Евгения, ну конечно же пробую... =)))

В различных вариациях....

ldap_bind: Strong(er) authentication required (8)

Гугл транслейт меня смущает... Как почеловечнее перевести " The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection"?

(Сервер требует, чтобы привязки включали проверку целостности, если SSL \ TLS еще не активен в соединении)

389 порт тебе нужен

где по ОУ прописан пользователь?

в АД

Интересно, а в новогоднюю ночь тут тоже будут заббикс и проблемы его обсуждать? :) Хотя, если брать в учёт количество часовых поясов по РФии и близлежащих странах, то да

ты так говоришь, будто у айтишников есть жизнь

Он и есть...

ldap_initialize( ldap://ad01.pkb22.ru:389/??base )

Интересно, а в новогоднюю ночь тут тоже будут заббикс и проблемы его обсуждать? :) Хотя, если брать в учёт количество часовых поясов по РФии и близлежащих странах, то да

Естественно!)))

zabbix_admin

ты так говоришь, будто у айтишников есть жизнь

конечно есть

еще какая

Врать плохо, очень плохо

Врать плохо, очень плохо

конечно плохо, если врать

ты так говоришь, будто у айтишников есть жизнь

жизнь? что это?

жизнь? что это?

Я не играл на этом сервере

В общем по ошибке: " additional info: 00002028: LdapErr: DSID-0C090252, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1 " особо толком ничего не нагуглил... Я перевожу как: "если ssl\tls не используется, серверу требуется включить связь встроенной проверки"... Коряво но интуитивно что-то чувствуется... Полагаю что речь про AD... Но её трогать не охота, она работает... Значит надо указать какой-то параметр самому клиенту (ldapsearch).

В общем по ошибке: " additional info: 00002028: LdapErr: DSID-0C090252, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1 " особо толком ничего не нагуглил... Я перевожу как: "если ssl\tls не используется, серверу требуется включить связь встроенной проверки"... Коряво но интуитивно что-то чувствуется... Полагаю что речь про AD... Но её трогать не охота, она работает... Значит надо указать какой-то параметр самому клиенту (ldapsearch).

могу еще раз написать - нужен 389 порт.

В общем по ошибке: " additional info: 00002028: LdapErr: DSID-0C090252, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v1db1 " особо толком ничего не нагуглил... Я перевожу как: "если ssl\tls не используется, серверу требуется включить связь встроенной проверки"... Коряво но интуитивно что-то чувствуется... Полагаю что речь про AD... Но её трогать не охота, она работает... Значит надо указать какой-то параметр самому клиенту (ldapsearch).

мгу еще раз написать - укажите полностью путь в ОУ для пользователя zabbix_admin

порт 389, да... Путь к OU указать в "Имя для подключения (Bind DN)" ?

Интересно, а в новогоднюю ночь тут тоже будут заббикс и проблемы его обсуждать? :) Хотя, если брать в учёт количество часовых поясов по РФии и близлежащих странах, то да

Будет что-то типа этого: https://avatars.mds.yandex.net/get-pdb/224463/a786d82e-018f-43b8-88f9-2302bdaf58c0/orig

(извините за полотно)

порт 389, да... Путь к OU указать в "Имя для подключения (Bind DN)" ?

сюда написать

distinguishedName = CN=zabbix_admin,CN=Users,DC=pkb22,DC=ru

Это как в AD...

АД - какая ос?

2008R2

в каком режиме работает?

2008R2

И домен и хозяин операций...

Поправлюсь: и домен и лес...

FSMO то такое. они не играют роли

самим пользователем можно на комп в АД зайти?

Сейчас блокнотик от его имени открыл...

пароль спросил?

а сам сейчас под админом или под поьзователем? от его имени не показатель если под админом домена или ентерпрайза сидеть

скорее всего и пароль не спросило

и да

интересует версия php

php7.0

просьба проверить на 389 порту

636 будет требовать сертификат

ну или закинуть сертификат на сервер откуда запрос и возиться с CA

Заходил под учёткой... Заходит...

также надо отключить политикой такое

https://serverfault.com/questions/497562/ldap-cant-perform-an-authenticated-bind-windows-server-2008-r2-using-php-apac

В смысле на виндовой машинке в домене авторизовался как юзер "zabbix_admin"

Adjust Group Policy Settings Negotiate Signing (Network security: LDAP client signing requirements) No signing requirements (Domain Controller: LDAP server signing requirements) Result: Managed to bind successfully and when I enter the username or password incorrectly and it throws an 'Invalid credentials' as expected.

