Регистрация...

Eserv Forum / E4 / Mail / Вопрос по LDAP сервер и связи контактов с учетной записью

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Подключил в адресной книге Mozilla Thunderbird каталог LDAP-сервера. Настроил как показано на странице http://www.eserv.ru/EservLDAP, но контакты не отображаются в свободной форме (при клике на каталог), можно ли это изменить?
Еще появилась проблема импортировал пользователей, но не могу их связать с контактами. Если пользователь регистрируется, через веб-интерфейс, он работает нормально, контакт появляется автоматически, но как быть с импортированными пользователями? У них нет контактов и в адресной книге они не отображаются.
 
Комментарии к этой версии (30.09.2010 10:52) [~dima-irk38] 784eb315
АвторДатаТекстtags
i.schelokov24.02.2011 19:27
Перестал отвечать LDAP сервер. В acweb.log пишется следующая запись:
LDAP
Connection from: 192.168.1.31 Thu, 24 Feb 2011 19:40:02 +0300 А Outlock пишет, что не удалось подключиться к серверу, поскольку не прошла проверка подлинности. Ввод логина и пароля при настройке LDAP на ситуацию не влияет, да и прокси авторизуется по AD без проблем?
wikipost
ac24.02.2011 19:50
Что в acWEB.log при попытке авторизации? В "Пользователи/Попытки авторизации" ничего подозрительного?

Пропустил вопрос dima-irk38:
dima-irk38 пишет: контакты не отображаются в свободной форме (при клике на каталог), можно ли это изменить?

Что за каталог? На http://www.eserv.ru/EservLDAP каталогов нет.

dima-irk38 пишет: Если пользователь регистрируется, через веб-интерфейс, он работает нормально, контакт появляется автоматически, но как быть с импортированными пользователями? У них нет контактов и в адресной книге они не отображаются.

Откуда вы импортируете? Если из E3, то там имена тоже импортируются, и контакты создаются. Если импортировались только email'ы (из E2, например), то, да, нужно для каждого из них создавать контакт — в панели управления E4. Иначе Eserv'у просто нечего показывать через LDAP.
wikipost
alex112424.02.2011 20:44
ред: 24.02.2011 20:46
У меня аналогичная проблема с LDAP. Настраиваю ТВ 3.1.7 как указано в документации. При обращении к LDAP просит ввести пароль. Но никак не реагирует на него. Еще раз просит и т.д. В acweb.log пишется следующая запись:
LDAP
Connection from: 192.168.1.63 и ничего более. В "Пользователи/Попытки авторизации" ничего подозрительного.
wikipost
i.schelokov25.02.2011 07:50
В "Пользователи/Попытки авторизации" ничего не попадает. Где еще посмотреть?
wikipost
ac25.02.2011 11:15
Ну раз нигде никаких следов, то придётся включить подробный лог и посмотреть глубже. Надо раскомментировать строку
LDAP_DEBUG ON на 655й строке acWEB/conf/OnStartup.rules.txt, перезапустить acWEB, попробовать снова соединиться и выслать на support@ полученный лог.
wikipost
ac25.02.2011 11:58
alex1124 подсказывает, что строка 616, а не 655. У меня в локальном файле строк больше, т.к. расширяется там конфиг FTP для ближайшего обновления.
wikipost
ac25.02.2011 12:56
Спасибо за логи! Попробуйте, пожалуйста, этот вариант:
http://www.eserv.ru/download/acWEB4_2011-02-25_1.rar
wikipost
alex112425.02.2011 13:21
ред: 25.02.2011 13:30
С этой версии ТВ адреса отображает нормально.
TheBat тоже
Спасибо
wikipost
i.schelokov25.02.2011 14:29
С этим вариантом работает при условии явной авторизации.
Но например при открытии LDAP из проводника выдает ошибку "нет доступа", т.к. там не предусмотрена авторизация.
wikipost
dima-irk3825.02.2011 14:48
ac пишет: Откуда вы импортируете? Если из E3, то там имена тоже импортируются, и контакты создаются. Если импортировались только email'ы (из E2, например), то, да, нужно для каждого из них создавать контакт — в панели управления E4. Иначе Eserv'у просто нечего показывать через LDAP.

