[РЕШЕНО] Подключение адресной книги thunderbird к sambadc

[ApB]

Приветствую!

Попытался подцепить адресную книгу thunderbird к ldap с целью получения данных, но не получаю учётных записей. При попытке репликации (вкладка "автономно") получаю "ошибка репликации

Использую параметры подключения:

Имя сервера: dc.domain.zn
baseDN: DC=domain,DC=zn
порт: 3268 (также пробовал 389)
BindDN - использовал как пустое, так и текущего пользователя.

Фильтр поиска: mail=*

Не выводится ни одной учётки. Кто нить сталкивался с этой проблемой?

[Skull]

Какой смысл пробовать сервер, доступный по LDAPS, по порту LDAP?

[ApB]

Какой смысл пробовать сервер, доступный по LDAPS, по порту LDAP?

1. Ранее, при доступности 389 порта это работало
2. Порт 3268 есть в документации к thunderbird и к AD
3. Подключение посредством ldap-браузера позволяет  получать данные через обозначенные два порта.

[Skull]

ldapsearch выводит?

[ApB]

ldapsearch выводит?

В локали :

Код: [Выделить]

ldapsearch -LLL -b 'dc=domain,dc=zn' -x -H 'ldap://localhost' '(objectClass=posixAccount)'В локали нет, ругается на

Код: [Выделить]

'Operation unable without authentification'но, вроде как одновременно samba в режиме DC  и slapd на одной машине не могут работать
Если убиваю samba и запускаю slapd то отзывается (выводит ответ на запрос).

Если с удалённой машины, то:

Код: [Выделить]

ldapsearch -x -H ldaps://10.0.0.1 -D "cn=user,dc=domain,dc=zn" -w passwd
при запущенном samba - получаю сообщение:

Код: [Выделить]

ldap_bind: Invalid credintals (49)
Если slapd запущен - невозможно соединиться с сервером.

А запрос с клиента:

Код: [Выделить]

ldapsearch -xLLL -H ldaps://10.0.0.1:636 -D "cn=user,CN=Users,dc=domain,dc=zn" -W -b "dc=domain,dc=zn"
проходит

И вопрос: почему с ldap-браузера по портам 389 и 3268 подключение есть? Технически порты 389,3268 и что следует из обозначенного выше запроса порт 636 доступны, а thunderbird не хочет цепляться по 389 и 3268 и в то же время ldapsearch тоже не может их использовать? (говорит о необходимости авторизации, хотя пароль запрашивает и передает)? В softera ldap administrator, адрес подключения выглядит как

Код: [Выделить]

ldap://10.0.0.1:3268/DC=domain,DC=znполучается подключение не по ldaps, а по ldap. Это справедливо и для порта 3268 и для 389.

При подключении к серверу почтовым клиентом, посредством ldaps://dc.domain.zn:636 вылетает сообщение о том, что "Нет доступной информации. Не удалось получить информацию о подлинном статусе этого сайта." при этом исключение не запрашивается. Самоподписанный сертификат на сервере есть.
Куда обращается thunderbird за сертификатом? Ldap-браузер подключаясь по ldaps:636 сертификат видит.

[ApB]

В настройках адресной книги необходимо ввести:
Имя сервера domain.zn
корневой элемент: cn=Users,dc=domain,dc=zn
порт 3268
имя пользователя (binddn): cn=username,cn=Users,dc=domain,dc=zn
где users - раздел с пользователями.
Фильтр можно оставить дефолтовый.
Пока не понял, почему в разделе "Имя" отображается логин, а не "Отображаемое имя", хотя в карточке пользователя всё отображается корректно (то есть фамилия, имя, отчество).

[ApB]

По факту исправил следующим образом:

Настройки  >> дополнительные >> редактор настроек

задал :

Код: [Выделить]

ldap_2.servers.default.attrmap.DisplayName = displayName
В результате отображение даёт то, что требуется.

Дабы в фильтрах получать требуемый поиск, сменил фильтр на:

Код: [Выделить]

(&(|(mail=*)(department=*))(objectCategory=Person))
Почему такой фильтр поиска: Ищу в мыльниках и подразделениях, но не хочу видеть группы в меню адресной книги.
Группы не вынесены в отдельный ou, так как при переносе перестают работать GPO. Причины пока не понял.

Для адресов общей адресной книги но не входящих в ЛВС и групповых рассылок прикрутил две другие адресные книги с иными фильтрами  с целью визуального разделения адресатов.