Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Темы - marawu

Страницы: [1] 2
1
Работа с LDAP-клиентами / Настройка pGina
« : 08 Октябрь 2018, 17:38:03 »
Доброго времени суток, подскажите пожалуйста, пытаюсь подружить pGina и FreeIPA. Настраиваю авторизацию, указываю просто данные для аутентификации, всё отлично. Указываю авторизацию где настраиваю правила для групп и получаю ошибку. В логах DS389 вижу вот что:



[08/Oct/2018:14:32:23.479054754 +0000] conn=3427886 fd=309 slot=309 connection from xx.xx.xx.xx to xx.xx.xx.xx
[08/Oct/2018:14:32:23.479550438 +0000] conn=3427886 op=0 BIND dn="uid=user.name,cn=users,cn=accounts,dc=example,dc=com" method=128 version=3
[08/Oct/2018:14:32:23.480962113 +0000] conn=3427886 op=0 RESULT err=0 tag=97 nentries=0 etime=0.0001827141 dn="uid=user.name,cn=users,cn=accounts,dc=example,dc=com"
[08/Oct/2018:14:32:23.655809023 +0000] conn=3427886 op=1 BIND dn="cn=accounts,dc=example,dc=com" method=128 version=3
[08/Oct/2018:14:32:23.655879278 +0000] conn=3427886 op=1 RESULT err=53 tag=97 nentries=0 etime=0.0000191268
[08/Oct/2018:14:32:23.686547379 +0000] conn=3427886 op=2 UNBIND
[08/Oct/2018:14:32:23.686575437 +0000] conn=3427886 op=2 fd=309 closed - U1


Почитал в ошибках LDAP по номеру ошибки, но не могу понять, в чём может быть проблема

2
Добрый день, помогите пожалуйста, не могу восстановить работу реплики.


Что произошло:


Нужно было добавить новый атрибут всем пользователям и части пользователей изменить другой атрибут.


Добавил атрибут, на реплике все данные появились.


После этого сделал replace: gidNumber примерно у 1000 пользователей и после этого реплика перестала синхронизироваться.


Пробовал перезапустить сервис, включил логирование для синхронизации, но там ничего нету. Максимум есть ошибки о том, что мастер недоступен когда я перезапускал его и более ничего.


Подскажите пожалуйста в какую сторону копать?

ЗЫ. Вот такое сообщение есть:

do_syncrep2: rid=000 LDAP_RES_INTERMEDIATE - REFRESH_DELETE


3
Добрый день, прошу помощи.


Сегодня выяснил такой момент, что на сервере перестало работать наложение memberof, то есть раньше всё работало и в какой-то момент перестало, в какой точно сказать не могу:( Добавляю или удаляю пользователя из группы, набор атрибутов memberOf у него не меняется.


А вот на реплике всё работает как надо не смотря на то, что конфигурация у них одинаковая.


В итоге на серверах сейчас разный набор атрибутов memberOf у пользователей и я пока не знаю как это исправить и как потом вернуть к нормальному состоянию. В логах ошибок никаких я не вижу.


С каждым разом расснихрон всё больше и больше:(


На всякий случай кину конфиг оверлеев:



dn: olcDatabase={1}mdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {1}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=domain,dc=ru
olcLastMod: TRUE
olcRootDN: cn=admin,dc=domain,dc=ru
olcRootPW: {SSHA}zjDsG4wlohNoFErCtD22l6jqrV5GwDiI
olcDbCheckpoint: 512 30
olcDbIndex: objectClass eq
olcDbIndex: uidNumber,gidNumber eq
olcDbIndex: member,memberUid eq
olcDbIndex: uniqueMember eq,pres
olcDbIndex: mail,mailAlternateAddress sub,eq,pres
olcDbIndex: cn,uid sub,eq,pres
olcDbIndex: entryCSN eq
olcDbIndex: entryUUID eq
olcDbMaxSize: 1073741824
olcAccess: {0}to attrs=userPassword
  by ssf=128 self write
  by ssf=128 dn="uid=office,ou=Users,dc=domain,dc=ru" write
  by ssf=128 dn="uid=wiki,ou=Users,dc=domain,dc=ru" read
  by ssf=128 dn="cn=ldap04,dc=domain,dc=ru" read
  by ssf=128 anonymous auth
  by ssf=128 * none
olcAccess: {1}to attrs=shadowLastChange
  by ssf=128 self write
  by ssf=128 dn="uid=office,ou=Users,dc=domain,dc=ru" write
  by ssf=128 * read
olcAccess: {2}to *
  by ssf=128 dn="uid=office,ou=Users,dc=domain,dc=ru" write
  by ssf=128 * read
olcLimits: {0}dn.exact="cn=ldap04,dc=domain,dc=ru" time.soft=unlimited time.hard=unlimited size.soft=unlimited size.hard=unlimited