Взял текстовый файл с логинами и паролями от старого почтового сервера (не Eserv), отредактировал под формат CSV, импортировал в eserv.
wikipost
ac25.02.2011 15:30
i.schelokov пишет: Но например при открытии LDAP из проводника выдает ошибку "нет доступа", т.к. там не предусмотрена авторизация.

А предыдущая версия в таком режиме работала? В WAB (который запускается по ldap-URL'ам из IE авторизация предусмотрена, как минимум NTLM (на wab+Eserv и испытывался этот вариант авторизации в этом протоколе). Alex1124 мне уже прислал только что лог по такому же вопросу, значит и эта ситуация "серийная", попробую разобраться.
wikipost
ac25.02.2011 15:31
dima-irk38 пишет: Взял текстовый файл с логинами и паролями от старого почтового сервера (не Eserv), отредактировал под формат CSV, импортировал в eserv.

Присвоить им всем имена/фамилии можно в консоли управления. Тогда и в LDAP'е должны появиться.
wikipost
i.schelokov25.02.2011 15:48
IE авторизуется по AD и проблем с этим нет... А вот ldap не авторизуется. Вообще он достаточно давно перестал работать, но некогда было разобраться...
wikipost
ac26.02.2011 19:21
ac пишет: Присвоить им всем имена/фамилии можно в консоли управления. Тогда и в LDAP'е должны появиться.

В сегодняшнем обновлении указывать имена уже не обязательно, если вас устраивает, что вместо имени будет выводиться логин.
wikipost
ac26.02.2011 19:24
i.schelokov пишет: ldap не авторизуется.

С LDAP-сервером из сегодняшнего обновления можно работать без авторизации (из ЛС).
wikipost
alex112427.02.2011 23:15
Правильно ли я понимаю, что по умолчанию LDAP-сервер работает только на локальной сети и с "улицы" к нему не подключиться? Но редактированием Eserv.ini можно это сделать.
wikipost
omega2316.06.2011 06:35
Подскажите, пожалуйста, как создать/подключить контакты в каталог LDAP-сервера. К примеру: у меня есть адресная книга в Mozilla TB. Я хочу сделать её общей для всех клиентов почтового сервера. На сервере LDAP включен, в клиенте каталог настроил. Куда дальше двигаться/загружать/импортировать?
wikipost
ac16.06.2011 23:15
Экспортировать локальную адресную на LDAP-сервер (любой) из TB невозможно, по-моему. Но можно попробовать экспортировать контакты из TB в csv-файл, и этот файл импортировать в проект в Eserv, и адреса этого проекта раздавать по LDAP.
wikipost
omega2318.06.2011 05:26
Т.е. создать отдельный проект в Eserv-е и уже туда импортировать встроенным инструментом?
wikipost
ac18.06.2011 18:00
Адресатов проекта видят только участники проекта, поэтому придётся в тот проект, кто их должен видеть. На всякий случай перед импортом сделайте резервную копию файлов CONF\lists\directory.db3*.
wikipost
omega2330.06.2011 02:42
Попробовал. Появились новые "пользователи" и они же появились в "Контактах". Но в адресных книгах почтовиков они не видны (проверялось через ТВ и Ват). "Недоступность" контактов обосновывается невозможностью почтовиков подключиться к LDAP. Просто тупо затыкается на стадии соединения. Где и что я мог забыть включить?
wikipost
ac30.06.2011 16:09
Настройка LDAP в клиентах — http://www.eserv.ru/EservLDAP

Если сделано по этим картинкам, но не помогает, то раскомментируйте "LDAP_DEBUG ON" в acWEB\conf\OnStartup.rules.txt, попробуйте подключиться и пришлите полученный лог на support@eserv.ru.
wikipost
alex112419.03.2012 16:51
Пробую получить доступ из вне. В E4.ini
[LDAP] UseLDAP=1 Port=389 SslPort=636 NetworkInterface=0.0.0.0 Port2=3268 SslPort2=3269 CldapPort=389 CldapNetworkInterface=0.0.0.0

