Регистрация...

Eserv Forum / E4 / Eserv 4 beta / Исправление NT-авторизации

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Пользователям, у кого после импорта конфигурации из Eserv/3 не работала авторизация в проектах, использующих NT-авторизацию (ActiveDirectory или локальной NT), должно помочь это обновление exe серверов: http://www.eserv.ru/download/E4_exe_upd5.rar

E4 при выполнении авторизации не всегда мог правильно определить, что проект импортирован из E3-источника авторизации с NT-авторизацией, и что, соответственно, для этих проектов он должен сверяться не только с сохраненными хэшами паролей, но и выполнять попытку NT-авторизации. При установке E4 "с нуля" эти проекты всегда имеют имя, совпадающее с именем компьютера, либо "default". При импорте для проектов используются имена источников авторизации E3.

Если при проведении аутентификации пользователя заданные имя:пароль не подходят к сохраненным реквизитам, но совпадает с именем:паролем пользователя NT, Eserv меняет локальный (в базе Eserv) пароль у соответствующего пользователя в NT-проекте и меняет его роль в этом проекте на NT-imported-pw (по умолчанию роли у импортированных пользователей в этом проекте не назначены). Если такого пользователя в NT-проекте вообще нет, то считается, что он был добавлен уже после первоначального импорта (установки E4), и этот пользователь автоматически добавляется в NT-проект с ролью NT-imported. Таким образом администратор может отслеживать использование/смену паролей через NT (вместо локальных) и синхронизацию списков учетных записей с NT.

Эти изменения поступят в систему обновлений E4 в ближайшее время.
 
Комментарии к этой версии (22.09.2010 17:18) [~ac] 63b17e07
АвторДатаТекстtags
tbmos02.10.2010 11:50
ред: 02.10.2010 16:14
Ну а что делать,у кого eserv/4 стоит на multihomed, ведь в этой версии,почтовые логины клиентов пытаются авторизоваться и на сервере домена,где стоит eserv/4,и пр вкл.аудите отказов входа на сервер, в политике домена, начинается забиваться журнал безопасности с ошибкой по входу advapi и ntlmssp от почтовых логинов eserv/4?
wikipost
ac02.10.2010 16:57
NT-авторизация используется, если не совпало с имеющимся в БД. Причем здесь multihomed, почему это влияет на забивание лога? Имеется в виду, что подбирают пароли внешние роботы?
wikipost
tbmos03.10.2010 08:27
Ситуацию не могу понять сам пока,одно ясно до этой версии такого не происходило,возможно это связано с прогой mailtime которая у клиентов внутри сетки через прокси проверяет по pop3 наличие новых сообщений — буду изучать логи,а пытаются авторизоваться реальные почтовые логины,это не подборка.
wikipost
ac04.10.2010 08:41
Да, интересно, какому событию в логах Eserv соответствуют эти записи в системном журнале Windows. Сам Eserv туда не пишет.
wikipost
tbmos04.10.2010 10:22
ред: 04.10.2010 21:49
"какому событию в логах Eserv соответствуют" -попыткам авторизации,замечательно,теперь политика безопасности домена "аудит отказа входа в домен" на dc,отслеживает и почтовые попытки авторизации на eserv/4.
wikipost
ac05.10.2010 04:20
Туда (в NT-авторизацию) должны попадать только неудачные попытки входа — не совпавшие с имеющимися в Eserv учетными записями. У вас это и происходит? Тогда оставляем всё как есть, так?
wikipost
tbmos05.10.2010 11:12
Да.Оставляем.Спасибо.
wikipost
Работает на Eserv/5.05555 (05.06.2016)