dn: olcOverlay={0}memberof,olcDatabase={1}mdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: {0}memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfUniqueNames
olcMemberOfMemberAD: uniqueMember
olcMemberOfMemberOfAD: memberOf


dn: olcOverlay={1}refint,olcDatabase={1}mdb,cn=config
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: {1}refint
olcRefintAttribute: memberof member manager owner


dn: olcOverlay={2}autogroup,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcAutomaticGroups
olcOverlay: {2}autogroup
olcAGattrSet: {0}groupOfURLs memberURL member


dn: olcOverlay={3}dynlist,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcDynamicList
olcOverlay: {3}dynlist
olcDlAttrSet: {0}groupOfUniqueNames labeledURI member


dn: olcOverlay={4}unique,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcUniqueConfig
olcOverlay: {4}unique
olcUniqueURI: ldap:///ou=People,dc=domain,dc=ru?uid?sub
olcUniqueURI: ldap:///ou=People,dc=domain,dc=ru?mail?sub
olcUniqueURI: ldap:///ou=People,dc=domain,dc=ru?uidNumber?sub
olcUniqueURI: ldap:///ou=Users,dc=domain,dc=ru?uid?sub
olcUniqueURI: ldap:///ou=Users,dc=domain,dc=ru?uidNumber?sub


dn: olcOverlay={5}syncprov,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: {5}syncprov
olcSpCheckpoint: 500 15


dn: olcOverlay={6}accesslog,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcAccessLogConfig
olcOverlay: {6}accesslog
olcAccessLogDB: cn=accesslog
olcAccessLogOps: writes
olcAccessLogPurge: 7+00:00 1+00:00
olcAccessLogSuccess: TRUE


Грешил на dn: olcOverlay={3}dynlist,olcDatabase={1}mdb,cn=config, удалил olcDlAttrSet, но это не помогло, да и на реплике это не мешает.


Очень прошу помощи

4
Добрый день, подскажите пожалуйста по динамическим группам.


Задача: есть сервис mediawiki. Нужно сделать группу в которую будут входить все группы. Я подключил модуль для динамических групп, сделал оверлей, создал группу с нужным мне фильтром:



dn: olcOverlay={3}dynlist,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcDynamicList
olcOverlay: {3}dynlist
olcDlAttrSet: {0}groupOfURLs memberURL member



dn: cn=users,ou=wiki,ou=Service,ou=Groups,dc=domain,dc=ru
objectClass: groupOfURLs
cn: users
memberURL: ldaps:///ou=People,dc=domain,dc=ru??one?(&(objectClass=inetOrgPerson)(!(memberof=cn=namegroup,ou=Groups,dc=domain,dc=ru)))


Но wiki отправляет запрос такого формата:



