https://www.opennet.me/openforum/vsluhforumID1/89011.html Здравствуйте. <br>Помогите, пожалуйста, составить LDAP фильтр.<br><br>В схеме определено два контейнера:<br><br>ou=users,dc=example,dc=com<br>ou=groups,dc=example,dc=com<br><br>users содержит записи класса posixAccount, groups - posixGroup.<br>Мне необходимо выбрать из ou=users,dc=example,dc=com пользователя с uid=test и проверить, является ли он, скажем, членом группы (т.е. имеет ли группа атрибут memberUid со значением test) Admins. Пробовал и так и этак, ничего не получается. Служба каталогов - OpenLDAP 2.4.<br><br>Заранее благодарю. <br> https://www.opennet.me/openforum/vsluhforumID1/89011.html#6 Thu, 27 May 2010 11:10:54 GMT &gt;[оверквотинг удален]<br>&gt;ou=users,dc=example,dc=com <br>&gt;ou=groups,dc=example,dc=com <br>&gt;<br>&gt;users содержит записи класса posixAccount, groups - posixGroup. <br>&gt;Мне необходимо выбрать из ou=users,dc=example,dc=com пользователя с uid=test и проверить, является ли <br>&gt;он, скажем, членом группы (т.е. имеет ли группа атрибут memberUid со <br>&gt;значением test) Admins. Пробовал и так и этак, ничего не получается. <br>&gt;Служба каталогов - OpenLDAP 2.4. <br>&gt;<br>&gt;Заранее благодарю. <br><br>Как то так<br><br># ldapsearch -z 500 -h 127.0.0.1 -x -LLL -b 'ou=groups,dc=domain,dc=com' '(&(memberUid=test)(cn=test-group))'<br>dn: cn=test-group,ou=groups,dc=domain,dc=com<br>objectClass: top<br>objectClass: posixGroup<br>objectClass: sambaGroupMapping<br>cn: test-group<br>gidNumber: 1288<br>sambaSID: S-1-5-21-252513064-238223711-2310791221-3177<br>sambaGroupType: 2<br>displayName: test-group<br>memberUid: test<br><br> https://www.opennet.me/openforum/vsluhforumID1/89011.html#5 Thu, 27 May 2010 10:49:12 GMT В общем никак. Но есть ссылка на патч, который добавляет возможность фильтровать по группе:<br>http://www.turnovfree.net/~stybla/linux/patch/pure-ftpd/auth-ldap/<br> https://www.opennet.me/openforum/vsluhforumID1/89011.html#4 Thu, 27 May 2010 10:12:27 GMT &gt;пробуйте "итеративно" - скриптом. сначала извлекайте DN записи c UID=test, потом - <br>&gt;ищите его в memberUid <br><br>итеративно не подходит по той причине, что фильтр мне надо задать, скажем, в конфигурации pure-ftpd. мне нужно пускать по ftp только юзеров определенной группы. <br><br>имена членов группы - короткие, т.е. только uid каждого DN. Вот пример: <br><br>dn: cn=ftpusers,ou=groups,dc=example,dc=com<br>cn: ftpusers<br>gidNumber: 20000<br>description: Users able to ftp into example.com<br>memberUid: user1<br>memberUid: user2<br>memberUid: user3<br>objectClass: posixGroup<br>objectClass: top<br><br>Есть атрибут memberOf (при подключенном slapo-memberof), но он не работает с PosixGroup, только с GroupOfNames.<br><br> https://www.opennet.me/openforum/vsluhforumID1/89011.html#3 Thu, 27 May 2010 09:50:47 GMT Кроме того возможны как минимум два варианта хранения членов - в виде многострочных записей, и в виде разделяемого запятой списка коротких имён пользователей<br>удачи<br> https://www.opennet.me/openforum/vsluhforumID1/89011.html#2 Thu, 27 May 2010 09:50:17 GMT тут есть тонкость. Не знаю вашей ситуации, но по умолчанию в Linux (года 2 назад так было) члены группы хранятся в виде коротких имён. Возможно вы ищите длинные (полные, DN имена пользователей)<br> https://www.opennet.me/openforum/vsluhforumID1/89011.html#1 Thu, 27 May 2010 09:49:55 GMT пробуйте "итеративно" - скриптом. сначала извлекайте DN записи c UID=test, потом - ищите его в memberUid<br>