Поиск в GAL по LDAP (работает только под админом)
Добрый день всем!
Ситуация следующая - ZCS 7.2 (Open Source Edition). Авторизация позьзователей - Внешний AD.
Режим GAL - внутренний. Учётная запись для синхронизации GAL создана, имя источника данных для внутреннего GAL: users. Общий доступ к GAL пользователям предоставлен, через web-интерфейс и Zimbra Desktop GAL всем доступен.
Настраиваю поиск в GAL по LDAP на почтовых клиентах.
Указываю:
BaseDN: ou=people,dc=<домен>,dc=ru
BindDN: uid=<имя_пользователя>,ou=people,dc=<домен>,dc=ru.
И тут возникает казус - если в качестве имени пользователя указать учётную запись администратора, поиск работает. Если же любого другого пользователя - получаю resultCode: invalidCredentials (49).
В zimbra.log имею подтверждение:
send_ldap_result: com=4492 op=0 p=3
send_ldap_result: err=49 matched="" text=""
send_ldap_response: msgid=1 tag=97 err=49
Подозреваю, что не отрабатывает авторизация в AD, однако через web-интерфейс все авторизуются нормально, как по POP3, IMAP и SMTP.
Более того, поднимал точно такой-же сервер на тестовой машине, всё работало отлично.
Подскажите, где может быть собака зарыта.
Ситуация следующая - ZCS 7.2 (Open Source Edition). Авторизация позьзователей - Внешний AD.
Режим GAL - внутренний. Учётная запись для синхронизации GAL создана, имя источника данных для внутреннего GAL: users. Общий доступ к GAL пользователям предоставлен, через web-интерфейс и Zimbra Desktop GAL всем доступен.
Настраиваю поиск в GAL по LDAP на почтовых клиентах.
Указываю:
BaseDN: ou=people,dc=<домен>,dc=ru
BindDN: uid=<имя_пользователя>,ou=people,dc=<домен>,dc=ru.
И тут возникает казус - если в качестве имени пользователя указать учётную запись администратора, поиск работает. Если же любого другого пользователя - получаю resultCode: invalidCredentials (49).
В zimbra.log имею подтверждение:
send_ldap_result: com=4492 op=0 p=3
send_ldap_result: err=49 matched="" text=""
send_ldap_response: msgid=1 tag=97 err=49
Подозреваю, что не отрабатывает авторизация в AD, однако через web-интерфейс все авторизуются нормально, как по POP3, IMAP и SMTP.
Более того, поднимал точно такой-же сервер на тестовой машине, всё работало отлично.
Подскажите, где может быть собака зарыта.
Новости
 |
Ой, всё 10 Сен 2015 |
 |
Форум OSSPortal временно переведён в read-only 21 Июн 2015 |
 |
Релиз Alvex 2015.02 Community 07 Фев 2015 |
Вход в систему
Новые комментарии
Комментарии
22/10/2014 - 16:27
23/10/2014 - 07:09
В то же самое время, записи об авторизации при входе в web-интерфейс все на месте. Похоже, что OpenLDAP даже и не пытается авторизоваться в домене.
23/10/2014 - 10:14
23/10/2014 - 14:30
user
domain\user
user@domain
uid=user,dc=domain,dc=ru
Во всех этих вариантах никакого результата. Первый работает только с учёткой администратора (которая создавалась при первоначальной конфигурации). Такая-же учётка есть и в домене, но судя по всему, до авторизации в домене тут дело не доходит.
Также проверял поиск локально на сервере через ldapsearch, та же картина.
Могу предположить, что авторизация пользователей, заходящих через web-интерфейс и подключающихся по POP3/IMAP/SMTP, происходит как-то иначе и проблема именно с OpenLDAP. Воспроизводил ситуацию на тестовом сервере, где всё работало. Отличие лишь в том, что на рабочем серваке поднят также Squid с NTLM-авторизацией, а также SplitDNS через dnsmasq, возможно это как-то мешает, не пойму только как.
24/10/2014 - 15:22
28/10/2014 - 13:25
iptables работает, но никаких правил, запрещающих/перенаправляющих соединения с контроллером AD нет.