Nov  3 15:34:31 ldap01 slapd[6634]: conn=13908 fd=19 ACCEPT from IP=192.168.250.31:52026 (IP=0.0.0.0:636)
Nov  3 15:34:31 ldap01 slapd[6634]: conn=13908 fd=19 TLS established tls_ssf=256 ssf=256
Nov  3 15:34:31 ldap01 slapd[6634]: conn=13908 op=0 BIND dn="uid=wiki,ou=sUsers,dc=domain,dc=ru" method=128
Nov  3 15:34:31 ldap01 slapd[6634]: conn=13908 op=0 BIND dn="uid=wiki,ou=sUsers,dc=domain,dc=ru" mech=SIMPLE ssf=0
Nov  3 15:34:31 ldap01 slapd[6634]: conn=13908 op=0 RESULT tag=97 err=0 text=
Nov  3 15:34:31 ldap01 slapd[6634]: conn=13908 op=1 SRCH base="ou=wiki,ou=Service,ou=Groups,dc=domain,dc=ru" scope=2 deref=0 filter="(&(member=uid=user.name,ou=people,dc=domain,dc=ru)(objectClass=groupOfURLs))"
Nov  3 15:34:31 ldap01 slapd[6634]: conn=13908 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Nov  3 15:34:31 ldap01 slapd[6634]: conn=13908 op=2 UNBIND
Nov  3 15:34:31 ldap01 slapd[6634]: conn=13908 fd=19 closed


На выходе ничего нет, потому-что, насколько я понимаю, члены группы в явном виде неуказанны. Возможно есть какие-то другие механизмы, которые помогут мне содержать группу в актуальном состоянии без постоянного вмешательства? Либо я что-то не так понял?

5
Общий раздел / Поясните за SSF
« : 27 Октябрь 2017, 11:23:55 »
Добрый день, можете пожалуйста объяснить про SSF. Я хочу настроить ACL таким образом, чтобы нельзя было подключиться без TLS/SSL. Для примера я настроил TLS на dovecot, когда подключаюсь в логах есть следущая инфа:



Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 fd=13 ACCEPT from IP=192.168.250.202:54440 (IP=0.0.0.0:636)
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 fd=13 TLS established tls_ssf=256 ssf=256
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 op=0 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" method=128
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 op=0 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" mech=SIMPLE ssf=0
Oct 27 15:10:29 ldap01 slapd[6634]: conn=1002 op=0 RESULT tag=97 err=0 text=
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 BIND anonymous mech=implicit ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 BIND dn="uid=user.name,ou=People,dc=domain,dc=ru" method=128
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 BIND dn="uid=user.name,ou=People,dc=domain,dc=ru" mech=SIMPLE ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=1 RESULT tag=97 err=0 text=
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 BIND anonymous mech=implicit ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" method=128
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 BIND dn="uid=dovecot,ou=sUsers,dc=domain,dc=ru" mech=SIMPLE ssf=0
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=2 RESULT tag=97 err=0 text=
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=3 SRCH base="ou=People,dc=domain,dc=ru" scope=2 deref=0 filter="(&(objectClass=posixAccount)(mail=user.name@domain.ru))"
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=3 SRCH attr=homeDirectory uidNumber gidNumber
Oct 27 15:10:46 ldap01 slapd[6634]: conn=1002 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 27 15:11:48 ldap01 slapd[6634]: conn=1002 op=4 UNBIND
Oct 27 15:11:48 ldap01 slapd[6634]: conn=1002 fd=13 closed


BIND dn="uid=user.name,ou=People,dc=domain,dc=ru" mech=SIMPLE ssf=0 - правильно ли я понимаю, что тут неиспользуется TLS? И если я запрещу в ACL доступ без TLS, то работать ничего не будет?

6
Системы электронной почты / ACL для dovecot
« : 26 Октябрь 2017, 15:12:16 »
Добрый день, пытаюсь настроить dovecot. Накидал такой файл конфига:



uris = ldap://ldap01.domain.ru
debug_level = -1
auth_bind = yes
auth_bind_userdn = uid=%n,ou=People,dc=domain,dc=ru
ldap_version = 3
base = ou=People,dc=domain,dc=ru
deref = never
scope = base
user_filter = (&(objectClass=posixAccount)(mail=%u))
pass_attrs = mail=user,userPassword=password
pass_filter = (&(objectClass=posixAccount)(mail=%u))
default_pass_scheme = CRYPT


