Выяснилось, что зашифрованное подключение в контроллеру домена AD Windows 2012R2 также не устанавливается (вероятно, нужно предпринять дополнительные действия типа
http://winitpro.ru/index.php/2014/10/02 ... r-2012-r2/ ).
Утилита ldp подключается к Samba4 AD контроллеру по незашифрованному порту 389, распознает следующее:
Код: Выделить всёconfigurationNamingContext: CN=Configuration,DC=askt,DC=ru;
currentTime: 04.12.2017 15:59:22 RTZ 2 (зима);
defaultNamingContext: DC=askt,DC=ru;
dnsHostName: dtc-ucs01.askt.ru;
domainControllerFunctionality: 4 = ( WIN2008R2 );
domainFunctionality: 4 = ( WIN2008R2 );
dsServiceName: CN=NTDS Settings,CN=DTC-UCS01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=askt,DC=ru;
forestFunctionality: 4 = ( WIN2008R2 );
highestCommittedUSN: 5477;
isGlobalCatalogReady: TRUE;
isSynchronized: TRUE;
ldapServiceName: askt.ru:[email protected];
namingContexts (5): DC=askt,DC=ru; CN=Configuration,DC=askt,DC=ru; CN=Schema,CN=Configuration,DC=askt,DC=ru; DC=DomainDnsZones,DC=askt,DC=ru; DC=ForestDnsZones,DC=askt,DC=ru;
rootDomainNamingContext: DC=askt,DC=ru;
schemaNamingContext: CN=Schema,CN=Configuration,DC=askt,DC=ru;
serverName: CN=DTC-UCS01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=askt,DC=ru;
subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=askt,DC=ru;
supportedCapabilities (5): 1.2.840.113556.1.4.800 = ( ACTIVE_DIRECTORY ); 1.2.840.113556.1.4.1670 = ( ACTIVE_DIRECTORY_V51 ); 1.2.840.113556.1.4.1791 = ( ACTIVE_DIRECTORY_LDAP_INTEG ); 1.2.840.113556.1.4.1935 = ( ACTIVE_DIRECTORY_V61 ); 1.2.840.113556.1.4.2080 = ( ACTIVE_DIRECTORY_V61_R2 );
supportedControl (22): 1.2.840.113556.1.4.528 = ( NOTIFICATION ); 1.2.840.113556.1.4.841 = ( DIRSYNC ); 1.2.840.113556.1.4.319 = ( PAGED_RESULT ); 2.16.840.1.113730.3.4.9 = ( VLVREQUEST ); 1.2.840.113556.1.4.473 = ( SORT ); 1.2.840.113556.1.4.1504 = ( ASQ ); 1.2.840.113556.1.4.801 = ( SD_FLAGS ); 1.2.840.113556.1.4.801 = ( SD_FLAGS ); 1.2.840.113556.1.4.805 = ( TREE_DELETE ); 1.2.840.113556.1.4.1338 = ( VERIFY_NAME ); 1.2.840.113556.1.4.529 = ( EXTENDED_DN ); 1.2.840.113556.1.4.417 = ( SHOW_DELETED ); 1.2.840.113556.1.4.2064 = ( SHOW_RECYCLED ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1339 = ( DOMAIN_SCOPE ); 1.2.840.113556.1.4.1340 = ( SEARCH_OPTIONS ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1341 = ( RODC_DCPROMO );
supportedLDAPVersion (2): 2; 3;
supportedSASLMechanisms (3): GSS-SPNEGO; GSSAPI; NTLM;
Самое главное из этого, что в настоящем Windows-домене разрешены дополнительные SASL-механизмы: GSSAPI; GSS-SPNEGO;
EXTERNAL; DIGEST-MD5; - один из них видимо Mychat и использует. Отсюда вопрос-предложение, можно заставить mychat-сервер использовать для получения списка пользователей механизм GSS-SPNEGO или GSSAPI, которые поддерживаются всеми доменами? Или, возможно нужен механизм, как подсунуть серверу mychat корневой самоподписанный сертификат контроллера домена.
Попробовал использовать чисто LDAP типа как советуют т
ут - создал специально пользователя с опцией simple authentication, но все равно не получается (пробовал много разных комбинаций c именем пользователя см. скриншот)