Здравствуйте. Рассматриваем возможность использования MyChat в нашей корпоративной сети.

Я тестирую сервер MyChat версии 5.2.0, АД установлена на сервере Windows 2008 R2.

В статье "Руководство по установке и настройке MyChat в корпоративной сети с помощью групповых политик Active Directory в Windows 2008 R2" указана информация о необходимости установки на сервер Windows роли "службы АД облегченного доступа к каталогам AD LDS", а также о необходимости установки "экземпляра службы AD LDS"

Но в сервере MyChat я не нашел, где прописывается порт сервера AD LDS, на котором висит этот именованный экземпляр службы AD LDS.
Так ли необходима установка этой роли и установка отдельного "экземпляра службы AD LDS" ?

В моем случае роль сервера "службы АД облегченного доступа к каталогам AD LDS" на сервере Windows не установлена, но, тем не менее я все равно в сервере MyChat могу получить список пользователей с этого сервера для импорта методом "Из контроллера домена (LDAP)".
Может быть серверу MyChat достаточно службы LDAP на порту 389 и SSL 636 или службы глобального каталога LDAP на порту 3268 и SSL 3269 ?

Вопрос первый. По каким портам сервер MyChat пытается делать запрос LDAP? Где это настраивается?

Вопрос второй. Планируется ли внедрение возможности наложения фильтра на запрос в АД и указание области поиска (корня, с которого будет вестись поиск)?

Вопрос третий. По каким критериям при импорте пользователя определяется - новый это пользователь или изменение информации по существующему?

Вопрос четвертый. Возможна ли автоматизировать процесс модификации реквизитов пользователя на сервере MyChat на основании модификации реквизитов пользователя в АД ?

Вопрос пятый. Сейчас сервер MyChat не позволяет сохранить строку подключения к серверу LDAP. Можно ли с этим что-то сделать?

[Алексей Пикуров]

Здравствуйте.

Мы работаем по стандартному порту 389 (TCP). Это в MyChat Server не настраивается, не было нужды. Но я добавлю такую настройку на будущее, мало ли.

Вопрос второй. Планируется ли внедрение возможности наложения фильтра на запрос в АД и указание области поиска (корня, с которого будет вестись поиск)?

Да, планируется, мы сейчас занимаемся разработкой нормальной удалённой админки, там это будет. В начале 2014 года будут бета-версии.

Вопрос третий. По каким критериям при импорте пользователя определяется - новый это пользователь или изменение информации по существующему?

Сейчас - никак, просто выбирается пользователь и всё. Если такой логин уже импортирован в MyChat Server - то пользователь пропускается. Сделано для того, чтобы не потерять возможно изменённую информацию о пользователе, если её начали дополнять в MyChat. Формально - надо указать, можно "накатывать" поверху данные или нет, но это ещё предстоит сделать.

Вопрос четвертый. Возможна ли автоматизировать процесс модификации реквизитов пользователя на сервере MyChat на основании модификации реквизитов пользователя в АД ?

Пока что нет, но это будет, штука важная и я буду этим заниматься скоро.

Вопрос пятый. Сейчас сервер MyChat не позволяет сохранить строку подключения к серверу LDAP. Можно ли с этим что-то сделать?

Можно. Я сделаю сохранение последней выбранной строки (без указания пароля на подключение к домену). Сегодня выложу линк на обновление сервера, в этой теме.

Team lead
Чат со мной

Здравствуйте.
Не могли бы Вы уточнить необходимость создания на контроллере домена экземпляра службы AD LDS, как указано в статье.

Вопрос возник из-за того, что при установке экземпляра службы AD LDS необходимо указать пару TCP портов 50000-50001, 50002-50003 на и т.д, которых будет работать этот экземпляр, а сервер MyChat обращается в LDAP только по порту 389, как Вы указали ранее.

Но, с другой стороны, с установленным экземпляром AD LDS у меня получилось импортировать свойство "номер телефона" например, а сейчас, без AD LDS у меня телефоны не вытягиваются.
Не подскажете, где может быть проблема

[Андрей Раков]

Почитайте эту статью http://www.redline-software.com/rus/sup ... -part2.php и http://www.oszone.net/6175

AD LDS приходится занимать TCP порты 50000-50001 потому, что стандартные заняты, в случае его установки на контроллер домена.

Мы соединяемся по стандартным портам (389 и 636), хотя это, наверно, стоит тоже кастомизировать. При установленном AD LDS, запросы транслируются к нему для обработки.

Но, с другой стороны, с установленным экземпляром AD LDS у меня получилось импортировать свойство "номер телефона" например, а сейчас, без AD LDS у меня телефоны не вытягиваются.
Не подскажете, где может быть проблема

Это связано скорее всего с тем, что поля с данными могут иметь различные наименования (или механизмы взаимодействия), мы использует те, что регламентированы в AD LDS.

Live Chat со мной

Извините, но так и не появилась ясность.

Сервер MyChat использует АД в двух целях:
1. Импорт пользователей из АД
2. Авторизация пользователей с помощью учетной записи АД

Если в организации развернута АД, то каждый контроллер домена, хранящий АД (или часть АД) по умолчанию обслуживает запросы LDAP на порту 389 независимо от того, установлена на нем AD LDS или нет.

Поскольку сервер при импорте пользователей подключается непосредственно к Контроллеру домена, по умолчанию способному обслуживать запросы LDAP, то AD LDS, работающий на других портах, ему совершенно не нужен.

В целях эксперимента я установил экземпляр AD LDS на рядовой сервер домена и при установке прописал порт 389. Указываю этот сервер в качестве источника при импорте пользователей - в нем ни одного пользователя нет.


P.S. Не могли бы Вы выложить текст запроса, которым сервер MyChat выбирает информацию из АД?





Сервер MyChat использует АД в двух целях:
1. Импорт пользователей из АД
2. Авторизация пользователей с помощью учетной записи АД

[Андрей Раков]

Я не большой специалист, чтобы доступно описать его суть, если это интересно - вы знаете где есть много информации...

Могу лишь объяснить так - если не установлена служба AD LDS, то по протоколу LDAP на порту 389 производятся проверки авторизации, а при AD LDS можно "достучаться" до различных данных, которые находятся "глубже".

Live Chat со мной