Так же накидал такой ACL:



olcAccess: to *
  by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
  by * break
olcAccess: to attrs=userPassword
  by self write
  by anonymous auth
olcAccess: to dn.subtree="ou=People,dc=domain,dc=ru"
  by * search
  by self read
olcAccess: to *
  by dn.one="ou=sUsers,dc=domain,dc=ru" read


Но при запросе ничего не возвращается. Ни через dovecot, ни запросом ldapsearch, хотя ошибок в логах нет:



Oct 26 19:11:32 ldap01 slapd[28115]: conn=1049 fd=11 ACCEPT from IP=192.168.XXX.XXX:34334 (IP=0.0.0.0:389)
Oct 26 19:11:32 ldap01 slapd[28115]: conn=1049 op=0 BIND dn="" method=128
Oct 26 19:11:32 ldap01 slapd[28115]: conn=1049 op=0 RESULT tag=97 err=0 text=
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=1 BIND dn="uid=user.name,ou=People,dc=domain" method=128
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=1 BIND dn="uid=user.name,ou=People,dc=domain" mech=SIMPLE ssf=0
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=1 RESULT tag=97 err=0 text=
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=2 BIND anonymous mech=implicit ssf=0
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=2 BIND dn="" method=128
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=2 RESULT tag=97 err=0 text=
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=3 SRCH base="ou=People,dc=domain,dc=ru" scope=0 deref=0 filter="(&(objectClass=posixAccount)(mail=user.name@domain.ru))"
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=3 SRCH attr=homeDirectory uidNumber gidNumber
Oct 26 19:11:40 ldap01 slapd[28115]: conn=1049 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text=


Не могу сообразить как правильно ACL написать:(

7
Общий раздел / Помогите написать фильтр
« : 23 Октябрь 2017, 08:12:18 »
Добрый день, не могу понять как написать фильтр, который будет искать пользователей, которые не состоят ни в каких группах заданных по маске. Пробовал так:


ldapsearch -o ldif-wrap=no -LLL -xZZWD "uid=user.name,ou=People,dc=example,dc=com" -b ou=People,dc=example,dc=com '(!(memberof=cn=*.dept,ou=Groups,dc=example,dc=com))'


Но я так понял memberof не понимает маски. Думал сделать небольшой скрипт на bash, но не могу придумать логику :( Единственное, что смог придумать это так:


Получаем список групп
Получаем список пользователей
Через цикл прогоняем пользователя по каждой группе
Если нет ни в одной, то вывести его имя


Но возможно есть способ проще?

8
Добрый день, подскажите пожалуйста, пытаюсь настроить dovecot + ldap, и хотелось бы хомяка хранить в LDAP. Создал атрибут:


mailMessageStore: /var/vmail/%Ld/%Ln


Но при подключении путь остается такого же формата, то есть переменные не подставляются:( Что я делаю не так?

9
Добрый день, пытаюсь установить сервер openLDAP на centOS 7. Дропнул каталог slapd.d и пытаюсь создать  cn=config, но получаю ошибку:



[root@ldap01 openldap]# slapadd -n 0 -F /etc/openldap/slapd.d -l /root/1.init.ldif
59d37d19 str2entry: entry -1 has multiple DNs "cn=config" and "olcDatabase={0}config,cn=config"
slapadd: could not parse entry (line=1)
_#################### 100.00% eta   none elapsed            none fast!


Нужно это затем, что я не могу портировать нужные мне данные, так как на старом сервере была нестандартная схема core.


Может быть можно изменить такую зависимость:



59d35756 Entry (cn=XXXX.dept,ou=Groups,dc=example,dc=com): object class 'groupOfUniqueNames' requires attribute 'uniqueMember'
slapadd: dn="cn=XXXX.dept,ou=Groups,dc=example,dc=com" (line=57522): (65) object class 'groupOfUniqueNames' requires attribute 'uniqueMember'

10
Здраствуйте. Есть задача поменять суффикс в базе openLDAP. Хотел посоветоваться. Я решил старый суффикс не убивать, мало ли пригодится. Какой план действий я вижу:


