Сравнение версий

Old Version 3

changes.mady.by.user Irina Karpowa

Сохранено

по сравнению с

New Version 4

changes.mady.by.user Irina Karpowa

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Formatting was changed.

...

Note

Обновление Архива v2.5 (или выше) обладает исправленной системой авторизации, которая вместо Kereberos использует NTLM v2 аутентификацию. Как часть процесса обновления предыдущих версий (таких как v2.3, v2.1, v2.0, OSE и других), настройки Active Directory прежних версий продукта должны быть переустановлены. Для более подробной информации смотрите Авторизацию

 

...

LDAP атрибут должен быть указан при назначении роли Active Directory 

Вы назначили роль, в которой отсутствует атрибут LDAP. Необходимо заново назначить данную роль.


Пользователь прошёл авторизацию, но его роль не определена 

Авторизация прошла успешно, хотя пользователю не присвоена определенная роль. Вам нужно назначить соответствующую ему роль в Active Directory.

Авторизация пользователя невозможна: не найдена учетная запись 

Отредактируйте файл server.conf, находящийся в C:\Program Files\MailArchiva\Server\webapps\ROOT\WEB-INF\conf\server.conf Change the parameter . Измените параметр "authentication.bind.attribute=UserPrincipalName" to  на "authentication.bind.attribute=sAMAccountName"
End user's cannot see their own emails
.   

Пользователь не может увидеть собственные сообщения

Убедитесь, что почтовый атрибут (Email Attribute) в Active Directory установлен верно. Если вы используете MS Exchange, в поле атрибута должно быть задано proxyAddresses. Если вы используете другой почтовый сервер, может быть указано что-то другое, например, mail. В дополнение в качестве фильтра роли пользователя там может быть указано значение %email%.

Make sure that the mail attribute is correct. If you are using MS Exchange, it should be set to proxyAddresses. If you are using another mail server it may be something else. e.g. mail.
In addition there must be the value %email% in the user role filter.

Active Directory

...

авторизация (v2.1

...

и более ранние версии) включая OSE)

...

Note

...

Замечание: Следующие варианты решения проблем не подходят для Архива v2.5 и более новых версий. 

Существует несколько причин, почему архивный сервер Архива не может авторизоваться с использованием Active Directory. Все они перечислены ниже: 

Неверный домен в логине: krb Error 68

KDC_ERR_WRONG_REALM 68 Reserved for future use Your service account login domain or user account login domain is incorrect.
Solution: Check the service account login domain (e.g. admin@business.local) or user login domain (e.g. user@smallbusiness.local)
There is a missing entry in the hosts file
Either your DNS is not configured correctly or you are running Архива in a test environment. In these cases, an entry needs to be added to your hosts file to help Архива resolve your AD by FQDN. In Архива 2.0 and greater, you may need to click the Add To Hosts button to automatically add the ip address info to the hosts file. For OSE and older versions of EE, the hosts file is updated automatically, however, sometimes it can go astray and add more entries than necessary causing authentication to fail. In this situation:
 

...

(зарезервировано для использования в будущем). 

Неверный домен указан в учетной записи администратора или в учетной записи пользователя. 
Решение: проверьте домен, указанный в учетной записи администратора (например, admin@business.local) или домен в учетной записи пользователя (например, user@smallbusiness.local).


Отсутствует строка в файле hosts  

Или ваш DNS неверно настроен, или же вы запустили Архива в тестовой среде. В этих случаях необходимо добавить в файл hosts, чтобы помочь Архива разрешить Active Directory использовать полные доменные имена (FQDN). Для Архива 2.0 и более поздних версий, вам понадобится кликнуть по кнопке Добавить хост (Add To Hosts), для того чтобы автоматически добавить ip-адрес в файл hosts. Для OSE и более ранних версий EE, файл hosts обновляется автоматически, но иногда что-то может пойти не так и в файл добвится больше строк, чем требуется, что приведет к ошибке авторизации. В этом случае:       

  1. Удалите все строчки, созданные Архива, в файле hosts. 
  2. Добавьте IP-адрес, полное доменное имя (FQDN) и имя сервера, на котором запущена Active Directory в файлах c:\windows\system32 \drivers\etc\hosts file (Windows) or или \etc\hosts (Linux) .

 You need add the following entry (WITH CAPITALS included) in the hosts file on the machine running the Архива server:

Вам необходимо добавить следующую строку (включая написанное ЗАГЛАВНЫМИ БУКВАМИ) в файл hosts на компьюетере, где запущен сервер Архива.  


192.168.0.100 ACTIVEDIRECTORY.COMPANY.LOCAL ACTIVEDIRECTORY

(NB: Please replace Замечание: Пожалуйста, замените ACTIVEDIRECTORY.COMPANY.LOCAL with the ACTUAL fully qualified domain name of your действительным полным доменных именем вашего сервера Active Directory server!!! If you do not do this, you will get Если вы этого не сделаете, то вы продожите получать ошибку Сервер не найдет (Server Not Found In Kereberos Database error. This error will only appear in your Kerberos Database) в базе данных Kereberos. Эта ошибка появится только в файле debug.log file)

Server Not Found In Kerberos Database
In your
В вашем файле hosts вы 

host file, you must substitute ACTIVEDIRECTORY.COMPANY.LOCAL ACTIVEDIRECTORY" with the fully qualified domain name of your Active Directory Server. For instance, you server may be called AD01 and your company HITECHINC. In which case, you would add the following to your hosts file:

192.168.0.100 HITECHINC.LOCAL AD01

In the Архива email archiving server Configuration screen you will want to specify the following in Active Directory configuration settings:

Kerberos Server: ad01.hitechinc.local:88 LDAP Server Address: ad01.hitechinc.local:389

The important point is that the fully qualified name of your AD controller must correlate exactly to the name of the server registered in Active Directory.

KDC and LDAP Address must be fully qualified domain names
Ensure that your KDC and LDAP address is fully qualified (e.g. activedirectory.company.com)
Do not use the short name or ip adresss of the server
You must use the fully qualified name when logging in
You login using john@company.com, not just john.

There is clock skew between the AD controller and the Архива server

The time need to be exactly the same between these machines.

Password is incorrect

You entered an incorrect password when testing the account.

Server unable to reach the AD controller

Drop into a DOS prompt and ping the AD server using the fully qualified domain name. i.e. type:
ping ACTIVEDIRECTORY.COMPANY.LOCAL

Firewall blocking ports 88 and 389 

Enable ports 88 and 389 on your firewall. It is a good idea to shutdown your firewall while testing (if you are having real problems)

Wrong Base DN

Make sure you are using the correct Base DN. No quotes needed. Change to DC=company, DC=com. It does not need to be any more complicated than that.

No Roles Are Assigned

Don't forget to create a role assignment for your test user. If a role is not assigned to a user, then you wont be able to perform a Test login for that user.

No support for encryption type

When atttempting to authenticate against a Windows 2008 server, you might receive the message "no support for encryption type" or something equivalent. To maintian backward compatibility against older AD controllers, by default, Архива uses DES encryption for kerberos authentication. This is not compatible with Windows 2008 server which uses AES as the default encryption type.

The easiest way to get Архива to authenticate is to enable DES authentication in individual AD accounts. From the AD console, select user properties, select Account tab and select "Use kerberos DES encryption types for this account".

Alternatively, it is possible to enable AES encryption in Архива by creating a file called kr5.conf with the following:
 

...