Directory Assistance And Pop3/imap

Тема в разделе "Lotus - Администрирование", создана пользователем agem31, 13 июл 2009.

  1. agem31

    agem31 Гость

    Дано: Domino 8.5 FP4, AD Windows 2003.
    Задача: настроить авторизацию пользователей в AD для Domino HTTP, POP3, IMAP и SMTP.

    Проблема:
    DA добавлен, доступ к LDAP AD настроен. Для передачи имени пользователя для определения distinguished name Domino используется некоторое поле info в AD, в котором руками пишу CN=Vasya Pupkin/O=ACME. Но также пробовал displayName, но, от этого результат не меняется.
    Когда пользователь логонится через браузер, то работает все, и авторизация в AD и редирект на почтовую базу залогинившегося пользователя (т.е. название почтовой базы определяется). С HTTP проблем нет.

    Когда пользователь логинится через POP3 или IMAP, то авторизация проходит (это видно из дебага и если вводится неверный пароль - посылает сразу), но не находится почтовая база пользователя.
    Пользователь получает при POP3:
    -ERR The system was unable to log alexz in. Maildrop (file ) can not be located or opened. Please contact your POP3 administrator.
    Либо, если это IMAP:
    NO LOGIN failure, cannot locate mail file or mail file not specified

    Домино в дебаге пишет:
    POP3 Server: Unable to open mail file for Vasya Pupkin/ACME: This function is inappropriate for file system directories.

    Замечу, что обычно, если есть проблемы с доступом к файлу сообщение для пользователя содержит имя почтовой базы: Maildrop (file mail\vasya.nsf). Ну, т.е. проблема явно с тем, что POP3 и IMAP не могут или не хотят найти пользователя в names.nsf.

    Права на names.nsf давал всем на запись, пробовал разные настройки DA, игрался с полями distinguished name, но ничего не меняется.

    Насколько я понял весь этот механизм, то в ldap отсылается имя и пароль, ldap возвращает успешно ли прошла авторизация и все атрибуты записи, ассоциированной с логином. Domino выбирает один параметр (distinguished name), чтобы найти потом в своем names.nsf все атрибуты, связанные с именем. Но, вот незадача, находит только для HTTP.

    Если есть те, кто этим занимался, прошу помочь.
     
  2. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
  3. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.075
    Симпатии:
    300
    я не понял схемы
    вот есть пользователь домины и его ящик
    и он прописан два раза?
    и в АД и в АК и плюс к тому - ещё и DA, кот. цепляет тот же АД?
     
  4. agem31

    agem31 Гость

    Это то, что я и подозревал, made by design. Только вот не говорят они, как http iwamredir находит название базы. А находит он просто. В более детальных логах обнаружилось, что в случае http атрибуты пользователя ищутся сначала во вью ($ServerAccess), а затем во вью ($Users) базы names.nsf. В случае с pop3/imap ищется только во вью ($ServerAccess), в ($Users) не глядит.
    Странное решение какое-то, что мешало сделать поиск атрибутов в names.nsf для pop3/imap.

    В свете вышеприведенной ссылки, получаются два варианта. Первый - это иметь еще один сервер домино, на котором не будет DA и который будут использовать все пользователи, которым нужен pop3/imap. Авторизация будет из домино, а не из AD, но здесь не до жиру. Второй - править схему AD, включать туда атрибут Mailfile для юзеров и руками дублировать из домино путь к почтовым базам. Дурдом.

    Пользователь прописан два раза, конечно. Один раз в names.nsf, где прописаны имя, путь к ящику и т.п.. Второй раз в AD. AD я хочу использовать только для авторизации pop3/imap/smtp/http (слать имя и пароль и получать в ответ атрибуты ldap для этого пользователя, если авторизация прошла успешно). Мне нужен один пароль у пользователя и одно место с политикой смены и назначания пароля, и это место AD.
    Ну так вот, чтобы домино авторизировал пользователей из AD, мне и нужен DA. Есть еще какие-то общеизвестные способы брать пароли напрямую из AD?
     
  5. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.075
    Симпатии:
    300
    опять же - хэлп наше фсё :)
    синхронизадница виндоуз юзверей уж десяток лет существует (типа Notes Single Logon)...
    а с появлением ЛДАП отклонения, с названием АД, была введена в строй AD DUS + ADSync
    набираем в серче админхэлпа: Synchro*
    и читаем...
    ежели я вашу цель прально понял :)
    а в вашей конфигурации какая-то рекурсия получается
     
  6. agem31

    agem31 Гость

    Надеюсь, вы не подумали, что я не знаю про ADSync, DUS и т.п.
    Все это работает хорошо до того момента, пока пользователь не сменил планово истекший пароль и у этого пользователя не оказалось notes single logon.
    Вариантов, когда оба пароля не могут быть изменены одновременно, много. Я предпочитаю иметь одно место для хранения паролей - AD.
    Про какую рекурсию вы все время говорите, я не понимаю. Клиент подключается к домино, домино ныряет за авторизацией в AD. Т.е., полностью исключаются проблемы с синхронизацией паролей между домино и AD. Она просто не нужна.