Сервис перезапустил. В настройках подключения прописываю имя пользователя. Пробую подключиться — результат отрицательный. При подключении по 389 порту в acWeb ничего не пишет при раскомментированной строке "LDAP_DEBUG ON". По 636 порту пишет:
1 |0x30 (164 ASN.1) |1 |0x2 (2 ASN.1.1) 195 |2 |0x64 (150 ASN.1.2) | |1 |0x4 (0 ASN.1.2.1) | |2 |0x30 (138 ASN.1.2.2) | | |1 |0x30 (132 ASN.1.2.2.1) | | | |1 |0x4 (8 ASN.1.2.2.1.1) netlogon | | | |2 |0x31 (112 ASN.1.2.2.1.2) | | | | |1 |0x4 (106 ASN.1.2.2.1.2.1) ....?...r1¦¦?"?M?..?b??¬.KOENIG.RU..KOENIG.RU..RAINBOW.KOENIG.RU..KOEN 1 |0x30 (29 ASN.1) |1 |0x2 (2 ASN.1.1) 195 |2 |0x65 (15 ASN.1.2) | |1 |0xA (1 ASN.1.2.1) 0 | |2 |0x4 (0 ASN.1.2.2) | |3 |0x4 (0 ASN.1.2.3)
, но подключения нет.
wikipost
ac19.03.2012 18:11
Обращений от LDAP-клиентов в приведенном логе нет. Указанный фрагмент — ответы на CLDAP (UDP) — когда Windows-машины ищут в сети AD, этот режим никакими LDAP-клиентами не используется, стоит отладочная заглушка.

Проверьте в "Информация/Система/Сеть/TCP-серверы" подключились ли те сетевые интерфейсы 389 порта, с которым вы пытаетесь работать, и попробуйте с клиента подключиться сначала телнетом.
wikipost
alex112420.03.2012 09:20
В списке подключенных интерфейсов есть:
TCP 3908 acWEB5.exe LISTENING [fe80::5efe:хх.хх.255.хх%2] 389 [::]

В acWeb.log:
389 : [fe80::5efe:хх.хх.255.хх] 0

Телнетом — сбой подключения
На 636 порту аналогичная ситуация
wikipost
pig20.03.2012 11:24
Файрвол мешает?
wikipost
alex112420.03.2012 13:20
Нет его, разве что штатный есервовский
wikipost
pig20.03.2012 16:05
Тогда я бы не через интерфейс порты посмотрел (не знаю, каким образом этот список строится), а запустил netstat прямо там.
wikipost
ac20.03.2012 16:18
А если поставить в настройках не "все интерфейсы", а выбрать тот конкретный, на который подключаетесь?

pig пишет: Тогда я бы не через интерфейс порты посмотрел (не знаю, каким образом этот список строится), а запустил netstat прямо там.

Он в E4-E5 через netstat и строится. (~ac/lib/win/process/netstat.f)
wikipost
alex112420.03.2012 16:40
Попробовал. Результат отрицательный, подключение телнетом не произошло.
Что в интерфейсе, что в логе разницы в отображении не увидел, вроде все тоже. Правда с локального LDAP перестал работать

LDAP [114725 bytes]
wikipost
ac20.03.2012 17:58
Извините, это я уже туплю LDAP с некоторых пор особый случай: т.к. большинство LDAP-клиентов не умеют использовать авторизацию (может и умеют, в API-то функции для этого есть, но настроек для этого не дают), пришлось разрешить работу без авторизации, и поэтому пришлось ограничить работу LAN'ом. Это настраивается в CommonPlugins\ldap\activate.f
wikipost
ac20.03.2012 18:02wikipost
alex112420.03.2012 22:20
Т.е. снаружи недостучаться?
wikipost
ac20.03.2012 22:33
В указанном файле activate.f замените LAN на WAN и перезапустите, но учтите замечание про авторизацию.
wikipost
alex112420.03.2012 23:53
А если мне надо и внутри, но без авторизации. А снаружи по паролю. То как в этом случае?
wikipost
ac21.03.2012 00:32
Оно так и работает — если имя:пароль не указаны, то авторизует в зависимости от IsLanClient.
wikipost
alex112421.03.2012 09:43
Изменил, перезапустил сервис.
В TCP-серверах порт 389 и 636 упоминание на внешнем адресе, внутренний не фигурирует вообще.
Телнетом снаружи подключается, в логе пишет о подключении. TB дает ошибку репликации при явной авторизации по SSL при фиксации подключения в логе. По 389 все работает

