот момент...

Re: Авторизация через LDAP (NTLM) для пользователей

Вопрос снимаю пока. Нашел -

User login

Navigation