Сравнение версий

Old Version 4

changes.mady.by.user Irina Karpowa

Сохранено

по сравнению с

New Version 5

changes.mady.by.user Irina Karpowa

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Formatting was changed.

...


192.168.0.100 ACTIVEDIRECTORY.COMPANY.LOCAL ACTIVEDIRECTORY

(Замечание: Пожалуйста, замените ACTIVEDIRECTORY.COMPANY.LOCAL действительным полным доменных именем вашего сервера Active Directory!!! Если вы этого не сделаете, то вы продожите получать ошибку Сервер не найдет (Server Not Found In Kerberos Database) в базе данных Kereberos. Эта ошибка появится только в файле debug.log). 

Server Not Found In Kerberos Database

В вашем файле hosts вы host file, you must substitute ACTIVEDIRECTORYвы должны заменить ACTIVEDIRECTORY.COMPANY.LOCAL ACTIVEDIRECTORY" with the fully qualified domain name of your действительным полным доменных именем вашего сервера Active Directory Server. For instance, you server may be called AD01 and your company HITECHINC. In which case, you would add the following to your hosts file:К примеру, если ваш сервер называется AD01, а ваша компания HITECHINC, то ввести в файл hosts вам нужно такую строку: 

192.168.0.100 HITECHINC.LOCAL AD01In the Архива email archiving server Configuration screen you will want to specify the following in Active Directory configuration settings:

В архивном сервере MailArchiva, на экране Настройка укажите следующие настройки Active Directory: 

Kerberos Server: ad01.hitechinc.local:88 LDAP Server Address: ad01.hitechinc.local:389The important point is that the fully qualified name of your AD controller must correlate exactly to the name of the server

registered in Active Важно, чтобы полное доменное имя контроллера AD соответствовало имени сервера, зарегистированного в Active Directory.

KDC and LDAP Address must be fully qualified domain names
Ensure that your KDC and LDAP address is fully qualified (e.g. и LDAP адреса должеы быть полными доменными именами. 
Проверьте, что ваши KDC и LDAP адреса - это полные доменные имена (к примеру, activedirectory.company.com)
Do not use the short name or ip adresss of the server
You must use the fully qualified name when logging in
You login using john@company.com, not just john.
There is clock skew between the AD controller and the Архива server
The time need to be exactly the same between these machines.
Password is incorrect
You entered an incorrect password when testing the account.
Server unable to reach the AD controller
Drop into a DOS prompt and ping the AD server using the fully qualified domain name. i.e. typeНе используйте сокращения или ip-дрес сервера. 
При авторизации используйте полное доменное имя. 
При авторизации используйте полную учетную запись пользователя, например, john@company.com, а не просто john.

Разное время установлено на AD контроллере и сервере Архива

На обеих машинах должно быть установлено одинаковое время.

Неверный пароль

Вы ввели неверный пароль при тестировании учётной записи. 

Сервер не может установить связь с AD-контроллером

Переключитесь в режим командной строки DOS и попробуйте "попинговать" AD-сервер используя полное доменное имя, т.е. напечатайте следующее:
ping ACTIVEDIRECTORY.COMPANY.LOCAL
Firewall blocking ports 88 and 389 
Enable ports 88 and 389 on your firewall. It is a good idea to shutdown your firewall while testing (if you are having real problems)
Wrong Base DN
Make sure you are using the correct Base DN. No quotes needed. Change to
Брандмауэр или антивирус блокируют порты 88 и 389

Разрешите порты 88 и 389 в вашем брандмауэре (антивирусе). Так же хорошо отключить антивирус/брандмауэр во время тестирования (если у вас серьёзные проблемы).

