для толстого клиента AD не нужен....он модифицирует id пользователь+компьютер
для web доступа - можно ему просто сделать уч запись в AD и пусть под этими данными коннектится
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Решено Политика паролей
- Автор темы savl
- Дата начала
для web доступа - можно ему просто сделать уч запись в AD и пусть под этими данными коннектится
У меня в ST 8 как то кривело все, когда из АД возвращалось поле ка доп имя... если как @Subset(Fullanme;1) то все норм. Думаю это из за того что в LtpaToken именно это имя (доп) и вносилось.
И еще момент - по поводу POP3\IMAP. Домино - в версии 6.5-7-8 - другие не использовал тогда. После авторизации во внешнем LDAP ждет от него атрибутов для почтового файла и т.п. По этому нужно во внешнем LDAP добавить соотв. атрибуты. Для примера - агент:
Код:
Sub Initialize
Dim server As Variant
Dim servername As Variant
Dim UserName As Variant
Dim password As Variant
Dim DSO As Variant
Dim Obj As Variant
Dim Sch As Variant
Dim newatt As Variant
serverName="192.168.5.54"
UserName="administratoru"
password="pass"
Server="LDAP://" & serverName & "/RootDSE"
'Получаем обьект LDAP:
Set DSO=GetObject("LDAP:")
' Подключаемся к серверу
Set obj=DSO.OpenDSObject(server,UserName,password,0)
' Подключаемся к схеме АД
Set Sch=DSO.OpenDSObject("LDAP://" & serverName & "/" & obj.Get("schemaNamingContext"),UserName,password,0)
'************ Создаем новые атрибуты ****************
'Создаем MailDomain
Set newatt = sch.create("attributeSchema","cn=mailDomain")
newatt.put "attributeId","2.16.840.1.113678.2.2.2.2.11"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
'Создаем MailServer
Set newatt = sch.create("attributeSchema","cn=mailServer")
newatt.put "attributeId","2.16.840.1.113678.2.2.2.2.12"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
'Создаем MailFile
Set newatt = sch.create("attributeSchema","cn=mailFile")
newatt.put "attributeId","2.16.840.1.113678.2.2.2.2.13"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
' Как вариант - создаем mailPreferenceOption для определения формата почты
If False Then
Set newatt = sch.create("attributeSchema","cn=mailPreferenceOption")
newatt.put "attributeId","0.9.2342.19200300.100.1.47"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
End If
''''''''' Дополнительные атрибуты
' * FullName
' * MailDomain
' * MailAddress
' * Location
' * ListName
' * Member
' * Mail
' * AltFullName
' * MessageStorage
' * AltFullNameLanguage
' uid
'EncryptIncomingMail
'
''''''''
'Обновляем схему АД
obj.Put "schemaUpdateNow", 1
obj.Setinfo
Msgbox |Завершено создание дополнительных атрибутов.
Далее необходимо руками добавить атрибуты:
MailDomain, MailServer,MailFile в класс MailRecipient.
|
End Sub
здесь еще вопрос - для всех ли нужно сопоставление?!
и возвращаясь к теме фронта - там можно просто прописать сопоставление в любой вариант доступный nginx (да хоть в файл)
как вариант - надергать лдап клиентом имена, подкорректировать список разрешённых
только как мысль про SPNEGO но без домины https://github.com/stnoonan/spnego-http-auth-nginx-module
если про SSO
по доп. атрибутам могут виндоодмины возбухнуть (вполне резонно
)
Вот так и сделали.
Итак, все ок, смену пароля запустили.
1. Инициатор смены пароля - Lotus, так же если ранее был единый вход - меняется пароль в ОС
2. Интернет пароль синхронизируем с клиентом.
3. У кого только Web доступ получают письмо, в котором ссылка где сменить пароль. Естественно за несколько дней.
4. Traveler - если человек в ояисе, помогаем настраивать, если отсутствует - говорим как настроить.
Если УЗ уже залочена, а человек вне офиса - высылаем ссылку где сменить интернет-пароль.
А еще у нас хотят лотусовую почту на эксчендж заменить.
Думаю далее за клиента возьмуться, но пока только почта.
если есть купленная чанга, то почему бы и нет....часть пользователей на чанге, часть на лотусе
единственный минус - нет штатного шифрования и подписания писем(ну это больше для параноиков)
мы сейчас, например разделили почту на лотусовую, тем кто пользуется СЭД и Dovecot+postfix на сервере, а на клиенте thunderbird+roundcube по imap протоколу. LDAP поднят на лотусе, который ведет единый список всех пользователей почты+списки рассылки. Для thunderbird+roundcube сквозная авторизация через AD
Эммм, не понял идею. Т.е., можно типа запретить аутентификацию в основной адресной книге и заставить Домину аутентифицировать пользователей через внешний LDAP? Или имеются в виду дополнительные адресные книги?
@rinsk, спасибо. Ммммм... А вот нельзя ли при этом использовать не внешний, а собственный, лотусовый LDAP? Смысл: хочется заюзать account lockout для лотусового pop3-сервера, а в 8-ке - поправьте, если ошибаюсь - подбор паролей через POP3 не блокируется (через LDAP - блокируется).
ЗЫ. Сорри, что не по теме - не хотелось создавать отдельную ветку...
ЗЫ. Сорри, что не по теме - не хотелось создавать отдельную ветку...
