Сообщения

1

Общий раздел / Re: Правильное распределение по группам пользователей разных отделов

« : 26 Июль 2017, 09:10:15 »

Спасибо за ответ, Егор! Приятного вам отдыха!

Загрузила оверлей dynlist, это видно из списков установленных оверлеев:

Код: [Выделить]

ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
dn: cn=config
dn: cn=module{0},cn=config
dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
dn: cn={4}dyngroup,cn=schema,cn=config
dn: olcDatabase={-1}frontend,cn=config
dn: olcDatabase={0}config,cn=config
dn: olcDatabase={1}monitor,cn=config
dn: olcDatabase={2}hdb,cn=config
dn: olcOverlay={0}dynlist,olcDatabase={2}hdb,cn=config
Структура хранимых данных осталась прежней (созданы все пользователи и динамические группы по вашему ldif), но команда поиска по ou=Group динамических групп выдает отличный от вашего вывод:

Код: [Выделить]

ldapsearch -x -LLL -s one -b ou=Group,dc=domen,dc=ru -o ldif-wrap=no
dn: roomNumber=1,ou=Group,dc=domen,dc=ru
cn:: 0J3QsNC30LLQsNC90LjQtSDQs9GA0YPQv9C/0Ys=
objectClass: room
objectClass: top
roomNumber: 1
description: 192.168.1.67:25565
Т.е. выдает запись только об этой организационной единице.
Если искать от базового DN, вывод такой:

Код: [Выделить]

ldapsearch -x -LLL -s one -b dc=domen,dc=ru -o ldif-wrap=no
dn: cn=Manager,dc=domen,dc=ru
objectClass: organizationalRole
cn: Manager
description: Directory Manager

dn: ou=People,dc=domen,dc=ru
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=domen,dc=ru
objectClass: organizationalUnit
ou: Group
description: 1.0
description: 1.11.2

dn: ou=Groups,dc=domen,dc=ru
objectClass: organizationalUnit
ou: Groups
Это наложение не подгрузилось или я запрос делаю неверный?

2

Общий раздел / Re: Правильное распределение по группам пользователей разных отделов

« : 23 Июль 2017, 15:41:49 »

Егор, здравствуйте!!! Спасибо Вам за такую большую проделанную работу!

Споткнулась я на первом пункте))
Насколько я поняла, в OpenLDAP используется два вида конфигурационных файлов: slapd.conf (вроде как устаревший) и cn=config. Вы привели пример конфигурации slapd.conf (также частое ее использование нашла в Интернете). У себя на сервере этого файла не обнаружила, но добросовестно его создала и положила в директорию /etc/openldap (понимаю, что если другой принцип считывания конфига, но попробовать надо)))

Модуль dynlist.la тоже загрузила, по   инструкции на этом же сайте:
1. Создала ldif-файл

Код: [Выделить]

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: dynlist.la
Загрузила его

Код: [Выделить]

ldapadd -Y EXTERNAL -H ldapi:/// -f ~/dynlist.ldif   
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"
Как посмотреть загрузился ли модуль - не нашла.

Как наложение не получается загрузить, сделала по примеру добавления наложения memberOf. Его добавляла так:

Код: [Выделить]

dn: olcOverlay=memberof,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberofАналогично добавляю и dynlist

Код: [Выделить]

dn: olcOverlay=dynlist,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcDynlist
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: dynlist-attrset groupOfURLs memberURL member
Вывод получается таким:

Код: [Выделить]

[root@ldap164 ~]# ldapadd -c -Y EXTERNAL -H ldapi:/// -f overlaydynlist.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "olcOverlay=dynlist,olcDatabase={2}hdb,cn=config"
ldap_add: Invalid syntax (21)
        additional info: objectClass: value #1 invalid per syntax
Созданную структуру отделов и динамических групп загрузила, но без наложения dynlist member'ы не ищутся, просто выводится ссылка.