    В общем, после добавления параметра MailFile в схему AD, все заработало. Остается прописать через AdSync синхронизацию поля MailFile домино и атрибута MailFile в AD, чтобы руками не править поле MailFile при добавлении пользователя в AD.
     
  7. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.075
    Симпатии:
    300
    угу - вот тока загадка - в какую АК полезет первую домина (в вашем случае) а НАБ или в ДА :)
    и потом вы замыслили шобы после ДА оно еще вам и в НАБ полезло (за остальными полями) - очьинтересный сюжет
    вощем не мудрите...

    А вот заставьте АД брать все параметры из домины ;) (онож ЛДАП понимает - траблов быть не дожно)

    У вас уже два места хранения одной и тойже инфы, а вот пароль и адрес БД вам "не угодили"..., бывает

    Или пишите свой "регисратор" юзеров, и смену пароля тока через него (типа перехват ф-ции логона виндоуза, фингапринты так делают)

    Но останется вопрос про смену пароля на ИД

    ЕМНИП у тиволи было что-то подобное, типа управления юзарами и интеграция всяких служб и каталогов... (не сталкивался)

    ЗЫ: мне так показалось... юзать домину как тока почтовые ф-ции – как-то не рационально, да ёще и подвязать на винду..., может домина вам и не нужна (ведь есть же масса др. решений)
     
  8. agem31

    agem31 Гость

    Похоже, что вы не очень-то в курсе, как это все работает. За авторизацией пользователя все (pop3, imap, http, smtp) лезут в DA, потом по полю distinguishedName опредяется пользователь и по нему ищется пользователь в домино (Mailfile, etc).

    Мне надо заставить домино авторизировать пользователей из AD, зачем мне из AD брать параметры домино? Это не забота AD.

    Мне нужно авторизировать пользователя. Все. Адрес БД не берется по причине, указанной в ссылке puks-a.

    У IBM Tivoli Directory Integrator, но чтобы его прикрутить понадобится очень много усилий, того не стоит.

    Кто вам сказал, что мы домино используем только как почтовый сервер? Сейчас как раз наоборот, он почти не используется, как почтовый сервер. Чтобы использовать, нужно решить проблему несинхронизированных паролей.

    Тему предлагаю закрыть, я вопрос решил, хоть и не очень красиво.
     
  9. rins

    rins Гость

    Ну почему же закрыть? Может поделитесь решением?
    Домино запрашивает атрибуты - maildomain,mailserver,mailfile у LDAP каталога - при их наличии вполне так работает как доступ по POP3\IMAP так и роутинг почты.
     
  10. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.075
    Симпатии:
    300
    rins
    уже поделились - схему в АД расширили атирибутом...
    вот тока "горбыль" получился по-любому - юзер присут. в намес.нсф и в АД (итого два раза) и еще есть ИД, пароль на кот. менять тоже можно
    дык еще (к тому же) запись условно дублируется (как я понял), потому как АД цепляется доминой через ДА (чем ещё это аукнется - вопрос )
    лично я не могу понять идеологические причины такого построения, но топкстартера такое решение устраивает - на том и порешили
     
  11. rins

    rins Гость

    В том то и дело, что горбыль получается только если нужен ИД файл. иначе - езера целиком можно держать в АД, расширив его атрибуты...
    Исключить авторизацию через родную names.nsf можно включив эту самую names.nsf в DA, указав в качестве домена родной домен:))
     
  12. agem31

    agem31 Гость

    Я добавил атрибут в AD примерно как здесь:
    http://technet.microsoft.com/en-us/library/bb727064.aspx

    присвоил значение, и все заработало для pop3/imap.

    Names.nsf вроде как нельзя исключить из процесса авторизации, если и можно, то с большими костылями. Мне нужна была только авторизация для всех сервисов домино в AD.
     
Загрузка...
Похожие Темы - Directory Assistance And
  1. cLif
    Ответов:
    0
    Просмотров:
    349
  2. Rahmatov
    Ответов:
    24
    Просмотров:
    1.525
  3. xpro
    Ответов:
    10
    Просмотров:
    1.101
  4. NewWorker
    Ответов:
    19
    Просмотров:
    1.498
  5. Kverter
    Ответов:
    1
    Просмотров:
    1.554

Поделиться этой страницей