Есть база:



dn: olcDatabase={1}bdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcBdbConfig
olcDatabase: {1}bdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=example,dc=com
olcAccess: {0}to attrs=userPassword by self write by group.exact="cn=Directory Administrators,dc=example,dc=com" write by dn="uid=ldap-proxy,ou=Special Users,dc=example,dc=com" read by dn="cn=outldap02,dc=example,dc=com" read by dn="cn=replica,dc=example,dc=com" read by anonymous auth by * none
olcAccess: {1}to filter="(sshPublicKey=*)" attrs=entry,uid,sshPublicKey by anonymous read by * break
olcAccess: {2}to attrs=sshPublicKey by self write by group.exact="cn=Directory Administrators,dc=example,dc=com" write by dn.one="ou=Special Users,dc=example,dc=com" read by * none
olcAccess: {3}to dn.subtree="ou=Special Users,dc=example,dc=com" by self write by group.exact="cn=Directory Administrators,dc=example,dc=com" write by dn.one="ou=Special Users,dc=example,dc=com" read by dn="cn=outldap02,dc=example,dc=com" read by dn="cn=replica,dc=example,dc=com" read by * none
olcAccess: {4}to dn.one="cn=config,dc=example,dc=com" by * read
olcAccess: {5}to * by peername.ip="xx.xx.xx.xx" read by peername.ip="xx.xx.xx.xx" read by peername.ip="192.168.250.78" read by self write by group.exact="cn=Directory Administrators,dc=example,dc=com" write by users read by * search
olcLastMod: TRUE
olcLimits: {0}dn.exact="cn=replica,dc=example,dc=com" time.soft=unlimited time.hard=unlimited size.soft=unlimited size.hard=unlimited
olcRootDN: cn=admin,dc=example,dc=com
olcRootPW: {SSHA}HlnqlaPuqKyfvtpISYz/xvBbhDpQu2NX
olcSizeLimit: -1
olcDbCheckpoint: 512 30
olcDbConfig: {0}set_cachesize 0 2097152 0
olcDbConfig: {1}set_lk_max_objects 1500
olcDbConfig: {2}set_lk_max_locks 1500
olcDbConfig: {3}set_lk_max_lockers 1500
olcDbIndex: uid eq
olcDbIndex: uidNumber eq
olcDbIndex: uniqueMember eq
olcDbIndex: gidNumber eq
olcDbIndex: memberUid eq
olcDbIndex: alias eq
olcDbIndex: mail eq
olcDbIndex: sambaSID eq
olcDbIndex: sambaPrimaryGroupSID eq
olcDbIndex: sambaGroupType eq
olcDbIndex: sambaDomainName eq
olcDbIndex: loginShell eq
olcDbIndex: default sub
olcDbIndex: objectClass,entryCSN,entryUUID eq
olcDbIndex: ou eq
olcDbIndex: cn eq
olcDbIndex: apple-generateduid eq
olcDbIndex: apple-group-memberguid eq


Я так понимаю мне необходимо создать LDIF с такими же параметрами, но заменить суффик. Должно получиться типа такого:



