Directory Assistance And Pop3/imap

  • Автор темы agem31
  • Дата начала
A

agem31

#1
Дано: Domino 8.5 FP4, AD Windows 2003.
Задача: настроить авторизацию пользователей в AD для Domino HTTP, POP3, IMAP и SMTP.

Проблема:
DA добавлен, доступ к LDAP AD настроен. Для передачи имени пользователя для определения distinguished name Domino используется некоторое поле info в AD, в котором руками пишу CN=Vasya Pupkin/O=ACME. Но также пробовал displayName, но, от этого результат не меняется.
Когда пользователь логонится через браузер, то работает все, и авторизация в AD и редирект на почтовую базу залогинившегося пользователя (т.е. название почтовой базы определяется). С HTTP проблем нет.

Когда пользователь логинится через POP3 или IMAP, то авторизация проходит (это видно из дебага и если вводится неверный пароль - посылает сразу), но не находится почтовая база пользователя.
Пользователь получает при POP3:
-ERR The system was unable to log alexz in. Maildrop (file ) can not be located or opened. Please contact your POP3 administrator.
Либо, если это IMAP:
NO LOGIN failure, cannot locate mail file or mail file not specified

Домино в дебаге пишет:
POP3 Server: Unable to open mail file for Vasya Pupkin/ACME: This function is inappropriate for file system directories.

Замечу, что обычно, если есть проблемы с доступом к файлу сообщение для пользователя содержит имя почтовой базы: Maildrop (file mail\vasya.nsf). Ну, т.е. проблема явно с тем, что POP3 и IMAP не могут или не хотят найти пользователя в names.nsf.

Права на names.nsf давал всем на запись, пробовал разные настройки DA, игрался с полями distinguished name, но ничего не меняется.

Насколько я понял весь этот механизм, то в ldap отсылается имя и пароль, ldap возвращает успешно ли прошла авторизация и все атрибуты записи, ассоциированной с логином. Domino выбирает один параметр (distinguished name), чтобы найти потом в своем names.nsf все атрибуты, связанные с именем. Но, вот незадача, находит только для HTTP.

Если есть те, кто этим занимался, прошу помочь.
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 600
277
#3
я не понял схемы
вот есть пользователь домины и его ящик
и он прописан два раза?
и в АД и в АК и плюс к тому - ещё и DA, кот. цепляет тот же АД?
 
A

agem31

#4
Это то, что я и подозревал, made by design. Только вот не говорят они, как http iwamredir находит название базы. А находит он просто. В более детальных логах обнаружилось, что в случае http атрибуты пользователя ищутся сначала во вью ($ServerAccess), а затем во вью ($Users) базы names.nsf. В случае с pop3/imap ищется только во вью ($ServerAccess), в ($Users) не глядит.
Странное решение какое-то, что мешало сделать поиск атрибутов в names.nsf для pop3/imap.

В свете вышеприведенной ссылки, получаются два варианта. Первый - это иметь еще один сервер домино, на котором не будет DA и который будут использовать все пользователи, которым нужен pop3/imap. Авторизация будет из домино, а не из AD, но здесь не до жиру. Второй - править схему AD, включать туда атрибут Mailfile для юзеров и руками дублировать из домино путь к почтовым базам. Дурдом.

я не понял схемы
вот есть пользователь домины и его ящик
и он прописан два раза?
и в АД и в АК и плюс к тому - ещё и DA, кот. цепляет тот же АД?
Пользователь прописан два раза, конечно. Один раз в names.nsf, где прописаны имя, путь к ящику и т.п.. Второй раз в AD. AD я хочу использовать только для авторизации pop3/imap/smtp/http (слать имя и пароль и получать в ответ атрибуты ldap для этого пользователя, если авторизация прошла успешно). Мне нужен один пароль у пользователя и одно место с политикой смены и назначания пароля, и это место AD.
Ну так вот, чтобы домино авторизировал пользователей из AD, мне и нужен DA. Есть еще какие-то общеизвестные способы брать пароли напрямую из AD?
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 600
277
#5
опять же - хэлп наше фсё :)
синхронизадница виндоуз юзверей уж десяток лет существует (типа Notes Single Logon)...
а с появлением ЛДАП отклонения, с названием АД, была введена в строй AD DUS + ADSync
набираем в серче админхэлпа: Synchro*
и читаем...
ежели я вашу цель прально понял :)
а в вашей конфигурации какая-то рекурсия получается
 
A

agem31

#6
опять же - хэлп наше фсё ;)
синхронизадница виндоуз юзверей уж десяток лет существует (типа Notes Single Logon)...
а с появлением ЛДАП отклонения, с названием АД, была введена в строй AD DUS + ADSync
набираем в серче админхэлпа: Synchro*
и читаем...
ежели я вашу цель прально понял :)
а в вашей конфигурации какая-то рекурсия получается
Надеюсь, вы не подумали, что я не знаю про ADSync, DUS и т.п.
Все это работает хорошо до того момента, пока пользователь не сменил планово истекший пароль и у этого пользователя не оказалось notes single logon.
Вариантов, когда оба пароля не могут быть изменены одновременно, много. Я предпочитаю иметь одно место для хранения паролей - AD.
Про какую рекурсию вы все время говорите, я не понимаю. Клиент подключается к домино, домино ныряет за авторизацией в AD. Т.е., полностью исключаются проблемы с синхронизацией паролей между домино и AD. Она просто не нужна.

