Форум проекта Pro-LDAP.ru

Общие вопросы по LDAP => Общий раздел => Тема начата: sirmax123 от 20 Июль 2016, 20:12:51

Название: Запрос с подзапросом (если это возможно)
Отправлено: sirmax123 от 20 Июль 2016, 20:12:51

Коллеги, подскажите возможно ли сделать что то вроде следующего

 - есть каталог
 - есть группы
 - есть пользователи
 - есть атрибут скажем accessTo='myhost'

Этот атрибут назначается как группам так и пользователям. Наример, над проектом работает группа Developers  и надо дать доступ к серверам (но не репозиториям) человеку с uid=contractor

Сейчас паппет просто раз в час находит группы у которых есть атрибут и делает правило

Код: [Выделить]

|(accessTo=myhost)(memberOf=CN=it,ou=groups,o=org,dc=domain,dc=net)

Вторая  часть  может быть гораздо длинее и состоять из  многих десятков групп

Вопрос - как сделать

Код: [Выделить]

memberOf=(тут запрос который вернет список групп)
А на выходе - получить список uid которые ходят хотя бу в одну группу, из тех групп у которых accessTo=myhost

Название: Re: Запрос с подзапросом (если это возможно)
Отправлено: egor от 25 Июль 2016, 00:40:02

Здравствуйте! Простите за задержку.

Цитата: sirmax123 от 20 Июль 2016, 20:12:51

Вопрос - как сделать

Код: [Выделить]

memberOf=(тут запрос который вернет список групп)


Прямо вот так, конечно, не получится =) . Если речь идёт об OpenLDAP, то можно пошаманить с динамическими списками (http://pro-ldap.ru/tr/admin24/overlays.html#Dynamic%20Lists), и то не факт, что добьёмся желаемого результата. В любом случае, нужно более полное описание задачи с пимерами LDIF пользователя и групп, в которые он входит, а также примером поискового фильтра с этими группами.

Егор

Название: Re: Запрос с подзапросом (если это возможно)
Отправлено: sirmax123 от 16 Сентябрь 2017, 17:44:08

Забыл отписать.
Проблему так и не решил. точнее решил внешними средствами =(

Спасибо,  ответ сэкономил кучу времени на поиск решения которого нет