што?

Если других вариантов не видишь

не понял какое приложение

Log on to это у тебя в AD есть?

Или на клиенте

ну да. в свосйствах каждого юзера

в AD конечно причем тут клиент)

типа такого

https://knowledge.zomers.eu/PowerShell/PublishingImages/PowerShell-ADSI-UserAccountControlFlags-ObjectProperties.png

но всем юзерам это замахаешься настраивать, думал решу с помощью груп полиси - в полиси для домен контроллера указал что можно делать Log on доменной группе - но не пашет. все равно не логинится

Сделай через powershell добавление такого параметра

я думал.. но потом новый юзер приедет. да и не по джедайски. должна работать полиси

короче костылей не хочу. буду разбираться дальше спасибо

Скажу сразу что у тебя изначально такого быть не должно

Ты по какой доке делал

извини, но какого быть не должно?

Такого рода проблема

да этих док полно же. например вот

http://kyrych.ru/jabber/83-ustanovka-openfire-3-10-na-centos-7

насчет "не должно" - не уверен. это же не косяк опенфайра. так работает АД если запрещено логинится то и ауч от клиента не пройдет.

точнее это так работает оперфайр, что ему надо чтобы проходил ntlm auth

насчет "не должно" - не уверен. это же не косяк опенфайра. так работает АД если запрещено логинится то и ауч от клиента не пройдет.

Косяк так косяк, ничем помочь не могу

И лучше читай официальную доку

спасибо

У тебя лес?

не. один домен и все

Учетка должна принадлежать домену

Это поле не активно.

не понял. какое поле

Не активно по умолчанию.

ты про настройку Log on на закладке Account в настройках юзера?

и если в свойствах client есть на вкладке Log on to имя домен контроллера - то можно залогинится. а если нет - то нет.

Там не имя домен контролёра. А к примеру domain.ru

Да

при создании нового юзера в домене, ясное дело, что в этой настройке пусто сразу

Можешь скрин показать?

Там не может быть пусто

но у меня для существующих юзеров, уже по другим причинам там стоят названия других серверов.

Учетке надо логиниться в каком-то домене.

Он должен быть указан.

Можешь подробнее описать что ты делаешь?

конечно..

я наверное на марсианском выше понаписывал))

вот это есть учетка доменного юзера

и если в Log On to НЕ указать имя контроллера домена - то Psi не логинит в оpenfire

если добавить - то логинит

если стоит значение по умолчанию - All computers - то тоже логинит

надеюсь теперь стало понятней)

Ну вот, пользователи могут логиниться в домене, но также пользователи могут логиниться на определенных ПК.

да и именно так мне и надо - чтобы могли логиниться только на определенных компах

А зачем такое(пользователь может логиниться на определенных ПК)?

а опенфайр, при настройке и подключении к домену - требует указать имя и LDAP путь к домену контроллера.

ну надо.. чтобы не шароебились на чужих компах для начала

и неявный запрет на логин на терминал сервера некоторые

Так пусть широебятся, домен же для этого.

бля

не годится)

а опенфайр, при настройке и подключении к домену - требует указать имя и LDAP путь к домену контроллера.

И на этом шаге у тебя что?

да все ok же. у тех у кого нету таких запретов - все работает как надо.

а у тех у кого есть не работает.

более того - у меня почти все с такими настройками. у кого нет - еще будут добавляться.

поэтому считай для всех эт актуально. и как я уже говорил - для всех юзеров руками прописывать там имя домен контроллера - это плохая идея. ибо для такого есть group policy/ но оно как раз и не пашет почемуто..

Где там прописывать?

Попробуй сервер с опенфаер загнать в домен и к нему добавить всех пользователей АД.

на скрине же вроде все видно. в поле computer name пишешь имя сервера и жмешь Add

так.. харош..

?

ну ты совсем хрень какуюто несешь

?!

нафига мне centos еще в домен вводить?

попробуй... пробовать не надо. делать или не делать

Ну к примеру чтобы логиниться под доменной учеткой в centos.

но зачем мне это?)

я поставил там Openfire, настроил в нем LDAP пjдключение к моему виндовому домену и забыл о центосе.

проблема то не в опенфайре

Философия домена Виндоус, каждый пользователь может работать за любым ПК.

а в том, как он работает с лдапом.. через сраный ntlm/ и какойто свой закрытый модуль для AD. настраивается он один раз, указать надо только DC DN домена и авторизовать через псевдоюзера, у котого права на чтение - это по дефолту у всех юзеров

короче.. ты похоже совсем не в теме. спасибо за помощь..