Код: [Выделить]

ldapsearch -x -LLL -s one -b ou=Groups,dc=domen,dc=ru -o ldif-wrap=no
dn: cn=DepBosses,ou=Groups,dc=domen,dc=ru
objectClass: groupOfURLs
cn: DepBosses
memberURL: ldap:///ou=People,dc=domen,dc=ru??sub?(&(ou=Bosses)(ou=Dep*))

dn: cn=SubDepBosses_Dep1,ou=Groups,dc=domen,dc=ru
objectClass: groupOfURLs
cn: SubDepBosses_Dep1
memberURL: ldap:///ou=Dep1,ou=People,dc=domen,dc=ru??sub?(&(ou=Bosses)(ou=SubDep*))

dn: cn=SubDepBosses_Dep2,ou=Groups,dc=domen,dc=ru
objectClass: groupOfURLs
cn: SubDepBosses_Dep2
memberURL: ldap:///ou=Dep2,ou=People,dc=domen,dc=ru??sub?(&(ou=Bosses)(ou=SubDep*))

dn: cn=SubDepBosses_All,ou=Groups,dc=domen,dc=ru
objectClass: groupOfURLs
cn: SubDepBosses_All
memberURL: ldap:///ou=People,dc=domen,dc=ru??sub?(&(ou=Bosses)(ou=SubDep*))

dn: cn=WGBosses_11,ou=Groups,dc=domen,dc=ru
objectClass: groupOfURLs
cn: WGBosses_11
memberURL: ldap:///ou=SubDep11,ou=Dep1,ou=People,dc=domen,dc=ru??sub?(&(ou=Bosses)(ou=WorkGroup*))

dn: cn=WGBosses_13,ou=Groups,dc=domen,dc=ru
objectClass: groupOfURLs
cn: WGBosses_13
memberURL: ldap:///ou=SubDep13,ou=Dep1,ou=People,dc=domen,dc=ru??sub?(&(ou=Bosses)(ou=WorkGroup*))

dn: cn=WGBosses_Dep1,ou=Groups,dc=domen,dc=ru
objectClass: groupOfURLs
cn: WGBosses_Dep1
memberURL: ldap:///ou=Dep1,ou=People,dc=domen,dc=ru??sub?(&(ou=Bosses)(ou=WorkGroup*))



3

Общий раздел / Re: Правильное распределение по группам пользователей разных отделов

« : 18 Июль 2017, 15:01:19 »

Про динамические группы не знала, что такое бывает и как правильно спросить, чтобы получить ответ. Спасибо Вам!

Не совсем поняла по атрибут OU. Любой атрибут из доступных можно добавлять пользователям или только “ou”? И необходимо ли создавать эти самые ou (в примере ou=Bosses), или это просто идентификатор пользователя для фильтра?

С динамическими группами начинаю разбираться, и openfire не понимает, какие пользователи подгружаются в динамическую группу.
Подгрузила схему dyngroup, проверяю – схема загружена в OpenLDAP:

Код: [Выделить]

ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
dn: cn=config
dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
dn: cn={4}dyngroup,cn=schema,cn=config
dn: olcDatabase={-1}frontend,cn=config
dn: olcDatabase={0}config,cn=config
dn: olcDatabase={1}monitor,cn=config
dn: olcDatabase={2}hdb,cn=configСоздала динамическую группу, членов которой будет искать openfire, группа выглядит так:

Код: [Выделить]

dn: cn=dinamic,ou=Group,dc=domen,dc=ru
cn: dinamic
memberurl: ldap:///ou=People,dc=domen,dc=ru??one?(ou=Bosses)
objectclass: groupOfURLsДвум пользователям добавила атрибут ou=Bosses

Код: [Выделить]

dn: uid=t1,ou=People,dc=domen,dc=ru
cn:: 0J/QvtC70YzQt9C+0LLQsNGC0LXQu9GMINC/0LXRgNCy0YvQuQ==
objectclass: inetOrgPerson
objectclass: top
ou: BossesВ настройке openfire в запросе поиска пользователей, вместо ранее работавшего фильтра

Код: [Выделить]

(&(uid={0})(memberOf=cn=xmpp,ou=Group,dc=domen,dc=ru)) ввожу поиск членов по динамической группе, заменив основной параметр – выдает ошибку.
Опробованы варианты:

Код: [Выделить]

(&(uid={0})(memberOf=cn=dynamic,ou=Group,dc=domen,dc=ru))
(&(uid={0})(memberURL=cn=dinamic,ou=Group,dc=domen,dc=ru))
(&(uid={0})(memberURL=ldap:///ou=People,dc=domen,dc=ru??one?(ou=Bosses)))
Или я запрос членов группы не так делаю, или openfire не воспринимает найденных пользователей...