В общем, после добавления параметра MailFile в схему AD, все заработало. Остается прописать через AdSync синхронизацию поля MailFile домино и атрибута MailFile в AD, чтобы руками не править поле MailFile при добавлении пользователя в AD.
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 600
277
#7
угу - вот тока загадка - в какую АК полезет первую домина (в вашем случае) а НАБ или в ДА :)
и потом вы замыслили шобы после ДА оно еще вам и в НАБ полезло (за остальными полями) - очьинтересный сюжет
вощем не мудрите...

А вот заставьте АД брать все параметры из домины ;) (онож ЛДАП понимает - траблов быть не дожно)

У вас уже два места хранения одной и тойже инфы, а вот пароль и адрес БД вам "не угодили"..., бывает

Или пишите свой "регисратор" юзеров, и смену пароля тока через него (типа перехват ф-ции логона виндоуза, фингапринты так делают)

Но останется вопрос про смену пароля на ИД

ЕМНИП у тиволи было что-то подобное, типа управления юзарами и интеграция всяких служб и каталогов... (не сталкивался)

ЗЫ: мне так показалось... юзать домину как тока почтовые ф-ции – как-то не рационально, да ёще и подвязать на винду..., может домина вам и не нужна (ведь есть же масса др. решений)
 
A

agem31

#8
угу - вот тока загадка - в какую АК полезет первую домина (в вашем случае) а НАБ или в ДА :ph34r:
и потом вы замыслили шобы после ДА оно еще вам и в НАБ полезло (за остальными полями) - очьинтересный сюжет
вощем не мудрите...

А вот заставьте АД брать все параметры из домины ;) (онож ЛДАП понимает - траблов быть не дожно)

У вас уже два места хранения одной и тойже инфы, а вот пароль и адрес БД вам "не угодили"..., бывает

Или пишите свой "регисратор" юзеров, и смену пароля тока через него (типа перехват ф-ции логона виндоуза, фингапринты так делают)

Но останется вопрос про смену пароля на ИД

ЕМНИП у тиволи было что-то подобное, типа управления юзарами и интеграция всяких служб и каталогов... (не сталкивался)

ЗЫ: мне так показалось... юзать домину как тока почтовые ф-ции – как-то не рационально, да ёще и подвязать на винду..., может домина вам и не нужна (ведь есть же масса др. решений)
Похоже, что вы не очень-то в курсе, как это все работает. За авторизацией пользователя все (pop3, imap, http, smtp) лезут в DA, потом по полю distinguishedName опредяется пользователь и по нему ищется пользователь в домино (Mailfile, etc).

Мне надо заставить домино авторизировать пользователей из AD, зачем мне из AD брать параметры домино? Это не забота AD.

Мне нужно авторизировать пользователя. Все. Адрес БД не берется по причине, указанной в ссылке puks-a.

У IBM Tivoli Directory Integrator, но чтобы его прикрутить понадобится очень много усилий, того не стоит.

Кто вам сказал, что мы домино используем только как почтовый сервер? Сейчас как раз наоборот, он почти не используется, как почтовый сервер. Чтобы использовать, нужно решить проблему несинхронизированных паролей.

Тему предлагаю закрыть, я вопрос решил, хоть и не очень красиво.
 
R

rins

#9
Тему предлагаю закрыть, я вопрос решил, хоть и не очень красиво.
Ну почему же закрыть? Может поделитесь решением?
Домино запрашивает атрибуты - maildomain,mailserver,mailfile у LDAP каталога - при их наличии вполне так работает как доступ по POP3\IMAP так и роутинг почты.
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 600
277
#10
rins
уже поделились - схему в АД расширили атирибутом...
вот тока "горбыль" получился по-любому - юзер присут. в намес.нсф и в АД (итого два раза) и еще есть ИД, пароль на кот. менять тоже можно
дык еще (к тому же) запись условно дублируется (как я понял), потому как АД цепляется доминой через ДА (чем ещё это аукнется - вопрос )
лично я не могу понять идеологические причины такого построения, но топкстартера такое решение устраивает - на том и порешили
 
R
#11
rins
уже поделились - схему в АД расширили атирибутом...
вот тока "горбыль" получился по-любому - юзер присут. в намес.нсф и в АД (итого два раза) и еще есть ИД, пароль на кот. менять тоже можно
дык еще (к тому же) запись условно дублируется (как я понял), потому как АД цепляется доминой через ДА (чем ещё это аукнется - вопрос )
лично я не могу понять идеологические причины такого построения, но топкстартера такое решение устраивает - на том и порешили
В том то и дело, что горбыль получается только если нужен ИД файл. иначе - езера целиком можно держать в АД, расширив его атрибуты...
Исключить авторизацию через родную names.nsf можно включив эту самую names.nsf в DA, указав в качестве домена родной домен:))
 
A

agem31

#12
В том то и дело, что горбыль получается только если нужен ИД файл. иначе - езера целиком можно держать в АД, расширив его атрибуты...
Исключить авторизацию через родную names.nsf можно включив эту самую names.nsf в DA, указав в качестве домена родной домен:))
Я добавил атрибут в AD примерно как здесь:
http://technet.microsoft.com/en-us/library/bb727064.aspx

присвоил значение, и все заработало для pop3/imap.

Names.nsf вроде как нельзя исключить из процесса авторизации, если и можно, то с большими костылями. Мне нужна была только авторизация для всех сервисов домино в AD.