Авторизация Active Directory

Здесь обсуждаются общие вопросы, связанные с программой.
edinorog
Сообщения: 47
Зарегистрирован: 14:12, 01.12.2013

Авторизация Active Directory

Сообщение edinorog » 18:29, 20.05.2016

Максим ... я вот тут на днях решил проапгрейдить лицензию до бизнеса .... и полез читать статью ... о том как же все то через AD замутить. И с диким ужасом, вот в этой статье http://www.commfort.com/ru/article-acti ... tall.shtml дохожу до момента
Отметим, что защита учетных записей паролем может быть как включена, так и отключена. Если она включена, то на клиентской стороне при регистрации сохранится хэш-код сгенерированного на сервере пароля. Таким образом, другой пользователь не сможет использовать это имя. Неудобство в том, что при переустановке ОС на клиенте или смене компьютера необходимо будет удалить учетную запись с сервера. Иначе повторная автоматическая регистрация будет невозможна из-за утери пароля. Вы можете отключить защиту паролем и тем самым избежать этого неудобства, но учетные записи окажутся не защищены от доступа со стороны других пользователей.
Чоооооо 0_о? Это шутка юмора? Может кто-то слышал о сквозной авторизации??????? Яркий тому пример это 1с. Где пользователю всего-лишь надо в операционной системе войти под своим логином. И программа автоматом запускает под учеткой. Может я что-то не так понял ... но что мешало сделать по человечески?

edinorog
Сообщения: 47
Зарегистрирован: 14:12, 01.12.2013

Re: Мы все очень сильно любим грабли?!) Или я слегка недопонял работу с AD?

Сообщение edinorog » 18:56, 20.05.2016

Я просто не могу понять. Какие такие неудобства могут быть при 1500 пользователях???? Когда иногда целыми отделами все переустанавливается. И не о каких доверенных отношениях там речи тоже не идет.

Maxim Mirgorodsky
Администратор
Сообщения: 6730
Зарегистрирован: 09:56, 27.06.2005
Благодарил (а): 1 раз

Re: Мы все очень сильно любим грабли?!) Или я слегка недопонял работу с AD?

Сообщение Maxim Mirgorodsky » 11:05, 21.05.2016

Сквозная авторизация AD невозможна в рамках текущего протокола и текущей системы авторизации CommFort'а. Для этого необходимо различие в отображаемом имени и учетной записи, а в CommFort'е такого различия нет, отображаемое имя является учетной записью (и в этом много своих плюсов). Сделать постарались максимально удобно при сохранении совместимости с текущими версиями и текущим протоколом. Пароль необходимо будет обнулить только при полной (чистой) переустановке системы с удалением всех настроек всех программ. Или при замене компьютера. При обновлении ОС пароль сбрасывать не нужно.

edinorog
Сообщения: 47
Зарегистрирован: 14:12, 01.12.2013

Re: Авторизация Active Directory

Сообщение edinorog » 18:59, 21.05.2016

Максим я не понял если честно. Кто мешал делать импорт в чат учетных записей из AD (к примеру ежесуточно или по требованию админа) и перенаправлять запрос на пароль от сервера к AD? Там даже не пришлось бы модифицировать протокол. Там всего-то нужно было научить сервак обращаться к AD. Опенсоурс решений как для гейта сервер - AD. так и для клиент - сквозная авторизация существует навалом. Либо вообще нафиг вынести авторизацию в AD в отдельный протокол(будем называть это так).

Maxim Mirgorodsky
Администратор
Сообщения: 6730
Зарегистрирован: 09:56, 27.06.2005
Благодарил (а): 1 раз

Re: Авторизация Active Directory

Сообщение Maxim Mirgorodsky » 15:17, 22.05.2016

Еще раз: суть проблемы - сама структура авторизации AD и CommFort'а. В AD есть понятие учетной записи, не связанной с отображаемым именем. В CommFort'е отображаемое имя является уникальной учетной записью. Единственное, что можно сделать без уничтожения системы авторизации CommFort'а (т.е. без введения отдельного идентификатора отвязанного от имени) - это включить учетную запись в отображаемое имя (сделать его частью или полностью заменить). Представьте, какая "красота" будет в списке пользователей. Если этого не сделать, то невозможно надежно защитить учетные записи от доступа со стороны других пользователей (AD будет отвечать об успешной авторизации пользователей с одним отображаемым именем, но разными учетными записями). Задача решить эту проблему была поставлена и она успешно выполнена. Авторизация полностью автоматическая, не требует никаких действий от пользователя. Учетные записи содержат только отображаемое имя. Каждая учетная запись надежно защищена от доступа с другого компьютера. Единственный недостаток - при замене компьютера нужно удалить учетную запись администратору в панели администрирования CommFort'а для обнуления пароля.

