Авторизация невозможна

Авторизация Active Directory (Архива v2.2 или выше)

Icon

Обновление: Архива v2.5 (или выше) обладает исправленной системой авторизации, которая вместо Kereberos использует NTLM v2 аутентификацию. Как часть процесса обновления предыдущих версий (таких как v2.3, v2.1, v2.0, OSE и других), настройки Active Directory прежних версий продукта должны быть переустановлены. Для более подробной информации смотрите Авторизацию.

LDAP атрибут должен быть указан при назначении роли Active Directory

Вы назначили роль, в которой отсутствует атрибут LDAP. Необходимо заново назначить данную роль.

Пользователь прошёл авторизацию, но его роль не определена

Авторизация прошла успешно, хотя пользователю не присвоена определенная роль. Вам нужно назначить соответствующую ему роль в Active Directory.

Авторизация пользователя невозможна: не найдена учетная запись

Отредактируйте файл server.conf, находящийся в C:\Program Files\MailArchiva\Server\webapps\ROOT\WEB-INF\conf\server.conf. Измените параметр "authentication.bind.attribute=UserPrincipalName" на "authentication.bind.attribute=sAMAccountName".

Пользователь не может увидеть собственные сообщения

Убедитесь, что почтовый атрибут (Email Attribute) в Active Directory установлен верно. Если вы используете MS Exchange, в поле атрибута должно быть задано proxyAddresses. Если вы используете другой почтовый сервер, может быть указано что-то другое, например, mail. В дополнение в качестве фильтра роли пользователя там может быть указано значение %email%.

Make sure that the mail attribute is correct. If you are using MS Exchange, it should be set to proxyAddresses. If you are using another mail server it may be something else. e.g. mail.
In addition there must be the value %email% in the user role filter.

Active Directory авторизация (v2.1 и более ранние версии) включая OSE)

Icon

Замечание: Следующие варианты решения проблем не подходят для Архива v2.5 и более новых версий.

Существует несколько причин, почему архивный сервер Архива не может авторизоваться с использованием Active Directory. Все они перечислены ниже:

Неверный домен в логине: krb Error 68

KDC_ERR_WRONG_REALM 68 Reserved for future use (зарезервировано для использования в будущем).

Неверный домен указан в учетной записи администратора или в учетной записи пользователя.
Решение: проверьте домен, указанный в учетной записи администратора (например, admin@business.local) или домен в учетной записи пользователя (например, user@smallbusiness.local).

Отсутствует строка в файле hosts

Или ваш DNS неверно настроен, или же вы запустили Архива в тестовой среде. В этих случаях необходимо добавить в файл hosts, чтобы помочь Архива разрешить Active Directory использовать полные доменные имена (FQDN). Для Архива 2.0 и более поздних версий, вам понадобится кликнуть по кнопке Добавить хост (Add To Hosts), для того чтобы автоматически добавить ip-адрес в файл hosts. Для OSE и более ранних версий EE, файл hosts обновляется автоматически, но иногда что-то может пойти не так и в файл добвится больше строк, чем требуется, что приведет к ошибке авторизации. В этом случае:

Удалите все строчки, созданные Архива, в файле hosts.
Добавьте IP-адрес, полное доменное имя (FQDN) и имя сервера, на котором запущена Active Directory в файлах c:\windows\system32 \drivers\etc\hosts file (Windows) или \etc\hosts (Linux) .

Вам необходимо добавить следующую строку (включая написанное ЗАГЛАВНЫМИ БУКВАМИ) в файл hosts на компьюетере, где запущен сервер Архива.

192.168.0.100 ACTIVEDIRECTORY.COMPANY.LOCAL ACTIVEDIRECTORY

(Замечание: Пожалуйста, замените ACTIVEDIRECTORY.COMPANY.LOCAL действительным полным доменных именем вашего сервера Active Directory!!! Если вы этого не сделаете, то вы продожите получать ошибку Сервер не найдет (Server Not Found In Kerberos Database) в базе данных Kereberos. Эта ошибка появится только в файле debug.log).

Server Not Found In Kerberos Database

В вашем файле hosts вы

host file, you must substitute ACTIVEDIRECTORY.COMPANY.LOCAL ACTIVEDIRECTORY" with the fully qualified domain name of your Active Directory Server. For instance, you server may be called AD01 and your company HITECHINC. In which case, you would add the following to your hosts file:

192.168.0.100 HITECHINC.LOCAL AD01

In the Архива email archiving server Configuration screen you will want to specify the following in Active Directory configuration settings:

Kerberos Server: ad01.hitechinc.local:88 LDAP Server Address: ad01.hitechinc.local:389

The important point is that the fully qualified name of your AD controller must correlate exactly to the name of the server registered in Active Directory.

KDC and LDAP Address must be fully qualified domain names
Ensure that your KDC and LDAP address is fully qualified (e.g. activedirectory.company.com)
Do not use the short name or ip adresss of the server
You must use the fully qualified name when logging in
You login using john@company.com, not just john.

There is clock skew between the AD controller and the Архива server

The time need to be exactly the same between these machines.

Password is incorrect

You entered an incorrect password when testing the account.

Server unable to reach the AD controller

Drop into a DOS prompt and ping the AD server using the fully qualified domain name. i.e. type:
ping ACTIVEDIRECTORY.COMPANY.LOCAL

Firewall blocking ports 88 and 389

Enable ports 88 and 389 on your firewall. It is a good idea to shutdown your firewall while testing (if you are having real problems)

Wrong Base DN

Make sure you are using the correct Base DN. No quotes needed. Change to DC=company, DC=com. It does not need to be any more complicated than that.

No Roles Are Assigned

Don't forget to create a role assignment for your test user. If a role is not assigned to a user, then you wont be able to perform a Test login for that user.

No support for encryption type

When atttempting to authenticate against a Windows 2008 server, you might receive the message "no support for encryption type" or something equivalent. To maintian backward compatibility against older AD controllers, by default, Архива uses DES encryption for kerberos authentication. This is not compatible with Windows 2008 server which uses AES as the default encryption type.

The easiest way to get Архива to authenticate is to enable DES authentication in individual AD accounts. From the AD console, select user properties, select Account tab and select "Use kerberos DES encryption types for this account".

Alternatively, it is possible to enable AES encryption in Архива by creating a file called kr5.conf with the following:

[libdefaults]

default_tkt_enctypes = aes256-cts

default_tgs_enctypes = aes256-cts

permitted_enctypes = aes256-cts
Save the krb5.conf in /usr/local/mailarchiva/server/webapps/mailarchiva/WEB-INF/conf (Linux)
c:\Program Files\MailArchiva\Server\webapps\mailarchiva\server\WEB-INF\conf

Troubleshooting Complex Active Directory Problems

First off, please reboot the server and try again before following these advanced instructions. Sometimes it takes a reboot to sort a Kerberos problem out.
Stop the Server
Enable DEBUG logging in the ServerLog
Start the Server from the DOS console (to do this in Windows, run the following exe C:\Program Files\MailArchiva\Server\bin\MailArchivaServer.exe)
From the Configuration Screen in the Email Discovery and Administration Console, click the Test Login button in the AD configuration
Examine both the Console Output and Debug Log (kerberos protocol handshake information should be outputted to the console)
Check out Jaas Kereberos Troubleshooting to solve your problem.

LDAP Authentication

Cannot find user due to UID mismatch

Архива cannot locate the user logging in since your uid's do not have the domain (e.g. "@company.com") appended to them and you have mistakenly specified a default login domain. The default login domain should be empty (blank) if your uid's dont have the domain name appended.