Изнутри подключения телнетом нет ни к одному из портов, в логе следов попыток подключения нет. TB дает ошибку репликации.
wikipost
ac21.03.2012 15:25
Теперь WAN замените на 0.0.0.0 или пустую строку, что означает "все интерфейсы".
wikipost
alex112428.11.2012 12:24
ред: 28.11.2012 12:25
Пробую настроить LDAP для Galaxy Tab2 для внешнего подключения.
Прописываю сервер, BaseDN — cn=ru, имя пользователя и пароль. Проверяю — говорит, что "неверное имя пользователя или пароль.
В acWeb.log факт обращения к LDAP серверу фиксируется, но про ошибку имя пользователя / пароль не пишет.
В eserv.in
NetworkInterface=0.0.0.0

Возможно Таб2 пробует подключиться по ssl. А у меня это подключение не проходит даже в локальной сети у TB. Запрашивает пароль и говорит ошибка репликации. На 389 порту репликация проходит как по паролю, так и без.
Файл: acWEB.log [8787 bytes]
wikipost
ac28.11.2012 13:38
alex1124 пишет: В acWeb.log факт обращения к LDAP серверу фиксируется, но про ошибку имя пользователя / пароль не пишет.

Более того, он пишет, что авторизация была успешной (Bind succeeded). Это про того пользователя (в скобках после "Bind succeeded"), про которого говорится "неверное имя пользователя или пароль"?
wikipost
alex112428.11.2012 13:55
В логе первое обращение (user) — это Таб2. Да, я видел нормальную авторизацию пользователя, но на экране именно сообщение об ошибке.
Два подключения по локальной сети — в первом случае по SSL, второй — без. Но репликация прошла у меня только во втором случае
wikipost
ac28.11.2012 15:36
А точно при SSL в логе тоже появляется запись про "Bind succeeded"? Или может ему просто сертификат не нравится, и он дальше не идёт (но сам не понимает, что стряслось на нижних уровнях, и считает это ошибкой авторизации)?
wikipost
alex112428.11.2012 16:22
При внешнем подключении я не могу выбирать как мне подключаться, а вот по локальной сети специально провел два сеанса репликации: первый при SSL и следом за ним сразу без SSL, но с пользователем. Я в ТВ только флаг выставлял "Использовать SSL". Репликация прошла успешно только во втором случае.
wikipost
ac28.11.2012 17:48
Записи в логе есть об обоих подключениях или только о втором?
wikipost
alex112429.11.2012 08:34
Сегодня с утра в локальной сети в обоих случаях прошла репликация. Странно... В логе есть обращения в обоих случаях.
Для внешнего подключения Таба2. В логе успешная авторизация, а на экране девайса согласно прилагаемой картинки

Screenshot 2012-11-29-05-01-27 Screenshot [94089 bytes]
wikipost
alex112424.01.2013 09:15
В очередной раз мучаю LDAP. Galaxy Note 10.1. Если BaseDN выставляю cn=ru, то при проверке говорит invalid BaseDN. Если оставить поле пустым, то при проверке предлагает массу вариантов. Даже не знаю что и выбрать.
Подключение в acWeb фиксируется.
wikipost
ac24.01.2013 11:31
В OnStartup раскомментируйте LDAP_DEBUG, попробуйте подключиться и вышлите полученный лог на support@.
wikipost
alex112424.01.2013 14:58
Отправил лог на саппорт
wikipost
Работает на Eserv/5.05555 (05.06.2016)