Подскажите, как-то можно проверить из командной строки, что пользователи из динамической группы вообще ищутся?

4

Общий раздел / Re: Правильное распределение по группам пользователей разных отделов

« : 15 Июль 2017, 09:08:09 »

И Вам спасибо за псевдографику, всё достаточно наглядно.

Вопросы возникли следующие:
1. Как я поняла, первый от второго варианта отличается только структурой ou=People (наличием подразделов). Ou=Groups имеет одноранговую структуру, наличие подгрупп в соответствии со структурой департаментов мы не делаем, потому что ... (вопрос, а, кстати, почему? LDAP не воспринимает многовложенность групп?)

2. Вся эта структура делается только вручную? Или существуют какие-то средства автоматизации? Например, user, помещенный в определенный ou, автоматически определяется в определенной Groups (а то легко запутаться). Сейчас пользователей приходится вести в Экселе, из которого я и ввожу их в LDAP. Это позволяет хоть немного избежать путаницы, особенно при многократном дублировании записей в разных системах. Подскажите, чем пользуетесь Вы для учета изменений, которые могут приходить от кадровика - по электронной почте, от директора - устно, от начальников департаментов - по той же аське, в стиле "этого надо добавить, этого - переместить, этого - заблокировать" (раньше бы первый ваш пример подошел бы лучше)

5

Общий раздел / Re: Правильное распределение по группам пользователей разных отделов

« : 13 Июль 2017, 20:51:36 »

О, теперь стало понятней больше! Сделала в лдапе (он тестовый, если что - поправлю))) такую схему:

Код: [Выделить]

          cn=xmpp
           |---------------cn=D
           |               |---------cn=D1
           |               |           |--------u01
           |               |---------cn=D2
           |                           |--------u02
           |---------------cn=O
                           |---------cn=O1
                           |           |--------u03
                           |---------cn=O2
                                       |--------u04
Группы подгружаются в опенфайр из лдапа, только в cn=O приходится вручную добавлять u03 и u04, как и в cn=D всех вложенных пользователей. Можно как-то сделать чтобы пользователи O1 и О2 были и пользователями группы О? Членство на основе memberOf

6

Общий раздел / Re: Правильное распределение по группам пользователей разных отделов

« : 13 Июль 2017, 16:44:04 »

Егор, здравствуйте! Спасибо, рисовала я долго, результат мне тоже понравился))
Сейчас пытаюсь настроить это на openfire, хотя, если ejabberd или какой-то другой будет лучше подходить под структуру, можно освоить и его.

В каком виде openfire запрашивает группы, я не знаю. У меня получилось разрешить вход пользователям группе cn=xmpp,dc=domen,dc=ru и через фильтр добавить пользователей группы cn=A5,cn=xmpp,dc=domen,dc=ru. В настройках сервера это выглядит как поиск по группам

Код: [Выделить]

(&(ObjectClass=GroupOfNames)(|(cn=xmpp)(cn=A5))) Это пока всё, что мне понятно.

7

Общий раздел / Правильное распределение по группам пользователей разных отделов

« : 12 Июль 2017, 19:41:21 »

Егор, здравствуйте.

Помогите прояснить, как лучше заточить openLDAP под такую структуру организации:

Есть организация. В ней три уровня вложенности: департамент (их два), в каждом департаменте по три отдела, в отделах по несколько рабочих групп, (где-то две, где-то пять). В каждом из юнитов (департаменте, отделе, рабочей группе) есть руководство (1-3 человека) и исполнители (все остальные). Это отдельные группы, как-то вложенные в юнитов.

И руководитель рабочей группы является рядовым сотрудником отдела. Т.е. древовидная структура подходит под структуру лдапа.