dn: olcDatabase={3}bdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcBdbConfig
olcDatabase: {3}bdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=example1,dc=com
olcAccess: {0}to attrs=userPassword by self write by group.exact="cn=Directory Administrators,dc=example1,dc=com" write by dn="uid=ldap-proxy,ou=Special Users,dc=example1,dc=com" read by dn="cn=outldap02,dc=example1,dc=com" read by dn="cn=replica,dc=example1,dc=com" read by anonymous auth by * none
olcAccess: {1}to filter="(sshPublicKey=*)" attrs=entry,uid,sshPublicKey by anonymous read by * break
olcAccess: {2}to attrs=sshPublicKey by self write by group.exact="cn=Directory Administrators,dc=example1,dc=com" write by dn.one="ou=Special Users,dc=example1,dc=com" read by * none
olcAccess: {3}to dn.subtree="ou=Special Users,dc=example1,dc=com" by self write by group.exact="cn=Directory Administrators,dc=example1,dc=com" write by dn.one="ou=Special Users,dc=example1,dc=com" read by dn="cn=outldap02,dc=example1,dc=com" read by dn="cn=replica,dc=example1,dc=com" read by * none
olcAccess: {4}to dn.one="cn=config,dc=example1,dc=com" by * read
olcAccess: {5}to * by peername.ip="xx.xx.xx.xx" read by peername.ip="xx.xx.xx.xx" read by peername.ip="192.168.250.78" read by self write by group.exact="cn=Directory Administrators,dc=example1,dc=com" write by users read by * search
olcLastMod: TRUE
olcLimits: {0}dn.exact="cn=replica,dc=example1,dc=com" time.soft=unlimited time.hard=unlimited size.soft=unlimited size.hard=unlimited
olcRootDN: cn=admin,dc=example1,dc=com
olcRootPW: {SSHA}HlnqlaPuqKyfvtpISYz/xvBbhDpQu2NX
olcSizeLimit: -1
olcDbCheckpoint: 512 30
olcDbConfig: {0}set_cachesize 0 2097152 0
olcDbConfig: {1}set_lk_max_objects 1500
olcDbConfig: {2}set_lk_max_locks 1500
olcDbConfig: {3}set_lk_max_lockers 1500
olcDbIndex: uid eq
olcDbIndex: uidNumber eq
olcDbIndex: uniqueMember eq
olcDbIndex: gidNumber eq
olcDbIndex: memberUid eq
olcDbIndex: alias eq
olcDbIndex: mail eq
olcDbIndex: sambaSID eq
olcDbIndex: sambaPrimaryGroupSID eq
olcDbIndex: sambaGroupType eq
olcDbIndex: sambaDomainName eq
olcDbIndex: loginShell eq
olcDbIndex: default sub
olcDbIndex: objectClass,entryCSN,entryUUID eq
olcDbIndex: ou eq
olcDbIndex: cn eq
olcDbIndex: apple-generateduid eq
olcDbIndex: apple-group-memberguid eq


Затем сделать выгрузку содержимого каталога с переименованным суффиксом в ldif файл, что-то типа такого:


ldapsearch  -o ldif-wrap=no -QLLL -Y EXTERNAL -H ldapi:/// -b dc=example,dc=com | sed 's/example/example1/g'  > base.ldif


и вгрузить его в новую базу.


Насколько корректен такой перенос?


ЗЫ. Понятное дело, что ещё сертификаты надо будет поменять.

11
Добрый день, столкнулся с такой проблемой, что nslcd постоянно перебирает shadowAccount всех пользователей LDAP. В debug режиме ничего подозрительного не увидел, но с другими клиентами такой проблемы нет, за исключением 3 серверов. Один перебирает всех пользователей LDAP, другой постоянно ищет пользователя zabbix, несмотря на то, что в nss_initgroups_ignoreusers он указан, а третий постоянно ищет nouser. Ниже лог одного из серверов, может кто подскажет, от чего такого странное поведение (каждый username это разный пользователь):



