Можно детальнее, если не затруднит: в каком месте Digest, а в другом Kerberos? Ибо когда тестил, не натыкался на такие грабли.
obamo ( 2014-01-23 14:05:33 +0400 )редактироватьОт SIP абонентов пароль приходит в виде хеша MD5 от сложной строки, которая и называется Digest. Аутентификацию с AD можно сделать, только если включите в AD обратимое шифрование для паролей, что очень небезопасно.
Aven ( 2014-01-23 14:23:17 +0400 )редактироватьвы можете добавить в профиль пользователся в AD поле md5sipsecret и использовать его.
meral ( 2014-01-23 18:09:27 +0400 )редактироватьИ запретить смену пароля юзерам? По дефолту каждые 3 месяца обязательно :) Или есть способ заставить при смене пароля генерить и это поле?
Aven ( 2014-01-23 18:49:53 +0400 )редактироватьну смотря как вы пароли меняете. вообще это поле не обязано совпадать с паролем пользователя. есть ли тригеры в AD на изменение пароля - я не в курсе, я неработаю с windows системами
meral ( 2014-01-24 04:32:50 +0400 )редактироватьХорошо, допустим с паролями есть решение. А с нагрузкой как? На 500 абонентов. Меня вот это несколько беспокоит, realtime же типа. И там не AD, а openldap юзают.
obamo ( 2014-01-24 05:25:41 +0400 )редактироватьну так AD не должен проседать от запроса пароля раз в несколько минут на пользователя. он собственно для этого и создан. openldap обарщается к контролеру AD. вообще это все имеет смысл только с поднятым контролером домена и если политика компании четко пописана.
meral ( 2014-01-24 12:12:16 +0400 )редактировать