Код: [Выделить]

  Уровень департамента                         Д е п а р т а м е н т 1                                                         Д е п а р т а м е н т 2
                                             /            |           \                                                       /           |         \
 Уровень отдела/отделов                 Отдел1        Отдел2       Отдел3                                                 Отдел1     Отдел2      Отдел3
                     А3{         A4 {   Рук-тель1.1  Рук-тель1.2    Рук-тель1.3}                                     Рук-тель2.1   Рук-тель2.2  Рук-тель2.3  }
                                        /       \                      |                                                 |
Уровень рабочих групп            Рабочая         Рабочая            Рабочая                                          Рабочая
                                 группа1:        группа2:           группа3:                                         группа1
  A0{       А1{       А2{   Руководитель1.1.1    Рук-ль1.1.2 }     Рук-ль1.3.1   }}                                  Рук-тель2.1.1                                        }
                              Исполнитель1        Исп-ль1             Исп-ль1
                              Исполнитель2        Исп-ль2             Исп-ль2


Вопрос вот в чем. Нужны группы, объединяющие руководителей рабочих групп как по отделам, так и по департаментам. И группы, объединяющие руководителей отделов как по отделам, так и по департаментам.

Планирую это для xmpp (и, скорее всего, для других сервисов), для создания разных комнат. Может, на примере будет наглядней.

Группа А0 - объединяет всех руководителей рабочих групп обоих департаментов
Группа А1 - объединяет руководителей рабочих групп всех отделов одного департамента.
Группа А2  - объединяет руководителей рабочих групп одного отдела.

Например. Поступило сообщение в департамент1. "Принять в работу и донести до руководителей рабочих групп следующее...". Все руководители рабочих групп всех отделов одного департамента в одной группе, и получают это сообщение. (А1)
Далее, следует поправка для отдела1, и сообщение отправляется группе А2. Получают его руководитель1.1.1 и руководитель1.1.2 и

Аналогично, на уровне отделов.
Группа А3 - общая группа руководителей отделов обоих департаментов.
Группа А4 - руководители отделов одного департамента

Собственно, это структура. Как-то это распределение по группам в лдап упаковать можно?

8

Схема данных, наборы Schema, объектные классы, атрибуты и другое / Совмещение класса simpleSecurityObject и атрибута mail

« : 24 Апрель 2017, 16:31:49 »

Добрый день, Егор!

Есть сервер openLDAP, на нем такая структура:

Код: [Выделить]

dc=ldap,dc=centos
|\ou=Group
   |\cn=redmine
   |\cn=moodle
   |\ ...
|\ou=People
   |\ou=System
      |\uid=redmine
      |\uid=moodle
      |\...
   |\uid=user1
   |\uid=user2
   |\...

Системные юзеры нужны для авторизации указанных сервисов в лдапе.
Атрибуты такие:

Код: [Выделить]

dn: uid=redmine,ou=System,ou=People,dc=ldap,dc=centos
objectClass: account
objectClass: simpleSecurityObject
objectClass: top
uid: redmine
userPassword:: e0NSWVBUfSQ2JEZldFhWUmJIJE9ghNalBqSE5veVo3TnlZV3BONEJ4UFlSa
 nJJS2RRak5dfsgdf5VT2piM0VZdborkedsha512hashnlQaWlCYWxXcTZYL2YzakdkUC93Q2MyOHlJZWFLMEVxcEVz
 ZzEw
Если этот вариант не верный - поправьте, создавала копипастом. Его задача - подключаться от имени сервиса и читать пароли.

Подключаю еще один сервис к лдапу (phpbb). Сервис требует, чтобы было поле mail у пользователя. И если оставить его пустым - выдает ошибку и не авторизует. Добавляю атрибут mail

Код: [Выделить]

dn: uid=redmine,ou=System,ou=People,dc=ldap,dc=centos
changetype: modify
add: objectclass
objectclass: iNetOrgPerson
-
add: mail
mail: moodle@domen.ru

При добавлении лдап ругается, что класс account и inetOrgPerson несовместимы.

Код: [Выделить]

ldap_modify: Object class violation (65)
        additional info: invalid structural object class chain (account/inetOrgPerson)

Какой другой объектный класс, совместимый с inetOrgPerson, можно использовать для системного пользователя, чтобы пользователь оставался системным и мог читать пароли (но при этом имел атрибут mail)?

9

Общий раздел / MemberOf - Как указать членство пользователей в записях самих пользователей?

« : 19 Апрель 2017, 17:02:15 »

Егор, здравствуйте!