nslcd: DEBUG: NSS_LDAP nss-pam-ldapd 0.9.4
nslcd: DEBUG: ldap_set_option(LDAP_OPT_X_TLS_REQUIRE_CERT,allow)
nslcd: DEBUG: ldap_set_option(LDAP_OPT_X_TLS_CACERTFILE,"/etc/ldap/godaddyCA.crt")
nslcd: DEBUG: CFG: threads 5
nslcd: DEBUG: CFG: uid nslcd
nslcd: DEBUG: CFG: gid 122
nslcd: DEBUG: CFG: uri ldap://server.domain.com
nslcd: DEBUG: CFG: ldap_version 3
nslcd: DEBUG: CFG: binddn uid=ldap-proxy,ou=Special Users,dc=domain,dc=com
nslcd: DEBUG: CFG: bindpw ***
nslcd: DEBUG: CFG: rootpwmoddn cn=admin,dc=domain,dc=com
nslcd: DEBUG: CFG: base dc=domain,dc=com
nslcd: DEBUG: CFG: base group ou=servers,ou=groups,dc=domain,dc=com
nslcd: DEBUG: CFG: base passwd ou=people,dc=domain,dc=com
nslcd: DEBUG: CFG: base shadow ou=people,dc=domain,dc=com
nslcd: DEBUG: CFG: scope sub
nslcd: DEBUG: CFG: deref never
nslcd: DEBUG: CFG: referrals yes
nslcd: DEBUG: CFG: filter aliases (objectClass=nisMailAlias)
nslcd: DEBUG: CFG: filter ethers (objectClass=ieee802Device)
nslcd: DEBUG: CFG: filter group (objectClass=posixGroup)
nslcd: DEBUG: CFG: filter hosts (objectClass=ipHost)
nslcd: DEBUG: CFG: filter netgroup (objectClass=nisNetgroup)
nslcd: DEBUG: CFG: filter networks (objectClass=ipNetwork)
nslcd: DEBUG: CFG: filter passwd (&(uidNumber>=1100)(!(memberof=cn=Deleted.dept,ou=Groups,dc=domain,dc=com)))
nslcd: DEBUG: CFG: filter protocols (objectClass=ipProtocol)
nslcd: DEBUG: CFG: filter rpc (objectClass=oncRpc)
nslcd: DEBUG: CFG: filter services (objectClass=ipService)
nslcd: DEBUG: CFG: filter shadow (objectClass=shadowAccount)
nslcd: DEBUG: CFG: map group userPassword "*"
nslcd: DEBUG: CFG: map passwd userPassword "*"
nslcd: DEBUG: CFG: map passwd gecos "${gecos:-$cn}"
nslcd: DEBUG: CFG: map shadow userPassword "*"
nslcd: DEBUG: CFG: map shadow shadowLastChange "${shadowLastChange:--1}"
nslcd: DEBUG: CFG: map shadow shadowMin "${shadowMin:--1}"
nslcd: DEBUG: CFG: map shadow shadowMax "${shadowMax:--1}"
nslcd: DEBUG: CFG: map shadow shadowWarning "${shadowWarning:--1}"
nslcd: DEBUG: CFG: map shadow shadowInactive "${shadowInactive:--1}"
nslcd: DEBUG: CFG: map shadow shadowExpire "${shadowExpire:--1}"
nslcd: DEBUG: CFG: map shadow shadowFlag "${shadowFlag:-0}"
nslcd: DEBUG: CFG: bind_timelimit 5
nslcd: DEBUG: CFG: timelimit 10
nslcd: DEBUG: CFG: idle_timelimit 60
nslcd: DEBUG: CFG: reconnect_sleeptime 1
nslcd: DEBUG: CFG: reconnect_retrytime 10
nslcd: DEBUG: CFG: ssl start_tls
nslcd: DEBUG: CFG: tls_reqcert allow
nslcd: DEBUG: CFG: tls_cacertfile /etc/ldap/godaddyCA.crt
nslcd: DEBUG: CFG: pagesize 0
nslcd: DEBUG: CFG: nss_initgroups_ignoreusers bin,nginx,systemd-network,nslcd,statd,dovenull,proftpd,systemd-bus-proxy,shellinabox,daemon,bind,messagebus,backup,mysql,irc,systemd-timesync,man,news,Debian-exim,z...
nslcd: DEBUG: CFG: nss_min_uid 0
nslcd: DEBUG: CFG: nss_nested_groups no
nslcd: DEBUG: CFG: validnames /^[a-z0-9._@$()]([a-z0-9._@$() \~-]*[a-z0-9._@$()~-])?$/i
nslcd: DEBUG: CFG: ignorecase no
nslcd: DEBUG: CFG: cache dn2uid 15m 15m
nslcd: version 0.9.4 starting
nslcd: DEBUG: unlink() of /var/run/nslcd/socket failed (ignored): No such file or directory
nslcd: DEBUG: initgroups("nslcd",122) done
nslcd: DEBUG: setgid(122) done
nslcd: DEBUG: setuid(118) done
nslcd: accepting connections
nslcd: [8b4567] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [8b4567] <passwd(all)> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(uidNumber>=1100)(!(memberof=cn=Deleted.dept,ou=Groups,dc=domain,dc=com)))")
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_initialize(ldap://server.domain.com)
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_set_rebind_proc()
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_start_tls_s()
nslcd: [8b4567] <passwd(all)> DEBUG: set_socket_timeout(10,500000)
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_simple_bind_s("uid=ldap-proxy,ou=Special Users,dc=domain,dc=com","***") (uri="ldap://server.domain.com")
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8b4567] <passwd(all)> (re)loading /etc/nsswitch.conf
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [7b23c6] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_initialize(ldap://server.domain.com)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_set_rebind_proc()
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_start_tls_s()
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: set_socket_timeout(10,500000)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_simple_bind_s("uid=ldap-proxy,ou=Special Users,dc=domain,dc=com","***") (uri="ldap://server.domain.com")
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): ... 352 more results
nslcd: [8b4567] <passwd(all)> DEBUG: ldap_result(): end of results (362 total)
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [7b23c6] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [3c9869] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [3c9869] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_initialize(ldap://server.domain.com)
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_set_rebind_proc()
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_start_tls_s()
nslcd: [3c9869] <shadow="nameuser"> DEBUG: set_socket_timeout(10,500000)
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_simple_bind_s("uid=ldap-proxy,ou=Special Users,dc=domain,dc=com","***") (uri="ldap://server.domain.com")
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [3c9869] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [334873] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [334873] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_initialize(ldap://server.domain.com)
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_set_rebind_proc()
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,10)
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,10)
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,10)
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_start_tls_s()
nslcd: [334873] <shadow="nameuser"> DEBUG: set_socket_timeout(10,500000)
