Здесь вы можете задать любые вопросы по MyChat, по работе программы, её настройке, лицензированию и т.д.
Аватара пользователя
Zipraider
Добрый день, есть вопрос по интеграции пользователей с AD в Mychat. Насколько я понимаю из AD можно вытащить только пользователей, при их интеграции они создают группы пользователей в Mychat, по типу - Андрей был в каталоге Admins, значит при интеграции в системе создаётся группа Admins в которую падает Андрей и аналогично с другими пользователями и каталогами.
Умеет ли Mychat забирать из AD сразу группы безопасности? как например Jabber, когда в AD можно было создать группу безопасности jab_pol, jab_admin и т.д, добавить в неё пользователей и Джаббер уже выстраивал списки основываясь на эти группы. Это полезно в том случае, что при заведении нового пользователя, в AD достаточно добавить его в нужную группу безопасности и он сразу отобразится в нужной группе Джаббера. [smilie=dance3.gif]
Аватара пользователя
Андрей Раков
Добрый день.

Нужно пояснение.

Вы хотите чтобы пользователи домена, которые находятся в некой группе безопасности "группа_админов", попадали в группу прав в чате?

Где в домене посмотреть эти группы безопасности и как они называются в LDAP, какой фильтр нужно делать?
Аватара пользователя
Zipraider
Так, для начала AD - окно с группой polic1, в которой присутствует 4 пользователя, каждый из них имеет разные группы безопасности и доступы. Но некоторые из них имеют группу безопасности jab_lab. (рис. окно домен).

Далее (рис. окно домен) сами группы безопасности Jab располагаются в корне домена, в данном случае domain.why.

Если рассмотреть пользователя External из первого скриншота, то можно увидеть, что у него нет никакой Jab группы, т.е в "болтушку" ни в один из каталогов он не упадёт. (рис. группы)

Другое дело обстоит с пользователем kdl2, он присутствует в группе jab_lab (рис. группы)

Если открыть OpenFire консоль, через веб мордочку, видно что она интегрировала Jab группы безопасности в себя, в каждой из них есть пользователи из AD (рис. Джаббер )

Если открыть любую из групп Jab можно будет увидеть следующее (рис. Джаббер)
Так же в этом рисунке можно посмотреть отображение в клиенте

Сейчас при открытии AD из Mychat я увидел все те же группы что и в AD, но никаких групп безопасностей, т.е каждого нового пользователя AD нужно будет вытаскивать руками в свою группу в Mychat.

p.s если бы при вытаскивании пользователей из группы Admin в AD в Mychat они сразу бы получали админские права Mychat был бы вообще шик)))
Вложения
Джаббер .png
Джаббер .png (175.56 КБ) Просмотров: 503
группы.png
группы.png (32.37 КБ) Просмотров: 503
окно домен.png
окно домен.png (77.29 КБ) Просмотров: 503
Аватара пользователя
Андрей Раков
Как я понял — вы хотите, чтобы мы создавали "группы пользователей" с названиями этих групп безопасности (или OU), чтобы вы потом могли на их основе создавать автосоздаваемые конференции и "вгонять" их.

Один пользователь домена может входить в несколько разных групп безопасности домена?

Просто наши группы прав подразумевают, что пользователь может находиться только в одной из них.
Аватара пользователя
Zipraider
Забыл добавить, все Jab группы естественно выдуманы, можно было их назвать хоть Леголасы [smilie=biggrin.gif] просто для понимания, для чего они созданы.
Аватара пользователя
Zipraider
Примерно да, например я создам группу безопасности Лаборатория и добавлю в неё 10 пользователей лаборатории, при этом может существовать каталог лаборатория в самом домене, и там может быть более 10 пользователей , но например кто-то из них неактивен и зачем они будут отображаться в mychat.

Да пользователи могут быть в нескольких группах безопасности, например один пользователь может иметь доступ на тот или иной сервер, другой нет.
Но например, если я в лабораторию добавлю Петра, но в тот же кабинет функциональной диагностики Петра я уже добавлять не буду, т.е этот Пётр не окажется в двух Джаббер групах.

Но OpenFire сейчас это позволяет.
Аватара пользователя
Zipraider
Просто я кажется понял в чём недопонимание, у вас OU - это название групп (обычных каталогов), т.е структура самого AD, но каждый пользователь внутри имеет группы безопасности, которые Mychat не видит.
Вложения
2.png
2.png (9.6 КБ) Просмотров: 499
Аватара пользователя
Андрей Раков
Напрашивается ключевой вопрос — какое отличие этих "групп безопасности" от OU, которые мы сейчас отслеживаем?

Почему вы не делите пользователей на OU?

Мы конечно можем добавить все о чем вы описали выше, но для этого нам нужно четкое понимание, что мы делаем и зачем.

Просто, достаточно добавить генерацию групп пользователей на основе OU и получим практически то же самое.
Аватара пользователя
Zipraider
Просто AD так работает, Группа OU не гарантирует доступ на серверы, это обычная папка, в которой лежат пользователи, все правила и доступы рулятся из групп безопасности. OU созданы для логичной и лаконичной структуры компании, например группа Buh через группы безопасности может иметь доступ только в один терминальный сервер и свою папку и больше никуда, группа Econ может работать аналогично, но главный экономист может например видеть ресурсы группы Buh. Всё это обеспечивается только группами безопасности, а не OU.

Так вот и суть всего треда, что можно создать группы безопасности в AD и подцепить их в Mychat, т.е название группы Mychat = название группы безопасности AD, а не OU. Профит в том, что добавление человека в AD в определённую группу безопасности автоматически отправит его в группу Mychat.

И дополнительно, например группа OU может назваться Policlinica, но как мы понимаем в поликлиники могут быть разные профильные подразделения, например та же лаборатория, как я понимаю, чтобы мне сейчас вытащить лабораторные компьютеры в отдельную группу чата, мне нужно либо создать OU лаборатория, либо что-то делать другое. В этом как раз и есть удобство выгрузки групп безопасности, а не сдёргивание пользователей из OU.
Аватара пользователя
Zipraider
"Почему вы не делите пользователей на OU?"

Мы делим, просто не делаем огромное количество OU папок, а разделяем всё через группы безопасности. И опять же в OU группах есть технические либо отключённые учётки, которые не должны отображаться в mychat, если делать выгрузку руками, то конечно можно их пропустить, но если выгружать прям всю группу автоматически, то все они будут туда валиться.
Аватара пользователя
Андрей Раков
Добрый день.

Zipraider писал(а):OU созданы для логичной и лаконичной структуры компании

Именно поэтому мы ориентируемся на OU, нам не важно что там не настроены какие-то права — главное правильно отобразить структуру компании.

Zipraider писал(а):Профит в том, что добавление человека в AD в определённую группу безопасности автоматически отправит его в группу Mychat.

Аналогично, при добавлении пользователя в OU.

В общем, сейчас мы точно не будем ориентироваться на другие группы пользователей домена, но формирование групп пользователей чата, но основе OU — добавим, чтобы можно было создавать конференции на их основе.