ОФФ
вот бы нанимать для таких ... независимую комиссию, кот. следит за расходами, и часть стр-ры держим на домине, а часть на чанге
измеряем кол-во простоев, заявок, ограничений по интеграции (и затраты на неё), доп. сервисы кот. придется поднять, расходы на бэкапы и время восстановления, стоимость процесса миграции
ну и конечно - цена лицензий
еще неплохо добавить цену на электроэнергию
мне такие решения всегда напоминают политическую возню
за многие годы работы в крупной компании - я наблюдаю движение к хаосу
был кластер домины, были приложения (волдвайд), почта была на чанге и на домине, перевели на чангу
я никогда не видел столько головняка для ИТ, чангу централизовали (т.е. убрали местные сервера), потом отдали на аутсорц
с каждым переносом проблемы усугублялись - время решения увеличивалось
в АД развернулся настоящий АД
до сих пор есть приложение (на домине), в Германии, кот. никуда не смогли перенести (ни в ШП ни в САП), а прошло 15 лет
но манагенры, всех мастей, домину не любят И это несмотря на то - что поддержка (глобальная ИТ) у нас от ИБМ (правда - индусами )
про внедрение САП, с индусскими доработками - отдельная история
любая миграция
эффективные манагеры становятся все эффективней...
вот бы нанимать для таких ... независимую комиссию, кот. следит за расходами, и часть стр-ры держим на домине, а часть на чанге
измеряем кол-во простоев, заявок, ограничений по интеграции (и затраты на неё), доп. сервисы кот. придется поднять, расходы на бэкапы и время восстановления, стоимость процесса миграции
ну и конечно - цена лицензий
еще неплохо добавить цену на электроэнергию
мне такие решения всегда напоминают политическую возню
за многие годы работы в крупной компании - я наблюдаю движение к хаосу
был кластер домины, были приложения (волдвайд), почта была на чанге и на домине, перевели на чангу
я никогда не видел столько головняка для ИТ, чангу централизовали (т.е. убрали местные сервера), потом отдали на аутсорц
с каждым переносом проблемы усугублялись - время решения увеличивалось
в АД развернулся настоящий АД
до сих пор есть приложение (на домине), в Германии, кот. никуда не смогли перенести (ни в ШП ни в САП), а прошло 15 лет
но манагенры, всех мастей, домину не любят
И это несмотря на то - что поддержка (глобальная ИТ) у нас от ИБМ (правда - индусами )про внедрение САП, с индусскими доработками - отдельная история
любая миграция
Ссылка скрыта от гостей
и начинать его "просто так" - это безумиеа ченить в сторону прокси? (готового решения не гуглил) и др. момент - а зачем вам поп3?
Это точная информация? По доке account lockout работает только по HTTP...
А так - давно когда то делал - еще на 65, что бы инет работал только у конкретного OU... В da прописывал то ли соотв. base DN то ли атрибут какой то в фильтре - но работало.
Нууу... вроде, да. SMTP-клиент настроен на аутентификацию (не напрямую, через прокси!) в Домино'шном LDAP - и учетки блокируются. Вот, скажем, я поменял интернет-пароль пользователю (издеваюсь типа
HTTP, IMAP и пр. не подняты, больше пароли подбирать нечем, вроде как. Но POP3 при этом работает :-( Сервер - 8.5.3FP6.
Ну тогда - и POP3 будет блокироваться, если будет через LDAP авторизоваться.
Дерзай - расскажешь
upd:
Webauth_verbose_trace=1
LDAPDEBUG=1
Последнее редактирование модератором:
Вот еще нашел INET_AUTHENTICATE_WITH_SECONDARY=1 - может все проще?
Покопался в хелпе современном - link removed
****
Note: A server's primary Domino Directory is always enabled for client authentication. This is true even if you create a Directory Assistance document for the primary Domino Directory and do not select Make this domain available to: Notes clients and Internet Authentication/Authorization.
****
Покопался в хелпе современном -
****
Note: A server's primary Domino Directory is always enabled for client authentication. This is true even if you create a Directory Assistance document for the primary Domino Directory and do not select Make this domain available to: Notes clients and Internet Authentication/Authorization.
****
Последнее редактирование модератором:
Ну у нас почти именно так и есть. Новый IT директор хочет показать плюс работы - ввод exchange плюс его работы.
Только что на встрече с МС был, жесть...
Шифрования нет, но можно сделать...
DAOS нет, но есть shared directory. К слову мы не успели развернуть DAOS, потому что как его мигрировать я просто не представляю.
Разворот серверов зависит от AD леса...
И это все при работающем лотусе, потому что СЭД перенести это АД будет. Особенно кадровый модуль (тут полностью своя коробка уже, 1С не даст и половины)
То есть надо будет еще и адресные книги синхронизировать... Короче, пушной зверек маячит, но пока запасаюсь гренками и квасом.
Может быть предстоит второй опыт миграции Exchange -> Lotus, но сначала Lotus -> Exchange.
[DOUBLEPOST=1428671442,1428671262][/DOUBLEPOST]Это при том, что аналог Traveler есть, но вместе они на устройстве не работают - какие-то проблемы.
И еще чтобы нормально смигрировать, только недавно(!!!) появилась поддержка лотусовых серверов версии 9
К слову, механизмов миграции на Exchange практически нет, очень мало и решения не развиваются, потому что все кто хотел - уже смигрировали.
как вспомню скока времени убил на то, чтобы корректно настроить с нужными параметрами и лотус и AD и чангу, скольких админов задолбал
- аж вздрогнул.....причем один и тот же механизм не работал на разных версиях AD и чанги, т.е. чтобы все заработало нужно чтобы AD и чанга были именно той версии, для которой настраиваешь. Если что-то отличалось - не работало.Переводить AD на новые версии - к этому готовятся минимум полгода, а если учитывать постепенный перевод....нафиг...нафиг....
Обучение наступательной кибербезопасности в игровой форме. Начать игру!