Доброго времени суток.
Недавно приобрели Вашу программу для организации. И сразу возникло несколько вопросов по интеграции с AD (ну или если еще не до конца разобрались то может быть подскажете как это можно устроить).

Суть в следующем. У нас есть основной домен и 21 дочерний домен (филиалы), т.е. в общей сложности 22 домена
Путем импорта пользователей из LDAP удалось выгрузить всех пользователей из всех доменов разом, однако информация о пользователях не полная (не выгружается ни почтовый адрес ни должность\отдел\адрес и тд), вообще говоря выгрузились только фамилия и имя. Пробовали делать аналогичную выборку через скрипт получилось тоже самое, однако в файле users.ad данные есть, а вот в программу они не попадают.
Хотелось бы знать в чем причина.

Также интересует возможность выбора нужных аттрибутов AD, либо возможность делать выборку в виде LDAP-запроса, для более гибкой настройки под нужды отдельной организации (изменение запроса в скрипте привело к ошибке в программе "Файл поврежден..."). Также как я понимаю выгрузка в конечном итоге получается разовая, т.е. сами по себе данные о пользователях (должность\телефон\адрес и тд) меняться будут только по мановению руки администратора. Все же было бы замечательно, если бы программа сама в реальном времени работала с базой AD.

Ну и второй основной вопрос это подготовка пакета Изза сложной доменной структуры установка клиентов на весь лес крайне проблематична, плюс к тому есть ряд внедоменных машин, на которые также нужна установка. Вообщем какой-нибудь деплоймент тул был бы просто неописуемо крутой примочкой (со встроенным msi конфигуратором, позволяющим подготовить пакет до его инсталяции, например включив ldap-аутентификацию, автозапуск клиента и прочее по умолчанию)

Если такая возможность есть подскажите как все это соорудить, если нет, то чем можно заменить.

[Алексей Пикуров]

Добрый день. Можете прислать файл экспорта на [email protected] ? Я посмотрю, почему не втягиваются дополнительные даные ваших пользователей.

Team lead
Чат со мной

[Андрей Раков]

Добрый день, у меня вопрос по поводу деплоймента, есть ли у вас пример такого msi пакета, чтобы посмотреть на него?

Дело в том, что я не полностью понимаю, что именно вам нужно?

Live Chat со мной

Ну примером может служить Radmin MSI Configurator, которая позволяет конфигурировать установочный пакет radmin, указывая там все необходимые настройки, включая сервер для активации, учетные данные для подключения, место установки, ип фильтры и тд. Т.е. берем базовый пакет и зашиваем в него нужные настройки.
А дальше при помощи Deployment Tool расставляем на все машины в сети этот пакет, при этом можно указать логин пароль для разных сегментов.

[Алексей Пикуров]

Ок, не в курсе такого инструмента, надо посмотреть его. Что насчёт файла экспорта?

Team lead
Чат со мной

Пока никак, не на работе сейчас, скорее всего завтра туда схожу. Есть такой инструмент Orca (http://support.microsoft.com/kb/255905) но он более многозадачный и у меня честно говоря не получилось найти нужные параметры в установщике клиента чата

[Алексей Пикуров]

Вышлите пожалуйста файл экспорта, мне нужно на него взглянуть.

Team lead
Чат со мной

Отправил файл

используйте Kaspersky Security Center для таких установок.
тем более, вкупе с самим касперычем - вы будете приятно шокированы открывающимися возможностями. Кстати, я являюсь оффициальный диллером касперского

[Алексей Пикуров]

Окей, получил ваш файл.

Вы пишете:

(не выгружается ни почтовый адрес ни должность\отдел\адрес и тд), вообще говоря выгрузились только фамилия и имя. Пробовали делать аналогичную выборку через скрипт получилось тоже самое, однако в файле users.ad данные есть, а вот в программу они не попадают.

А в каких атрибутах вы храните почтовый адрес? От должен быть в email. У вас там пусто.


Вот описание тех полей, которые мы втаскиваем:

описание полей, которые импортируются из ActiveDirectory:
---------------------------------------------------------
samid - логин
fn - имя
mi - инициалы, не импортируется
ln - фамилия
display - не импортируется
office - номер рабочей комнаты, офиса
tel - рабочий номер телефона (основной)
email - электронная почта
hometel - домашний номер телефона
pager - номер пейджера
mobile - номер мобильного телефона
fax - факс
iptel - номер IP телефона, не импортируется
webpg - домашняя web-страничка
title - должность
dept - подразделение, отдел
company - название компании
mgr - не импортируется
hmdir - не импортируется

Я так понимаю, вам нужен инструмент назначения соответствия ваших атрибутов (на вашем контроллере домена) - атрибутам в MyChat Server.

Можете перечислить список своих AD-полей, которые следует импортировать и в которых есть данные ваших пользователей? Попытаемся придумать какое-то решение.