edinorog
Сообщения: 47
Зарегистрирован: 14:12, 01.12.2013

Re: Авторизация Active Directory

Сообщение edinorog » 17:20, 22.05.2016

Ну вот ты упираешь на то что нужно чтото модифицировать ... допустим такой сценарий .... мы врубаем так называемую "сквозную авторизацию" на клиенте. Которая реализуется массой решений (опенсоурс и нет). И в рамках имеющегося протокола уходит логин-пароль на сервер. Сервер в свою очередь по стандартному протоколу проверяет связку и отправляет разрешение на коннект. создавая пользователя s.maksimov и ставя флаг в разделе пароля, о том что пароль находится в другой базе.

Я просто с трудом представляю ... во что превратится переустановка целого подразделения. Как потом все это буйство опять распихивать по каналам. Опять распределять права. А нука давай посмотрим с другой стороны. Есть понятие "статичный профиль". Это когда у юзверя нет возможности что-то свое создавать на компе. И после перезагрузки все уничтожается. тогда мне что делать с этой системой????

И вот у меня еще один вопросик в нагрузку. Почему коммфорт до сих пор не умеет переключатся в режим "мессенджера"? Графически. Вот посмотри на сотню другую корпоративных систем для общения. Почему до сих пор не реализована отвязка списка от окна чата? Или все дураки? Почему нельзя вынести каналы в отдельные "контакты". а список оставить так как есть?

edinorog
Сообщения: 47
Зарегистрирован: 14:12, 01.12.2013

Re: Авторизация Active Directory

Сообщение edinorog » 17:27, 22.05.2016

Перемещаемые пользовательские профили позволяют пользователям входить в систему на компьютерах домена, сохраняя параметры их профилей, чтобы пользователи, перемещающиеся среди множества компьютеров в организации, могли получать доступ непосредственно к своему профилю. В этом случае все пользовательские профили размещаются непосредственно на выделенном администратором сервере. Когда пользователь выполняет вход в систему и проходит проверку подлинности в Active Directory, пользовательский профиль копируется на локальный компьютер. Все изменения, которые пользователь вносит в свой профиль, локально записываются, а также копируются в профиль пользователя, хранящийся на сервере, и используются при следующем входе в систему. Если правильно указан путь к профилю для учетной записи пользователя домена и сервер доступен, то при выходе пользователя из системы копия его локального профиля будет сохранена как локально, так и в указанной папке на сервере. Соответственно, все свои параметры настройки и документы пользователя будут доступны ему вне зависимости от того, на каком компьютере он входит в систему. По умолчанию копия профиля также кэшируется на локальном компьютере. Если пользователь уже входил с текущего компьютера, то временная метка профиля на локальном компьютере сравнивается с временной меткой профиля в общем ресурсе NETLOGON. Эта временная метка используется для определения наиболее новых файлов в профиле. Если на сервере сохранен профиль новее, чем на локальном компьютере, весь профиль копируется с сервера. В том случае, если сервер недоступен, то пользователь получает копию перемещаемого профиля, сохраненного в локальном буфере. А если пользователь даже ни разу не входил в систему с данного компьютера, то для него создается новый профиль локального пользователя. И в первом и во втором случае, такой профиль называется временным, так как при выходе пользователя из системы этот профиль удаляется. Стоит обратить внимание на то, что начиная с операционной системы Windows Vista, структура папок профилей сильно изменилась и поэтому, в смешанной среде, вам следует тщательно спланировать реализацию перемещаемых пользовательских профилей.

Подобным образом организована работа и с обязательными профилями пользователя. Обязательные и перемещаемые профили совместно используются с целью создания для группы пользователей стандартизированной конфигурации рабочего стола с ограниченной функциональностью. Обязательные профили есть смысл использовать в следующем сценарии. Допустим, в вашей организации есть отдел, который выполняет идентичные операции с распространением групповых политик, которые ограничивают возможности персонализации рабочего стола. В этом случае есть смысл создать единственный обязательный пользовательский профиль для этой группы пользователей, конфигурацию которого пользователи не смогут изменить. Такому профилю, после создания и помещения в общий ресурс NETLOGON, следует переименовать получившийся NTUSER.DAT в NTUSER.MAN и назначить разрешения только для чтения, а затем отконфигурировать его в качестве перемещаемого профиля. В итоге, вносимые пользователем изменения профиля на профильном сервере не будут сохраняться.

http://www.oszone.net/13995/userprofiles1

edinorog
Сообщения: 47
Зарегистрирован: 14:12, 01.12.2013

Re: Авторизация Active Directory

Сообщение edinorog » 17:29, 22.05.2016

То есть в твоем решении .. при миграции юзверя на другой комп ... предположим домашний .. он получает ... ну назови сам что он получает ... а то блин не хочется плохие слова писать.

edinorog
Сообщения: 47
Зарегистрирован: 14:12, 01.12.2013

Re: Авторизация Active Directory

Сообщение edinorog » 17:33, 22.05.2016

Удалять кэшированные копии перемещаемых профилей.

