Авторизация в Openmeetings с учетной записью Active Directory

  • FreeBSD
Так как Openmeetings напрямую к AD не прикручивается, действовать будем через OpenLDAP.
Итак. Ставим из портов OpenLDAP Server версии не ниже 2.3, так как более младшие версии не могут прозрачно передавать неизвестную схему.

Читать дальше →

Чем отличается AD от "нормальных" LDAP каталогов?

Распространнным заблуждением является то, что Active Directory — вроде бы какой-то особый LDAP-сервер с присущими ему «волшебными» таинственно-проприетарными свойствами.
Вкратце скажу, что это не так: Active Directory вполне обычный LDAP-каталог, со своими плюсами и минусами и способы доступа к нему тоже вполне обычны.
Например, возьмём операцию BIND. BiND — это не только самый популярный DNS-сервер в мире от известной компании ISC, но ещё и операция аутентификации пользователя на LDAP-сервере, ассоциирующая его с тем или иным DN, либо же, в случае, если пользователь предпочёл оставаться инкогнито, он будет ассоциирован с таким всеобъемлющим понятием как «anonymous»
Читать дальше →

Порты контроллера домена

Список портов используемых Active Directory, необходимы для корректной работы клиента и контроллера домена:
UDP 88 — Авторизация Kerberos
UDP/TCP 135 — Операции контроллером домена и контроллером домена или клиентом и контроллером домена.
TCP 139 / UDP 138 — Репликация файлов между контроллерами домена.
UDP 389 — LDAP запросы к контроллеру домена.
TCP/UDP 445 — Служба репликации файлов
TCP/UDP 464 — Смена паролей Kerberos
TCP 3268,3269 — Доступ к глобальному каталогу.
TCP/UDP 53 — DNS запросы от контроллера домена к контроллером домена или клиента к контроллеру домена.
TCP 123 — NTP сервис синхронизирующий время
Для корректного функционирования Active Directory потребуется открывать на файрволе эти порты, если он установлен между клиентом и контроллером домена.
Если все порты открыты, а доступа к домену все равно нет, проверьте, возможно одно из устройств на пути от контроллера домена до клиента по умолчанию блокирует один из портов. Был подобный опыт с модемом от Zyxel.

Преобразование из objectSid (Active Directory) в sambaSID (Samba schema)

  • LDAP
echo -n 'AQUAAAAAAAUVAAAAW9a4vvY/d/dUSY8vWA0AAA==' | \
perl -MMIME::Base64 -0777 -ne 'my $a=decode_base64($_);
print "S-" . unpack("C",substr($a,0,1)) . "-" . unpack("C",substr($a,7,1));
for $l (0 .. unpack("C",substr($a,1,1))-1) { 
 print "-" . unpack("I",substr($a,8+$l*4,4));
};
print "\n";'


@настроение: перемен, мы ждём перемен!

Поиск по LDAP на Delphi

Последний на сегодня метод поиска по LDAP. Небольшая программа на Turbo Delphi 2006, без использования сторонних компонентов. Может искать по части ФИО пользователя, сворачиваться в трей, создавать письмо по клику на почтовый адрес. Все :)
Скриншот

Читать дальше →

[PHP] Поиск по LDAP в браузере

  • LDAP
Еще один скрипт поиска по LDAP с любого компьютера в сети. Скрипт написан на PHP. Не стал прикручивать в выдаче результата красивое оформление, если потребуется, его можно взять из доработанной версии этого же скрипта, который я выкладывал вчера.
А этот скрипт в браузере выглядит примерно так:
Читать дальше →

Поиск по LDAP в браузере с использованием jQuery

  • LDAP
Потребовался мне быстрый поиск по LDAP с любого компьютера в распределенной сети c возможностью выбора нескольких адресатов для отсылки письма. В итоге написал скрипт с использованием jQuery, который позволяет делать выборки из базы без перезагрузки страницы, манипулировать почтовыми адресами для отсылки. Выборку делает php программа, которая возвращает выборку данных в основной html документ. В итоге в браузере выглядит примерно так:
ldap search
Читать дальше →

Как снять ограничение на добавление больше 10 пользователей в домен.

Возникла ситуация, когда суппорт в районах загоняет пользовательские компьютеры в домен, но больше 10 добавить нельзя. Распишу последовательность действий как снять ограничение
Читать дальше →