"Если вдруг открылся люк, не пугайся, это глюк!" (с) Если что-то работает не так, вы нашли ошибку или опечатку в программе — вам в этот раздел
Аватара пользователя
BulatM
Добрый день!
Установил новый сервер, пытаюсь прочитать список пользователей для импорта, выдает ошибки - на скриншотах
Вложения
mychat4.PNG
BindSimple: Transport encryption required.
mychat4.PNG (24.42 КБ) Просмотров: 66
mychat3.PNG
Connection reset by peer
mychat3.PNG (26.04 КБ) Просмотров: 66
Аватара пользователя
Андрей Раков
Добрый день.

Нужно посмотреть системный журнал ОС, почему домен не авторизовал вас через админку сервера. В ошибке сказано, что соединение разорвано, но причина неясна, тут помогут только системные протоколы.
Аватара пользователя
Алексей Пикуров
Дополню. Судя по первому сообщению, у вас используется шифрование для LDAP и вы правильно его включили. А вот вторая ошибка — вас отключил сервер 192.168.60.4. По какой причине — не сообщили. Значит, надо копать системный журнал Windows, вероятно.
Аватара пользователя
BulatM
Спасибо за ответы, это понятно куда копать. Просто это тестовый домен на Samba (пробовали http://www.univention.com и http://www.nethserver.org в качестве контроллера домена, windows-машины подсоединяются к домену) и как там смотреть логи пока не понятно, никаких попыток подключится даже не наблюдаем. Похоже никак не посмотреть, в чем затык ((
Аватара пользователя
Алексей Пикуров
В таком случае вам прямая дорога в службу поддержки этих продуктов.
Аватара пользователя
BulatM
Выяснилось, что зашифрованное подключение в контроллеру домена AD Windows 2012R2 также не устанавливается (вероятно, нужно предпринять дополнительные действия типа http://winitpro.ru/index.php/2014/10/02 ... r-2012-r2/ ).
Утилита ldp подключается к Samba4 AD контроллеру по незашифрованному порту 389, распознает следующее:
Код: Выделить всё
configurationNamingContext: CN=Configuration,DC=askt,DC=ru; 
currentTime: 04.12.2017 15:59:22 RTZ 2 (зима);
defaultNamingContext: DC=askt,DC=ru;
dnsHostName: dtc-ucs01.askt.ru;
domainControllerFunctionality: 4 = ( WIN2008R2 );
domainFunctionality: 4 = ( WIN2008R2 );
dsServiceName: CN=NTDS Settings,CN=DTC-UCS01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=askt,DC=ru;
forestFunctionality: 4 = ( WIN2008R2 );
highestCommittedUSN: 5477;
isGlobalCatalogReady: TRUE;
isSynchronized: TRUE;
ldapServiceName: askt.ru:dtc-ucs01$@ASKT.RU;
namingContexts (5): DC=askt,DC=ru; CN=Configuration,DC=askt,DC=ru; CN=Schema,CN=Configuration,DC=askt,DC=ru; DC=DomainDnsZones,DC=askt,DC=ru; DC=ForestDnsZones,DC=askt,DC=ru;
rootDomainNamingContext: DC=askt,DC=ru;
schemaNamingContext: CN=Schema,CN=Configuration,DC=askt,DC=ru;
serverName: CN=DTC-UCS01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=askt,DC=ru;
subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=askt,DC=ru;
supportedCapabilities (5): 1.2.840.113556.1.4.800 = ( ACTIVE_DIRECTORY ); 1.2.840.113556.1.4.1670 = ( ACTIVE_DIRECTORY_V51 ); 1.2.840.113556.1.4.1791 = ( ACTIVE_DIRECTORY_LDAP_INTEG ); 1.2.840.113556.1.4.1935 = ( ACTIVE_DIRECTORY_V61 ); 1.2.840.113556.1.4.2080 = ( ACTIVE_DIRECTORY_V61_R2 );
supportedControl (22): 1.2.840.113556.1.4.528 = ( NOTIFICATION ); 1.2.840.113556.1.4.841 = ( DIRSYNC ); 1.2.840.113556.1.4.319 = ( PAGED_RESULT ); 2.16.840.1.113730.3.4.9 = ( VLVREQUEST ); 1.2.840.113556.1.4.473 = ( SORT ); 1.2.840.113556.1.4.1504 = ( ASQ ); 1.2.840.113556.1.4.801 = ( SD_FLAGS ); 1.2.840.113556.1.4.801 = ( SD_FLAGS ); 1.2.840.113556.1.4.805 = ( TREE_DELETE ); 1.2.840.113556.1.4.1338 = ( VERIFY_NAME ); 1.2.840.113556.1.4.529 = ( EXTENDED_DN ); 1.2.840.113556.1.4.417 = ( SHOW_DELETED ); 1.2.840.113556.1.4.2064 = ( SHOW_RECYCLED ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1339 = ( DOMAIN_SCOPE ); 1.2.840.113556.1.4.1340 = ( SEARCH_OPTIONS ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 1.2.840.113556.1.4.1341 = ( RODC_DCPROMO );
supportedLDAPVersion (2): 2; 3;
supportedSASLMechanisms (3): GSS-SPNEGO; GSSAPI; NTLM;
 

Самое главное из этого, что в настоящем Windows-домене разрешены дополнительные SASL-механизмы: GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5; - один из них видимо Mychat и использует. Отсюда вопрос-предложение, можно заставить mychat-сервер использовать для получения списка пользователей механизм GSS-SPNEGO или GSSAPI, которые поддерживаются всеми доменами? Или, возможно нужен механизм, как подсунуть серверу mychat корневой самоподписанный сертификат контроллера домена.
Попробовал использовать чисто LDAP типа как советуют тут - создал специально пользователя с опцией simple authentication, но все равно не получается (пробовал много разных комбинаций c именем пользователя см. скриншот)
Вложения
mychat6.PNG
LDAP Errors
mychat6.PNG (25.92 КБ) Просмотров: 29
Аватара пользователя
Алексей Пикуров
На скриншоте у вас ерунда конечно, там надо имя домена и логин пользователя указать, а не параметры LDAP запроса крутить, мы не даём этой возможности здесь.
Отсюда вопрос-предложение, можно заставить mychat-сервер использовать для получения списка пользователей механизм GSS-SPNEGO или GSSAPI, которые поддерживаются всеми доменами? Или, возможно нужен механизм, как подсунуть серверу mychat корневой самоподписанный сертификат контроллера домена.

Не знаю, я этим вопросом не занимался.

Мы тестировали работоспособность только на Windows Server разных версий.

А что пишется в логах вашего LDAP сервиса при попытке подключения MyChat Server по LDAP?