Win7 Spark SSO

Windows 95, 98, ME и 3,11; WinNT, Win2000, WinXP, Win2003, Vista, 7
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
LordNicky
рядовой
Сообщения: 36
Зарегистрирован: 2012-11-09 1:18:14

Win7 Spark SSO

Непрочитанное сообщение LordNicky » 2016-03-09 16:20:35

Доброго времени суток!

Проблема с работой SSO. Причем результаты экспериментов показывают какуюто лютую магию. Но по порядку. Сервер на Openfire, юзеров берет с AD. Все Win7, о которых пойдет речь в домене и пользователи соответственно тоже доменные. На моей машине с админской учеткой всё чудесно цепляется, разве что spark приходится запускать из под админа, чтобы он тикеты увидел. А дальше я просто перечислю имеющиеся факты.
1. По текущему доменному паролю входит без проблем с любой машины и с любым пользователем.
2. Если установить последний MIT Kerberos, то SSO работает, но только если отдельно жмакнуть в нем "get-tickets" и ввести пароль. При этом до получения новых, отображает полученные виндой вполне себе актуальные, билеты. Думал было в сторону того, что шифрование не то, выставил доменными политиками то, которое MIT получает. не помогло.
3. С моей машины на тестовом юзере и админе входит без проблем и с MIT Kerberos, и без оного. Причем из под админа в MIT билеты заново получать не требуется.
4. Все пользователи имеют перемещаемый профиль. Если отключить перемещаемость и больше ничего не трогать - SSO работает везде и у всех. Включаем - перестает работать. Разумеется при включении и выключении перемещаемости пользователь разлогинен. Машина одна и та же.
5. У 2-х из 5 пользователей SSO заработал на перемещаемом профиле сразу после настройки по инструкции.
6. Еще у одного заработал после переименования каталога для синхронизации на сервере. пользователи именованы по системе первая буква имени + фамилия, т.е. например vpupkin. Пробовали дописывать 1, 2 и 3, а также различные его комбинации - не помогло. Помогло только дописывание слова "test", т.е. каталог на сервере называется vpupkintest. Так заработало. У оставшихся двух юзеров такая схема не сработала.
7. Перед тем, как произвести действия из пункта 6, пробовал у вышеописанного юзера логиниться на другом компе, удалять профили, даже учетку пересоздавать - ничего не помогает.

Использую последние версии Spark и Openfire. Openfire установлен на FreeBSD. База в MySQL. У меня совершенно кончились варианты, как можно заставить SSO работать везде и куда еще можно копнуть. Настраиваю по инструкции

Код: Выделить всё

Configure Windows Spark clients for SSO + Kerberos.



1. Place a copy of the "krb5.ini" file we created on the Openfire server earlier in the Windows installation directory on your Spark client. Usually this is "C:\WINNT" or "C:\WINDOWS".


2. Add the following values to the Windows registry of all your Spark clients to allow Java to access the Windows Kerberos ticket cache:

On Windows 2000 SP4, Windows 2003 Server and later or Windows Vista:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Value Name: AllowTGTSessionKey
Value Type: REG_DWORD
Value: 1


On Windows XP SP2, SP3... :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos
Value Name: AllowTGTSessionKey
Value Type: REG_DWORD
Value: 1



3. Restart your Windows client machines for these changes to take effect.


4. Once the XP machine is back up, log onto the machine using a domain user account.


5. Start the Spark client. If you get any login errors ignore them for now.


6. Configure your Spark client and enable the SSO Login option on the SSO tab. On the SSO tab, Spark should report what username it will attempt to use when logging into the Openfire server. If it reports something about "Unable to find principal" then you've done something wrong. Go back to the "Configure Windows Spark clients for SSO + Kerberos" section of this document.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Win7 Spark SSO

Непрочитанное сообщение dekloper » 2016-03-09 22:55:43

клиента сменить..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

LordNicky
рядовой
Сообщения: 36
Зарегистрирован: 2012-11-09 1:18:14

Win7 Spark SSO

Непрочитанное сообщение LordNicky » 2016-03-09 22:58:49

pidgin пробовал, он вообще по gssapi печально работает, а миранду не хочу ибо под винду только - предпочитаю кроссплатформенные решения. я просто понять не могу - баг ли это, и если да, то кого дергать - мелкомягких или разрабов спарка?

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Win7 Spark SSO

Непрочитанное сообщение dekloper » 2016-03-09 23:30:53

но таки, юзера то всё равно под вражьими системами сидят..
в одной конторе меринду накатил - ссо запахало, к тому же и политиками удобственней деплоить..
а вот жаву хрен куда закатаешь, оно в реестрах не хранится, в этом долбаном байт-коде...
не перенощу жаву

зы. случаем, не в курсах, как принудительно запретить убирать галку в "архивации"? похоже гдето в зазипованном жавном отребье спрятано..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

LordNicky
рядовой
Сообщения: 36
Зарегистрирован: 2012-11-09 1:18:14

Win7 Spark SSO

Непрочитанное сообщение LordNicky » 2016-03-09 23:38:58

да тут и контора то небольшая - можно и ручками поставить. просто не люблю зоопарк из клиентов разных. Плюс у Openfire + Spark есть свои плюшки) миранду кстати у глючных юзеров проверю интереса ради)

о какой архивации речь?

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Win7 Spark SSO

Непрочитанное сообщение dekloper » 2016-03-10 11:35:11

плюшки то есть, еслиб тока работали как положено..

зы. сервер->архивинг->архивинг_сеттинг (поставить все галки, чтоб все конверсаци на серваке в базу писались)
фишка в том что в админке их можно как поставить так и убрать, а надо чтоб "большому братику" было что почитать на досуге))
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

LordNicky
рядовой
Сообщения: 36
Зарегистрирован: 2012-11-09 1:18:14

Win7 Spark SSO

Непрочитанное сообщение LordNicky » 2016-03-13 15:26:14

dekloper, я бы предложил тебе посмотреть в сторону настроек в Сервер/Сервер манагер/систем сеттинг. там есть такие параметры, хранящиеся в базе:

conversation.idleTime
conversation.maxAge
conversation.maxRetrievable
conversation.maxTime
conversation.messageArchiving
conversation.metadataArchiving
conversation.roomArchiving
conversation.roomsArchived

Может, дабы не лезть в яву, проще заблокировать их изменение на уровне базы данных?

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Win7 Spark SSO

Непрочитанное сообщение Electronik » 2016-03-30 0:03:20

по этой доке пробовали?
https://community.igniterealtime.org/docs/DOC-2706
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

LordNicky
рядовой
Сообщения: 36
Зарегистрирован: 2012-11-09 1:18:14

Win7 Spark SSO

Непрочитанное сообщение LordNicky » 2016-04-01 13:20:28

Electronik, доброго времени суток!

посмотрел, там ничего нового нет. Сейчас с разрабами общаюсь, и я, и они пока не понимаем, почему происходит так, как происходит. https://community.igniterealtime.org/message/255984#