Team lead
Чат со мной

[Алексей Пикуров]

Да, и ещё.

Вы писали

(изменение запроса в скрипте привело к ошибке в программе "Файл поврежден...").

Можете заодно нам на [email protected] сбросить результат запроса и командную строку, с помощью которого вы хотели получить интересуемые данные?

Насчёт deployment tool идея интересная, правда соорудить такое, как у RAdmin, сильно быстро не получится. Надо поработать, мы хотим сделать онлайн-конфигуратор.

Насчёт автоматической периодической синхронизации с Active Directory также работаем.

Team lead
Чат со мной

Это выгрузка пользователей только одного филиала там нет почтовых ящиков, однако поля "Отдел" и "Организация" заполнены у некоторых пользователей, но в чат всеравно не переносятся (поля dept и company)

Запрос:
dsquery user -name * -limit 0 | dsget user -samid -fn -mi -ln -display -office -tel -email -title -dept -company > users.ad

[Алексей Пикуров]

Окей, я понял вас, будем дорабатывать. Можете указать точно, какие поля у вас заполнены, кроме тех, которые у нас вытаскиваются из AD скриптом? Если вы будете вручную проставлять соответствия AD атрибутов - полям пользователей в MyChat.

Team lead
Чат со мной

Вообще интересуют следующие поля, в запросе они по большей части указаны, кроме адреса:
sAMAccountName (логин, samid)
company (компания, company)
department (отдел, dept)
displayName (фио, display)
l (город)
mail (почтовый адрес, email)
physicalDeliveryOfficeName (комната, office)
st (область\край)
streetAddress (улица)
telephoneNumber (телефон, tel)
title (должность, title)

Поднимаю обсуждение по причине полного завала

Уже третий месяц не можем наладить нормальную аутентификацию пользователей.
Наибольшая из проблем - систематизация и автоматизация обновления данных. Изменения состава и различных данных (телефон, отдел и тд) сотрудников вызывает необходимость переподгружать данные из AD и импортировать в чат. После этого у некоторых пользователей не происходит авторизация. Пользователей филиалов приходится добавлять вручную, потому что иначе авторизация вообще не идет, возможно не понимает что домен дочерний и ищет в основном.

Вообщем хотелось бы узнать не планируется ли всетаки ldap аутентификация?
Имеется ввиду, что пользователь домена запускает на своем компе клиент чата (который у него ничего не спрашивает, никаких логинов паролей, а просто стучится на сервер), а сервер получает от клиента данные о вошедшем пользователей, и если в домене пользователь есть и все с ним хорошо, то дает разрешение на вход.

Ну или на худой конец авторизация на уровне ОС (т.е. клиент чата берет данные о вошедшем пользователе и ищет такой логин на сервере, если логин есть то ок)

Вообщем интересует вариант, в котором пользователь минует авторизацию.

Помогайте а то у нас уже паника!

[Алексей Пикуров]

Планируется и то и другое, но пока мы заняты переделками сервера и клиента, переходим на новый открытый протокол, старый "тормозит" развитие и не позволяет реализовывать в нормальные сроки многие вещи.

LDAP аутентификация сейчас работает, вам только нужно втащить пользователя из AD на сервер, автоматической синхронизации данных в MyChat Server с AD пока нет.

Автоматическая аутентификация - проблема. Совершенно неясно, как сервер чата будет проверять "на лету" - пускать юзера или нет. Доменов может быть много, доступ к ним вообще может быть закрыт со стороны сервера MyChat.

Мы планируем сделать несколько вариантов аутентификации клиента, с выбором в настройках, как именно это делать, но пока этого нет.

Team lead
Чат со мной

Вообщем-то схитрили, взяли кусок реестра от установленного под доменную аутентификацию чата и подсунули к обычной установке. И чат произвел автовход под залогинившимся пользователем.

Остался только вопрос с выгрузкой данных из ад
Не выгружаются все параметры кроме фамилии и имени
WinServ 2003 R2
Что делать?

[Андрей Раков]

Почему схитрили? Чат изначально знает один вид авторизации - стандартный, по уину и паролю, чтобы четко определить, что нужна доменная авторизация - добавляется информация о домене в реестр. В результате чат авторизуется под учетной записью пользователя.

"Не выгружаются все параметры кроме фамилии и имени", опишите, пожалуйста, в каких полях хранится информация, которую вы пытаетесь выгрузить.

Live Chat со мной

Так они выше уже расписаны и даже файл с данными подгружали
sAMAccountName (логин, samid)
company (компания, company)
department (отдел, dept)
displayName (фио, display)
l (город)
mail (почтовый адрес, email)
physicalDeliveryOfficeName (комната, office)
st (область\край)
streetAddress (улица)
telephoneNumber (телефон, tel)
title (должность, title)

также есть еще поле middleName (отчество) в стандартных остнастках ад его нет, но можно дописать вручную

[Андрей Раков]

Тогда вам ничего не мешает выгрузить данные с этими полями, а потом заменить названия этих полей на соответствующие поля "понятные" для сервера чата (список полей указан выше в обсуждении).