т.е. всё по честному, юзер рабочий..

ок, юзера исключили

проверить политики

При том что ldp.exe коннектится по 389 порту, от имени того же zabbix_admin с виндовой машинки.

я так понимаю машина в домене?

*да, машина в домене

Прочитал ссылочку, наверное настраивать ldaps не вариант сейчас, могу и домен уронить...

Сейчас буду GPO курить, что это за параметры и как бы они звучали на русском языке..

Прочитал ссылочку, наверное настраивать ldaps не вариант сейчас, могу и домен уронить...

лдапс настраивается только при наличии сертификатов

Сейчас буду GPO курить, что это за параметры и как бы они звучали на русском языке..

гугл в руки и вперед

направление я задал

просьба по результату отписать

и да. не править дефолтовую политику - только новой переопределять настройки

если что - я предупредил

Ок... Своевременно... Сейчас новую создам...

гут

Мулька в том что роль цетра сертификации (или как она там звучит обычно) не установлена, т.е. всё что касается CA для меня сейчас несколько затруднительно..

ERROR: S client not available

а вообще для всего такого нужен стенд с парой КД и парой клиентов

так сказать бест практис

Эт да... Но на стенд нужны деньги... =)

Денех как говорится нет, а развиваться надо..

какой на десктопе процессор и сколько памяти на рабочем компе?

думаю далее ясно что я скажу

(честно сказать мне может эта авторизация и не сдалась, всё равно я один кто в заббикс смотреть будет, но сама ситуация заела)

(честно сказать мне может эта авторизация и не сдалась, всё равно я один кто в заббикс смотреть будет, но сама ситуация заела)

то второй вопрос, да

16 ГБ ОЗУ, свободна половинка примерно, i5 4-х ядерный////

(честно сказать мне может эта авторизация и не сдалась, всё равно я один кто в заббикс смотреть будет, но сама ситуация заела)

ну и оставь локальную авторизацию заббикса, какие проблемы?

16 ГБ ОЗУ, свободна половинка примерно, i5 4-х ядерный////

виртуалбокс, hyper-v что угодно поставить локально и гонять на стенде все до применения в продуктиве

в виртуализации

пустой контроллер домена будеть жрать 1-1.5 ГБ памяти

но продуктив не уронишь и поймешь что и как работает

Нет, Евгения, так нельзя... Ровно такая же проблема у GLPI... Вангую, если после настройки GPO заработает Заббикс, заработает и GLPI... А там авторизация доменных юзеров ой как может пригодиться..

ипользуя снапшот можно со скоростью света (почти) возвращаться в исходное состояние при поломке чего-то

а продуктив спокойно работает

рекомендую в общем стенд

Нет, Евгения, так нельзя... Ровно такая же проблема у GLPI... Вангую, если после настройки GPO заработает Заббикс, заработает и GLPI... А там авторизация доменных юзеров ой как может пригодиться..

вот с GLPI ни разу проблем не было с доменной авторизацией...

вот с GLPI ни разу проблем не было с доменной авторизацией...

здесь вопрос в настройках домена, не софта

здесь вопрос в настройках домена, не софта

я понимаю. но не на всех работах я и АД админила, а вот GLPI и заббикс почти везде мои были всегда)

Александр, я всерьёз подумаю над Вашим советом, учтя лицензионную политику мелкомягких и пр. Может быть даже получится спереть под это дело другую машинку (тоже i5 и 16 ГБ).

Товарищи, я сам в шоке... Но АД пока лучше не трогать...

Александр, я всерьёз подумаю над Вашим советом, учтя лицензионную политику мелкомягких и пр. Может быть даже получится спереть под это дело другую машинку (тоже i5 и 16 ГБ).

у МС есть период ознакомления

можно ставить и не активировать

исо можно качать с оффсайта

Угу... И где-то видел даже рецепт его трёхкратного продления...

не надо рецептов

я понимаю. но не на всех работах я и АД админила, а вот GLPI и заббикс почти везде мои были всегда)

Сочуствую

И XEN чень хочется потрогать...

никто не мешает использовать nested virtualization

Сочуствую

чему? я давно ушла от виндов и АД))