C memberOf авторизация по группам работает, добавляю группу с пользователями в ней:

Код: [Выделить]

dn: cn=redmine,ou=Groups,dc=mycompany,dc=ru
objectClass: groupOfNames
cn: redmine-group
member: uid=user1,ou=Users,dc=mycompany,dc=ru
member: uid=user2,ou=Users,dc=mycompany,dc=ru
Теперь нужно добавить еще пять пользователей (user3-user8), пользователей user3 и user5 сразу добавить в группу redmine. Поняла, добавление членства делается через добавление записи об этих пользователях в запись группы  через ldif:

Код: [Выделить]

dn: cn=redmine,ou=Groups,dc=mycompany,dc=ru
changetype: modify
add: member
member: uid=user5,ou=Users,dc=mycompany,dc=ru
-
add: member
member: uid=user3,ou=Users,dc=mycompany,dc=ru
Вы говорили, что пользователь, который является member'ом, получает скрытый, невидимый атрибут. Можно ли этот атрибут прописать при создании самого пользователя, без изменения  ldif'ом самой группы? Группу править можно, но интересует, есть ли метод "прямее", а не через окольные пути)))

10

Общий раздел / Re: Как подключить модуль memberOf

« : 22 Март 2017, 18:48:24 »

Егор, спасибо вам огромное, за ваши развернутые ответы!

Всё оказалось проще. Даже чем  в мануале. Наложение memberof работает. Действительно нужен простой фильтр, работает даже простое указание

Код: [Выделить]

LDAP Filter = memberOf=cn=redmine,ou=Group,dc=ldap,dc=centoc Первый вариант из мануала тоже работает, а вот с добавлением uid - не хочет

Код: [Выделить]

LDAP Filter = (&(objectClass=inetOrgPerson)(uid=$login)(memberOf=cn=redmine-group,ou=Groups,dc=mycompany,dc=ru))

Оставила простой вариант. Спасибо!

Егор, тема openLDAP"а мне интересна для развития своего проекта, остались вопросы, которые выходят за рамки этой темы. Возможно получить от вас оплачиваемую консультацию по своим "недопоняткам"? Если возможно, стукните мне в ВК.

Собственно, вопросы общего плана:
1. Я добавляю пользователей списком через ldif-файл. Например, 100 пользователей. Куда они попадают? Где хранятся? ldif-файл, насколько я поняла, это карточка с записями. Он заносит данные в лдап. После этого сам файл можно удалять или он и есть основа каталога и удалять его нельзя?
2. Из ответа на первый вопрос вытекает второй. Мне нужно удалить 25 пользователей (особенность общественной организации). И откорректировать еще 25 записей. Знаю, что это делается тоже через ldif - командой ldapmodify.  Создала я этот файл (по его синтаксису - отдельный вопрос))), загрузила изменения, этот ldif тоже - хранить, или удалить можно...?
2. Как закрыть анонимный доступ до лдапа. Чтобы никто не мог читать дерево каталога, не авторизовавшись. А можно ли закрыть от простых пользователей и оставить чтение каталога только для админа?
3. Какие атрибуты (или нахождение в каких группах) разрешают пользователю читать пароли пользователей (хочу закрыть  анонимный доступ, а прописывать пароль от главного менеджера ldap-каталога боязно, я кроме консоли его нигде не ввожу).

Я так понимаю каждый вопрос - это отдельная тема для форума. Могу раскидать по темам - форум станет больше)))

11

Общий раздел / Re: Как подключить модуль memberOf

« : 20 Март 2017, 15:55:06 »

Егор, спасибо за ответ!
Вы правы, дерево используется не совсем правильное, меня оно тоже не устраивает, (по принципу "пользователь - только в одной группе"), но только при таком подходе в редмине удалось авторизоваться.

Задача - организовать гибкую систему управления пользователями в общественной организации. Есть уже упомянутый редмин, астериск, хотим добавить jabber и CRM (ее тоже к лдапу подключать). Пока самая актуальная проблема - с редмином.
Как я это вижу: 
1. Зарегистрировался пользователь - через ldif создаю его в ou=People. Всё, на пользователя есть имя, емайл и uid (или cn?). А, еще пароль.
2. Захотел поучаствовать в работе (взять задачу в редмине) - добавляю его в группу  redmine и в группу jabber (через запись в его данных или в группе его прописать - тут мне не видно, как удобнее и проще) - пользователь получает доступ до редмина и джаббера.
3. Проявил интерес дальше - добавляю в группу астериска - у пользователя появляется доступ до ip-телефонии.
4. Ушел он после первого дня - удаляю его из группы  redmine, jabber и asterisk.
5. Вернулся и хочет только в чате атмосферу поддерживать - опять группа jabber
6. Если пойдет поток пользователей, веб-интерфейсом можно не управится, поэтому предполагаю загнать это в скрипты, но это же не шестое, а десятое))