Неверная база DN

Убедитесь, что вы используете правильную Базу DN (Base DN, отличительное имя расположения в AD, где Архива должны начать поиск). Кавычки не требуются. Используйте: DC=company, DC=com. It does not need to be any more complicated than that.
No Roles Are Assigned
Don't forget to create a role assignment for your test user. If a role is not assigned to a user, then you wont be able to perform a Test login for that user.
No support for encryption type
When atttempting to authenticate against a Windows 2008 server, you might receive the message "no support for encryption type" or something equivalent. To maintian backward compatibility against older AD controllers, by default, Архива uses DES encryption for kerberos authentication. This is not compatible with Windows 2008 server which uses AES as the default encryption type.
The easiest way to get Архива to authenticate is to enable DES authentication in individual AD accounts. From the AD console, select user properties, select Account tab and select Это не должно выглядеть сложнее. 

Роли не назначены

Не забудьте назначить роль для тестовой учетной записи пользователя. Если ни одна роль не назначена, вы не сможете пройти пробную авторизацию для этого пользователя. 

Данный тип шифрования не поддерживается

При поптыке авторизации на сервере Windows 2008 вы можете получить сообщение "данный тип шифрования не поддерживается" (англ. no support for encryption type) или что-то похожее. Для того чтобы соблюсти обратную совместимость с более ранними версиями AD-контроллеров, для kerberos-авторизации Архива использует по умолчанию DES-шифрование. Оно не совместимо с Windows 2008 сервером, который по умолчанию использует алгоритм шифрования AES.    

Самый простой способ настроить Архива для авторизации - разрешить DES-аутентификацию в персональных учетных записях AD. В AD консоли выберите Свойства пользователя, выберите вкладку Учетная запись и там выберите "Use kerberos DES encryption types for this account" (рус.
Alternatively, it is possible to enable AES encryption in Архива by creating a file called kr5.conf with the following:
 

...

Использовать тип шифрования kerberos DES для данной учетной записи).   

Другой способ - включить AES-шифрование в  MailArchiva, создав файл kr5.conf со следующим содержанием: 

Code Block
[libdefaults]


default_tkt_enctypes = aes256-cts

...



default_tgs_enctypes = aes256-cts

...



permitted_enctypes = aes256-cts

...

 


Сохраните файл krb5.conf in в /usr/local/mailarchiva/server/webapps/mailarchiva/WEB-INF/conf (на Linux)
cили в c:\Program Files\MailArchiva\Server\webapps\mailarchiva\server\WEB-INF\conf (на Windows). 

...

Решение сложных проблем Active Directory

...

 

  1. First off, please reboot the server and try again before following these advanced instructions. Sometimes it takes a reboot to sort a Kerberos problem out.
  2. Stop the Server
  3. Enable DEBUG logging in the ServerLog
  4. Start the Server from the DOS console (to do this in Windows, run the following exe Прежде всего перезагрузите сервер и попробуйте все приведенные выше инструкции ещё раз. Иногда для решения проблем с Kerberos требуется перезагрузка.  
  5. Остановите сервер. 
  6. Включите опцию Отладка (DEBUG) в Логах в ServerLog. 
  7. Запустите сервер из DOS-консоли (в Windows запустите следующий exe-файл: C:\Program Files\MailArchiva\Server\bin\MailArchivaServer.exe)
  8. From the На экране Настроек (англ. Configuration Screen in the ) в Email Discovery and и Консоли администратора (англ. Administration Console, click the Test Login button in the AD configuration
  9. Examine both the Console Output and Debug Log (kerberos protocol handshake information should be outputted to the console)
  10. Check out Jaas Kereberos Troubleshooting to solve your problem.

...

 

...

  1. ) кликните по кнопке Test Login в настройках АD. 
  2. Просмотрите вывод консоли и логи отладки (информация о kerberos protocol handshake должна быть показана в выводе консоли). 
  3. Проверьте Jaas Kereberos Troubleshooting для решения ваших проблем. 


LDAP аутентификация

 

Пользователь не найден из-за несовпадения UID

Архива не может найти логин пользователя, так как ваш uid не включает домен (к примеру, "@company.com"), а вы ошибочно указали по умолчанию домен логина. По умолчанию домен логина должен оставаться незаполненным (пустое поле), если ваш uid не включает в себя имя домена.