философ)

Можно убрать странный ntlm, и использовать модный kerberos.

короче.. ты похоже совсем не в теме. спасибо за помощь..

Не за что, если что обращайтесь.

хз.. тут уже я не копенгаген.. настройка то эта на этапе конфигурирования опенфайра только есть

ну надо.. чтобы не шароебились на чужих компах для начала

хуже фашистов

В 2017 люди настраивают опенфайр в домене, поддержку которого писали лет 10 назад левой пяткой...

угу

На этапе того, что он хочет ntlm - можно сразу закрывать вопрос

ok

к слову там все таки не ntlm а ldap

javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090400, comment: AcceptSecurityContext error, data 531, v1db1^@] at com.sun.jndi.ldap.LdapCtx.mapErrorCode(LdapCtx.java:3154) at com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:3100) at com.sun.jndi.ldap.LdapCtx.processReturnCode(LdapCtx.java:2886) at com.sun.jndi.ldap.LdapCtx.connect(LdapCtx.java:2800) at com.sun.jndi.ldap.LdapCtx.<init?LdapCtx.java:319) at com.sun.jndi.ldap.LdapCtxFactory.getUsingURL(LdapCtxFactory.java:192) at com.sun.jndi.ldap.LdapCtxFactory.getUsingURLs(LdapCtxFactory.java:210) at com.sun.jndi.ldap.LdapCtxFactory.getLdapCtxInstance(LdapCtxFactory.java:153) at com.sun.jndi.ldap.LdapCtxFactory.getInitialContext(LdapCtxFactory.java:83) at javax.naming.spi.NamingManager.getInitialContext(NamingManager.java:684) at javax.naming.InitialContext.getDefaultInitCtx(InitialContext.java:313) at javax.naming.InitialContext.init(InitialContext.java:244) at javax.naming.ldap.InitialLdapContext.<init?InitialLdapContext.java:154) at org.jivesoftware.util.JiveInitialLdapContext.<init?JiveInitialLdapContext.java:43) at org.jivesoftware.openfire.ldap.LdapManager.checkAuthentication(LdapManager.java:693) at org.jivesoftware.openfire.ldap.LdapAuthProvider.authenticate(LdapAuthProvider.java:119) at org.jivesoftware.openfire.auth.AuthFactory.authenticate(AuthFactory.java:197) at org.jivesoftware.openfire.net.XMPPCallbackHandler.handle(XMPPCallbackHandler.java:97) at org.jivesoftware.openfire.sasl.SaslServerPlainImpl.evaluateResponse(SaslServerPlainImpl.java:122) at org.jivesoftware.openfire.net.SASLAuthentication.handle(SASLAuthentication.java:340) at org.jivesoftware.openfire.net.StanzaHandler.process(StanzaHandler.java:182) at org.jivesoftware.openfire.nio.ConnectionHandler.messageReceived(ConnectionHandler.java:181) at org.apache.mina.core.filterchain.DefaultIoFilterChain$TailFilter.messageReceived(DefaultIoFilterChain.java:690) at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:417) at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:47) at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:765) at org.apache.mina.core.filterchain.IoFilterAdapter.messageReceived(IoFilterAdapter.java:109) at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:417) at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:47) at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:765) at org.apache.mina.filter.codec.ProtocolCodecFilter$ProtocolDecoderOutputImpl.flush(ProtocolCodecFilter.java:407) at org.apache.mina.filter.codec.ProtocolCodecFilter.messageReceived(ProtocolCodecFilter.java:236) at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:417) at org.apache.mina.core.filterchain.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:47) at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:765) at org.apache.mina.core.filterchain.IoFilterEvent.fire(IoFilterEvent.java:74) at org.apache.mina.core.session.IoEvent.run(IoEvent.java:63) at org.apache.mina.filter.executor.OrderedThreadPoolExecutor$Worker.runTask(OrderedThreadPoolExecutor.java:769) at org.apache.mina.filter.executor.OrderedThreadPoolExecutor$Worker.runTasks(OrderedThreadPoolExecutor.java:761) at org.apache.mina.filter.executor.OrderedThreadPoolExecutor$Worker.run(OrderedThreadPoolExecutor.java:703) at java.lang.Thread.run(Thread.java:748)

господа, возникла такая проблема.. при пересылке сообщения >150кб ejabberd 17.01 падает

подскажете как решить проблему

Посмотреть логи?

Логи и обновиться до 17.09

Братья по протоколу, накидайте годных конф по хак и Иб тематике