Сообщения

1

Общий раздел / Re: OpenLdap проксирование на два AD ldap.

« : 19 Октябрь 2015, 11:56:10 »

Здравствуйте, Егор!

Отправил Вам  slapd.conf.

Спасибо, Виталий.

2

Общий раздел / Re: OpenLdap проксирование на два AD ldap.

« : 14 Октябрь 2015, 15:37:45 »

Здравствуйте, Егор!
Скажите пожалуйста. Сейчас появилась такая ситуация, что пользователи которых переносят в другой юнит в AD не могут авторизоваться, но новые пользователи созданные в этом же юните таких проблем не имеют. Могу предположить, что путь к старым учеткам как-то кэшируется в openldap, или вообще сохраняется. Можно ли это как-то поправить ?

Спасибо.

3

Общий раздел / Re: OpenLdap проксирование на два AD ldap.

« : 07 Май 2015, 22:06:47 »

Здравствуйте, Егор!
Спасибо Вам большое, все получилось.

4

Общий раздел / Re: OpenLdap проксирование на два КД.

« : 06 Май 2015, 11:00:32 »

Здравствуйте, Егор!

Спасибо за ваш ответ. На сколько я понял, статья написана по CentOS(Fedora etc.). Похоже, что мой конфиг slapd.conf (который я скопировал из директории /usr/share/openldap-servers/slapd.conf.obsolete) отличается от того который был у автора статьи. Такого комментария в конфиг файле у меня нет :

Now, we need to load these configs into the main slapd configuration file. Open slapd.conf, and look for the following comment:

#######################################################################
# ldbm and/or bdb database definitions
#######################################################################

Remove anything below this comment and then add the following lines:

Вот что я оставил в своем конфиге:

Код: [Выделить]

# Features to permit
allow bind_v2
# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema

# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile         /var/run/slapd/slapd.pid
# List of arguments that were passed to the server
argsfile        /var/run/slapd/slapd.args

# Read slapd.conf(5) for possible values
loglevel        1Надо ли еще что-то оставить?
Так же интересует вопрос, достаточно ли для настройки "slapd-meta" пакета из дебиан репозитория "slapd и ldap-utils"?

Далее по понфигу, тоже не все ясно.

We define one backend like this in /etc/openldap/slapd-be-1.conf:
database        ldif
suffix          "ou=backend1" (название группы в произвольном порядке или как в backend каталоге? т.е. мы задаем или указываем имя группы ?)
directory       "/var/lib/ldap/backend1" (тут понятно)
rootdn          "cn=ldif-admin,ou=backend1" (ldif-admin-должен быть такой юзер в удаленном каталоге? ou=backend1 соответствует "ou" из директивы suffix?)
rootpw          "LDIF"

Populate backends with sample data
We need to populate the directories with something to query.
Put this in backend1.ldif:

dn: ou=backend1 (тоже непонятно, какие ou/cn создаются, какие указываются)
objectClass: top
objectClass: organizationalUnit
ou: backend1

dn: ou=people,ou=backend1
objectClass: top
objectClass: organizationalUnit
ou: people

dn: cn=user1,ou=people,ou=backend1
objectClass: inetOrgPerson
cn: user1
givenName: user1
sn: Somebodyson
mail: user1@example.com

дальше также... содержание статьи с моим elementary уровнем чатается крайне тяжело и трудно понять такие вещи как "These will represent the directories you're trying to merge" т.е. представлять, куда, кому?

С уважением, Виталий.

P.S. кд контроллер домена 

5

Общий раздел / OpenLdap проксирование на два AD ldap.

« : 05 Май 2015, 18:48:50 »

Доброго времени суток !
Ищу совета, так как в OpenLdap не силен. У меня есть плиложение в котором надо настроить ldap авторизацию для пользователей с 2-х разных ldap серверов. В настройках приложения можно указать только 1 ldap сервер, в виде:
        host: 'mydomain.com'
        port: 636
        uid: 'sAMAccountName'
        method: 'ssl'
        bind_dn: 'user@mydomain.com' или CN= OU= DC=
        password: 'password'
        base: 'DC=mydomain,DC=com'

Соответственно у меня возникли следующие вопросы, возможно ли  в openldap, в режиме прокси, настроить следующую схему:
1. Создать пользователя для приложения, cn=example ou=example dc=example (для настройки приложения).
2. Настроить проксирование на два КД, и представить для приложения как ldap сервер с единой базой юзеров. В виде base: dc=mydomain,dc=com?

Может у кого-то есть опыт решения подобной задачи? Буду рад вашим советам.