Live Chat со мной

Так собственно в том и проблема, что при выгрузке данные в файле users.ad есть, а вот после экспорта в чат есть только фамилия и имя.
Про "заменить названия этих полей" не понял что имеется ввиду. Если выгружать прямо из каталога, выбрать какие-либо поля невозможно. Если же выгружать скриптом то используется стандартная команда, а там разумеется названия полей совпадают с теми что описаны выше.

[Алексей Пикуров]

Я так понял, вы поменяли в скрипте экспорта наши поля на свои и выгрузили файл.

Теперь, перед тем, как импортировать данные в майчат сервер, надо, чтобы эти заголовки полей соответствовали тем, что мы втаскиваем, иначе функция импорта просто их проигнорирует. Можете выслать нам файл экспорта, я гляну его, чтобы правильно проставить соответствия названия ваших полей к тем, что мы импортируем.

На [email protected]

Team lead
Чат со мной

нет, не менял, названия полей я вообще поменять не могу, это синтаксис команды. Если удалить часть из них (например адрес пейждера и тп), то файл вообще не принимается (пишет что файл поврежден). При выгрузке скриптом из каталога \doc\ActiveDirectory файл формируется и подгружается, но после импорта в чат переходят только поля логин, имя и фамилия. Сам файл не менял (том числе заголовки). Пробовал разные вариации кодировки (ansi, unicode, utf8). Вообщем какая-то мистика.

Сейчас сделал тестовое подразделение выгрузил файл с пользователями этого подразделения, однако все тоже самое. Файл отправил.

Сейчас заметил интересную вещь. Забил все пустые поля и снова выгрузил.
Значение из поля пейджер подгрузилось в поле почтового ящика у всех пользователей.
У одного пользователя значение mi подгрузилось в отчество. В поле домен у этого пользователя стоит имя домена, у других "Да" вместо имени домена. После того как одному из этих пользователей вписал имя домена произошла догрузка данных по следующей схеме:

Основное
Имя:имя
Отчество:инициалы
Фамилия:фамилия
Основной E-mail адрес:пейджер

Дом
Телефон:домашний телефон
Мобильный:мобильный телефон
Личная WWW-страница:название организации (должно быть в "Место работы")

Место работы
Офис:офис
Телефон:должность (при этом урезано до 20 символов)
Факс:факс
Пейджер:2013032618035.OZ (видимо дата выгрузки)
Дом, улица:почтовый адрес (который должен быть в разделе "Основное")
Штат /...:рабочий телефон (урезано до 20 символов)

Может быть ему не понятен файл? там вообще таблица собрана из кучи пробелов, возможно просто путается в том где какое поле?

[Алексей Пикуров]

Погодите, сейчас проверю тот файл, что вы прислали, потом отвечу.

Team lead
Чат со мной

[Алексей Пикуров]

В процедуре импорта через файл есть ошибка.

Втягивается корректно только имя, фамилия, отчество, отдел, факс и домашний номер телефона. Остальные поля - по разному. но, как правило, часто с ошибками, потому данные и игнорируются в конечном итоге (получаются пустые поля).

Будем править. Ну и, как вы просили, дорабатывать процедуру импорта через LDAP, чтобы можно было настроить, какие именно поля вытаскивать из вашего AD и каким назначать в MyChat.

Team lead
Чат со мной

Я так понимаю он читает по некоей заданной маске. При этом если выгрузить файл с определенным положением столбцов в заголовке, то данные выгружает по вышеописанной схеме, а если переставить данные в уже выгруженном файле, то при выгрузке подставляет куда нужно, правда имеется определенная длина строки. Так после редактирования в поле офис добавился еще pager и часть hometel.

pager - email
webpg - company
tel - title

Как поле tel грузится в "штат\область", поле email в "дом улица", и что вообще залезает такое в поле pager пока не разобрался. Очень жду решения, начальство уже весь мозг выело.

Плюс как я понял повторная выгрузка пользователей не обновляет занесенные данные, таким образом если выгрузить данные сейчас, в дальнейшем придется все обновления вносить вручную или перевыгружать полностью список и проставлять всем уины.

[Алексей Пикуров]

Повторная выгрузка не обновляет, а дополняет. Т.е. добавляет новых пользователей только. Данные тех пользователей, что уже импортированы, не обновляются.

Team lead
Чат со мной

[Алексей Пикуров]

Реализован импорт должностей и дерева групп (OU) из Active Directory, возможно, вам это будет полезно.

viewtopic.php?p=24796#p24796

Team lead
Чат со мной