Это моя идеальная картинка))) На деле, бьюсь с редмином. На LOR'e подсказали, что разные сервисы смотрят у пользователя разные атрибуты: redmine смотрит

Код: [Выделить]


  Login     = sAMAccountName
  Firstname = givenName
  Lastname  = sN
  Email     = mail

По правильному, как описано в мануале редмина для адекватной работы с лдапом нужно модуль memberOf подгрузить, при этом не до конца понятно, с какими минимальными атрибутами создавать пользователя (posix или еще какие-то варианты), чтобы они работали по этой  схеме, в этой группе.

По описанной вами правильной схеме (пользователей - в ou=People, группы - в ou=Group), пользователь user1 группы redmine, хоть и является member'ом, но авторизоваться не может, пароль не подходит... В самом редмине прописываю путь cn=redmine,ou=Group,dc=ldap,dc=centos... cn=redmine создавала и как posixGroup, и как groupOfNames. Скорее, пытаюсь связать не подходящие элементы конструктора)))

Вчера пробовала в SuiteCRM - пользователь из той же группы redmine (не стала новую создавать, протестила на имеющейся) тоже не может авторизоваться, пароль не подходит...

Установила модуль memberOf по предложенной вами инструкции, она совпасам модуль загрузился без ошибок, только загружен два раза (очень надеюсь, что это не критично)

Код: [Выделить]

ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
dn: cn=config
dn: cn=module{1}{0},cn=config
dn: cn=module{1},cn=config
dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
dn: olcDatabase={-1}frontend,cn=config
dn: olcDatabase={0}config,cn=config
dn: olcDatabase={1}monitor,cn=config
dn: olcDatabase={2}hdb,cn=configДобавление его как overlay тоже прошло на ура.

Теперь вопрос: с какими атрибутами создать пользователя, который сможет от имени редмина читать пароли от пользователей в лдапе?

12

Общий раздел / Как подключить модуль memberOf

« : 19 Март 2017, 12:12:46 »

Здравствуйте, Егор. С OpenLDAP и каталогами разбираюсь недавно.

Есть сервер с Redmine 3.1.7, есть сервер OpenLDAP, установлен на Centos 7 из yum, версия 2.4.40. Управляю через phpldapadmin.

Задача: в OpenLDAP создать свыше 50 пользователей (с последующим увеличением до 200 человек), и пять групп Каждой группе разрешен доступ к определенному сервису (Redmine, Asterisk и т.д.). Тестирую на Redmine.

Создаю ou=redmine, в ней cn=redmine-group (posixGroup), в группе создаю пользователей user1, user2 и т.д. При такой схеме авторизация в Redmine проходит замечательно. В Redmine указываю путь до каталога cn=redmine-group,ou=redmine,dc=my,dc=domen. 
Но, насколько я поняла, это из-за того, что группа "родная", т.е. пользователь создан в этой группе, и группа записана в атрибутах пользователя как gid.

Если этих же пользователей добавлять в другие аналогичные группы (для авторизации на других сервисах только членам группы), то это делать нужно через подключенный модуль memberOf.

Как проверить подключен ли он? Нашла здесь как подключить его, по адресу /usr/lib нет директории ldap (или не там ищу?). Добавить атрибут пользователю через phpldapadmin не могу, его нет в выпадающем списке атрибутов.
Как его найти и/или подключить?

Файла slapd.conf есть только в /usr/lib/tmpfiles.d/slapd.conf, его содержимое:

Код: [Выделить]

# openldap runtime directory for slapd.arg and slapd.pid
d /var/run/openldap 0755 ldap ldap -

есть cn=config:

Код: [Выделить]

ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
dn: cn=config
dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
dn: olcDatabase={-1}frontend,cn=config
dn: olcDatabase={0}config,cn=config
dn: olcDatabase={1}monitor,cn=config
dn: olcDatabase={2}hdb,cn=config