Форум проекта Pro-LDAP.ru

Общие вопросы по LDAP => Общий раздел => Тема начата: kvark от 03 Июнь 2013, 18:11:42

Название: OpenLdap как LDAPproxy для индентификации юзеров с нескольких доменов
Отправлено: kvark от 03 Июнь 2013, 18:11:42
Всем привет, я пока новичек в OpenLDAP посему ищю кто поможет разобраться.

Моя система: Виндовс сервер 2008 R2
OpenLdap 2.4.34
(http://www.userbooster.de/en/download/openldap-for-windows.aspx)
Browser: LDAP Admin 1.5.2.0
Конфигурация через: slap.d

Неполучаеться разобраться как примапить в свой OpenLdap контейнеры с юзерами из других доменов (фул траст)

Поясню, у меня есть домены AAa.com и AAb.сom а так же BBc.com (машина с OpenLdap включена в этот домен) хочеться получить структуру типа такого:
dc=AAa,dc=com
     ou=P1
          cn=user1
          cn=user2
     
dc=AAb,dc=com
     ou=P1
          cn=user1
          ...
     ou=P2
          cn=user1
          cn=user2
          ...
     ou=P3

dc=BBc,dc=com
     ou=P1
          cn=user1
          cn=user2
          ...
     ou=P2
          cn=user1
          cn=user2
          ...
     ou=P3
          ...

Нужно для того что HPSM9.3 мог их индентифицировать по OpenLdap так как сам не умеет перебирать домены и нужно всех собрать в одном месте. Достаточно только чтения.

Подскажите как такое сделать?
Название: Re: OpenLdap как LDAPproxy для индентификации юзеров с нескольких доменов
Отправлено: egor от 04 Июнь 2013, 01:48:06
Здравствуйте! Простейший вариант в Вашем случае -- использовать несколько "баз данных" механизма back_ldap, пример можно посмотреть здесь (http://sysadminblog.ru/freebsd/2013/01/09/avtorizaciya-v-openmeetings-s-uchetnoy-zapisyu-active-directory.html#comment1307) (правда там под статическую конфигурацию, но, думаю, разберётесь).

Что Вы подразумеваете по фул-траст?

Егор
Название: Re: OpenLdap как LDAPproxy для индентификации юзеров с нескольких доменов
Отправлено: kvark от 04 Июнь 2013, 15:34:42
Спасибо, но у меня есть только slap.d как тоже самое можно через него сконфигурироапть?

фул траст имел ввиду что каждый домен доверяет каждому (то есть все три друг другу доверяют)
Название: Re: OpenLdap как LDAPproxy для индентификации юзеров с нескольких доменов
Отправлено: egor от 05 Июнь 2013, 06:10:05
Здравствуйте! Для динамической конфигурации (slapd.d) надо добавить в БД cn=config записи баз данных механизма back_ldap по количеству доменов примерно такого содержания:
Код: [Выделить]
dn: olcDatabase=ldap,cn=config
objectClass: olcDatabaseConfig
objectClass: olcLDAPConfig
olcDatabase: ldap
olcDbURI: "ldap://x.x.x.x"
olcSuffix: dc=AAa,dc=com
olcDbIDAssertAuthzFrom: *
olcDbIDAssertBind: bindmethod=simple binddn="cn=SomeUser,cn=Users,dc=AAa,dc=com" credentials="somePassword" mode=none
olcReadOnly: TRUE
Я бы добавил это с помощью ldapadd, а как на Windows -- не знаю. Если back_ldap собран в виде модуля, нужно ещё в запись cn=module{0},cn=config добавить подгрузку модуля (с помощью ldapmodify):
Код: [Выделить]
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: back_ldap.la

Егор