форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Открытые системы на сервере (Авторизация и аутентификация, LDAP)
Изначальное сообщение		[ Отслеживать ]

"LDAP фильтр"		+/–
Сообщение от rick on 27-Май-10, 13:32
Здравствуйте. Помогите, пожалуйста, составить LDAP фильтр. В схеме определено два контейнера: ou=users,dc=example,dc=com ou=groups,dc=example,dc=com users содержит записи класса posixAccount, groups - posixGroup. Мне необходимо выбрать из ou=users,dc=example,dc=com пользователя с uid=test и проверить, является ли он, скажем, членом группы (т.е. имеет ли группа атрибут memberUid со значением test) Admins. Пробовал и так и этак, ничего не получается. Служба каталогов - OpenLDAP 2.4. Заранее благодарю.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "LDAP фильтр"		+/–
Сообщение от zerot (??) on 27-Май-10, 13:49
пробуйте "итеративно" - скриптом. сначала извлекайте DN записи c UID=test, потом - ищите его в memberUid
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "LDAP фильтр"		+/–
	Сообщение от zerot (??) on 27-Май-10, 13:50
	тут есть тонкость. Не знаю вашей ситуации, но по умолчанию в Linux (года 2 назад так было) члены группы хранятся в виде коротких имён. Возможно вы ищите длинные (полные, DN имена пользователей)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "LDAP фильтр"		+/–
	Сообщение от zerot (??) on 27-Май-10, 13:50
	Кроме того возможны как минимум два варианта хранения членов - в виде многострочных записей, и в виде разделяемого запятой списка коротких имён пользователей удачи
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "LDAP фильтр"		+/–
	Сообщение от rick on 27-Май-10, 14:12
	>пробуйте "итеративно" - скриптом. сначала извлекайте DN записи c UID=test, потом - >ищите его в memberUid итеративно не подходит по той причине, что фильтр мне надо задать, скажем, в конфигурации pure-ftpd. мне нужно пускать по ftp только юзеров определенной группы. имена членов группы - короткие, т.е. только uid каждого DN. Вот пример: dn: cn=ftpusers,ou=groups,dc=example,dc=com cn: ftpusers gidNumber: 20000 description: Users able to ftp into example.com memberUid: user1 memberUid: user2 memberUid: user3 objectClass: posixGroup objectClass: top Есть атрибут memberOf (при подключенном slapo-memberof), но он не работает с PosixGroup, только с GroupOfNames.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "LDAP фильтр"		+/–
	Сообщение от rick on 27-Май-10, 14:49
	В общем никак. Но есть ссылка на патч, который добавляет возможность фильтровать по группе: http://www.turnovfree.net/~stybla/linux/patch/pure-ftpd/auth.../
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "LDAP фильтр"		+/–
Сообщение от ALex_hha (ok) on 27-Май-10, 15:10
>[оверквотинг удален] >ou=users,dc=example,dc=com >ou=groups,dc=example,dc=com > >users содержит записи класса posixAccount, groups - posixGroup. >Мне необходимо выбрать из ou=users,dc=example,dc=com пользователя с uid=test и проверить, является ли >он, скажем, членом группы (т.е. имеет ли группа атрибут memberUid со >значением test) Admins. Пробовал и так и этак, ничего не получается. >Служба каталогов - OpenLDAP 2.4. > >Заранее благодарю. Как то так # ldapsearch -z 500 -h 127.0.0.1 -x -LLL -b 'ou=groups,dc=domain,dc=com' '(&(memberUid=test)(cn=test-group))' dn: cn=test-group,ou=groups,dc=domain,dc=com objectClass: top objectClass: posixGroup objectClass: sambaGroupMapping cn: test-group gidNumber: 1288 sambaSID: S-1-5-21-252513064-238223711-2310791221-3177 sambaGroupType: 2 displayName: test-group memberUid: test
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема