Страница 1 из 1

Win7 Spark SSO

Добавлено: 2016-03-09 16:20:35
LordNicky
Доброго времени суток!

Проблема с работой SSO. Причем результаты экспериментов показывают какуюто лютую магию. Но по порядку. Сервер на Openfire, юзеров берет с AD. Все Win7, о которых пойдет речь в домене и пользователи соответственно тоже доменные. На моей машине с админской учеткой всё чудесно цепляется, разве что spark приходится запускать из под админа, чтобы он тикеты увидел. А дальше я просто перечислю имеющиеся факты.
1. По текущему доменному паролю входит без проблем с любой машины и с любым пользователем.
2. Если установить последний MIT Kerberos, то SSO работает, но только если отдельно жмакнуть в нем "get-tickets" и ввести пароль. При этом до получения новых, отображает полученные виндой вполне себе актуальные, билеты. Думал было в сторону того, что шифрование не то, выставил доменными политиками то, которое MIT получает. не помогло.
3. С моей машины на тестовом юзере и админе входит без проблем и с MIT Kerberos, и без оного. Причем из под админа в MIT билеты заново получать не требуется.
4. Все пользователи имеют перемещаемый профиль. Если отключить перемещаемость и больше ничего не трогать - SSO работает везде и у всех. Включаем - перестает работать. Разумеется при включении и выключении перемещаемости пользователь разлогинен. Машина одна и та же.
5. У 2-х из 5 пользователей SSO заработал на перемещаемом профиле сразу после настройки по инструкции.
6. Еще у одного заработал после переименования каталога для синхронизации на сервере. пользователи именованы по системе первая буква имени + фамилия, т.е. например vpupkin. Пробовали дописывать 1, 2 и 3, а также различные его комбинации - не помогло. Помогло только дописывание слова "test", т.е. каталог на сервере называется vpupkintest. Так заработало. У оставшихся двух юзеров такая схема не сработала.
7. Перед тем, как произвести действия из пункта 6, пробовал у вышеописанного юзера логиниться на другом компе, удалять профили, даже учетку пересоздавать - ничего не помогает.

Использую последние версии Spark и Openfire. Openfire установлен на FreeBSD. База в MySQL. У меня совершенно кончились варианты, как можно заставить SSO работать везде и куда еще можно копнуть. Настраиваю по инструкции

Код: Выделить всё

Configure Windows Spark clients for SSO + Kerberos.



1. Place a copy of the "krb5.ini" file we created on the Openfire server earlier in the Windows installation directory on your Spark client. Usually this is "C:\WINNT" or "C:\WINDOWS".


2. Add the following values to the Windows registry of all your Spark clients to allow Java to access the Windows Kerberos ticket cache:

On Windows 2000 SP4, Windows 2003 Server and later or Windows Vista:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Value Name: AllowTGTSessionKey
Value Type: REG_DWORD
Value: 1


On Windows XP SP2, SP3... :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos
Value Name: AllowTGTSessionKey
Value Type: REG_DWORD
Value: 1



3. Restart your Windows client machines for these changes to take effect.


4. Once the XP machine is back up, log onto the machine using a domain user account.


5. Start the Spark client. If you get any login errors ignore them for now.


6. Configure your Spark client and enable the SSO Login option on the SSO tab. On the SSO tab, Spark should report what username it will attempt to use when logging into the Openfire server. If it reports something about "Unable to find principal" then you've done something wrong. Go back to the "Configure Windows Spark clients for SSO + Kerberos" section of this document.

Win7 Spark SSO

Добавлено: 2016-03-09 22:55:43
dekloper
клиента сменить..

Win7 Spark SSO

Добавлено: 2016-03-09 22:58:49
LordNicky
pidgin пробовал, он вообще по gssapi печально работает, а миранду не хочу ибо под винду только - предпочитаю кроссплатформенные решения. я просто понять не могу - баг ли это, и если да, то кого дергать - мелкомягких или разрабов спарка?

Win7 Spark SSO

Добавлено: 2016-03-09 23:30:53
dekloper
но таки, юзера то всё равно под вражьими системами сидят..
в одной конторе меринду накатил - ссо запахало, к тому же и политиками удобственней деплоить..
а вот жаву хрен куда закатаешь, оно в реестрах не хранится, в этом долбаном байт-коде...
не перенощу жаву

зы. случаем, не в курсах, как принудительно запретить убирать галку в "архивации"? похоже гдето в зазипованном жавном отребье спрятано..

Win7 Spark SSO

Добавлено: 2016-03-09 23:38:58
LordNicky
да тут и контора то небольшая - можно и ручками поставить. просто не люблю зоопарк из клиентов разных. Плюс у Openfire + Spark есть свои плюшки) миранду кстати у глючных юзеров проверю интереса ради)

о какой архивации речь?

Win7 Spark SSO

Добавлено: 2016-03-10 11:35:11
dekloper
плюшки то есть, еслиб тока работали как положено..

зы. сервер->архивинг->архивинг_сеттинг (поставить все галки, чтоб все конверсаци на серваке в базу писались)
фишка в том что в админке их можно как поставить так и убрать, а надо чтоб "большому братику" было что почитать на досуге))

Win7 Spark SSO

Добавлено: 2016-03-13 15:26:14
LordNicky
dekloper, я бы предложил тебе посмотреть в сторону настроек в Сервер/Сервер манагер/систем сеттинг. там есть такие параметры, хранящиеся в базе:

conversation.idleTime
conversation.maxAge
conversation.maxRetrievable
conversation.maxTime
conversation.messageArchiving
conversation.metadataArchiving
conversation.roomArchiving
conversation.roomsArchived

Может, дабы не лезть в яву, проще заблокировать их изменение на уровне базы данных?

Win7 Spark SSO

Добавлено: 2016-03-30 0:03:20
Electronik
по этой доке пробовали?
https://community.igniterealtime.org/docs/DOC-2706

Win7 Spark SSO

Добавлено: 2016-04-01 13:20:28
LordNicky
Electronik, доброго времени суток!

посмотрел, там ничего нового нет. Сейчас с разрабами общаюсь, и я, и они пока не понимаем, почему происходит так, как происходит. https://community.igniterealtime.org/message/255984#