Используя данный параметр, вы можете определить возможность сохранения копий пользовательского перемещаемого профиля на жестком диске при выходе из системы. Совместно со связанными с ним параметрами данной папки, этот параметр определяет стратегию управления пользовательскими профилями, которые расположены на удаленных серверах и определяют действия системы при длительном времени загрузки профиля. Как было сказано ранее, при выходе пользователя из системы производится сохранение перемещаемого профиля пользователя на локальный жесткий диск на исключение ситуации недоступного профильного сервера. При включенном параметре, все локальные копии удаляются, при этом оставляя перемещаемый профиль только на профильном или файловом сервере. В случае медленного подключения этот параметр должен быть отключен, так как он требует наличие локальной копии перемещаемого профиля.

http://www.oszone.net/14008

edinorog
Сообщения: 47
Зарегистрирован: 14:12, 01.12.2013

Re: Авторизация Active Directory

Сообщение edinorog » 17:35, 22.05.2016

То есть решение не готово к внедрению при типовых профилях. При путешествиях и смене компов. Хрня какая-то выходит не находишь?

edinorog
Сообщения: 47
Зарегистрирован: 14:12, 01.12.2013

Re: Авторизация Active Directory

Сообщение edinorog » 17:41, 22.05.2016

Идем дальше. Полностью отсутствует поддержка Snap Assist на винде. Что дико странно. Так как на работе у меня этим половина сотрудников пользуются.

Maxim Mirgorodsky
Администратор
Сообщения: 6730
Зарегистрирован: 09:56, 27.06.2005
Благодарил (а): 1 раз

Re: Авторизация Active Directory

Сообщение Maxim Mirgorodsky » 17:36, 23.05.2016

> Ну вот ты упираешь на то что нужно чтото модифицировать ... допустим такой сценарий .... мы врубаем так называемую "сквозную авторизацию" на клиенте. Которая реализуется массой решений (опенсоурс и нет). И в рамках имеющегося протокола уходит логин-пароль на сервер. Сервер в свою очередь по стандартному протоколу проверяет связку и отправляет разрешение на коннект. создавая пользователя s.maksimov и ставя флаг в разделе пароля, о том что пароль находится в другой базе.

Логин будет отображаемым именем. В этом все дело.

> Я просто с трудом представляю ... во что превратится переустановка целого подразделения. Как потом все это буйство опять распихивать по каналам. Опять распределять права. А нука давай посмотрим с другой стороны. Есть понятие "статичный профиль". Это когда у юзверя нет возможности что-то свое создавать на компе. И после перезагрузки все уничтожается. тогда мне что делать с этой системой????

Форсирование групп и каналов сохранится (потому что форсироваться могут и незарегистрированные пользователи). В крайнем случае можно не удалять, а только поменять пользователю пароль, данный пользователь должен будет ввести этот пароль только один раз.

> во что превратится переустановка целого подразделения

При любых обновлениях и переустановке Windows с сохранением данных программ ничего делать не придется.

> И вот у меня еще один вопросик в нагрузку. Почему коммфорт до сих пор не умеет переключатся в режим "мессенджера"? Графически. Вот посмотри на сотню другую корпоративных систем для общения. Почему до сих пор не реализована отвязка списка от окна чата? Или все дураки? Почему нельзя вынести каналы в отдельные "контакты". а список оставить так как есть?

Просьба для разных вопросов создавать разные темы.

> То есть в твоем решении .. при миграции юзверя на другой комп ... предположим домашний .. он получает ... ну назови сам что он получает ... а то блин не хочется плохие слова писать.

Все данные клиента по умолчанию в папке %APPDATA%, точно так же как и у любой другой программы для Windows. Так что если эта папка перемещается сторонними средствами, вместе с ней будут перемещаться и данные CommFort'а.

> Идем дальше. Полностью отсутствует поддержка Snap Assist на винде. Что дико странно. Так как на работе у меня этим половина сотрудников пользуются.

Для работы функций Windows требующих стандартной рамки (например Snap Assist) используйте графическую оболочку со стандартной рамкой (например графическая оболочка Touch). Еще раз: просьба придерживаться одной темы.

Ответить