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_simple_bind_s("uid=ldap-proxy,ou=Special Users,dc=domain,dc=com","***") (uri="ldap://server.domain.com")
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [334873] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [b0dc51] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [b0dc51] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [b0dc51] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [b0dc51] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [495cff] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [495cff] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [495cff] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [495cff] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [e8944a] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [e8944a] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [e8944a] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [e8944a] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [5558ec] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [5558ec] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [5558ec] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [5558ec] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [8e1f29] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [8e1f29] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [8e1f29] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [8e1f29] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [e87ccd] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [e87ccd] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [e87ccd] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [e87ccd] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [1b58ba] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [1b58ba] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [1b58ba] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [1b58ba] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [7ed7ab] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [7ed7ab] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [7ed7ab] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [7ed7ab] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [b141f2] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [b141f2] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [b141f2] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [b141f2] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [b71efb] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [b71efb] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [b71efb] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [b71efb] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [e2a9e3] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [e2a9e3] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [e2a9e3] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [e2a9e3] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [45e146] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [45e146] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [45e146] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [45e146] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [5f007c] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [5f007c] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [5f007c] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [5f007c] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [d062c2] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [d062c2] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [d062c2] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [d062c2] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [200854] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [200854] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [200854] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [200854] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [b127f8] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [b127f8] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [b127f8] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [b127f8] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [efd79f] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [efd79f] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [efd79f] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [efd79f] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [a7c4c9] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [a7c4c9] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [a7c4c9] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [a7c4c9] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [68079a] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [68079a] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [68079a] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [68079a] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [6afb66] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [6afb66] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [6afb66] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [6afb66] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [e45d32] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [e45d32] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [e45d32] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [e45d32] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [9b500d] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [9b500d] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
nslcd: [9b500d] <shadow="nameuser"> DEBUG: ldap_result(): uid=username,ou=People,dc=domain,dc=com
nslcd: [9b500d] <shadow="nameuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [1bd7b7] DEBUG: connection from pid=28329 uid=0 gid=0
nslcd: [1bd7b7] <shadow="nameuser"> DEBUG: myldap_search(base="ou=people,dc=domain,dc=com", filter="(&(objectClass=shadowAccount)(uid=username))")
^Cnslcd: caught signal SIGINT (2), shutting down
nslcd: DEBUG: set_socket_timeout(5,0)
nslcd: DEBUG: ldap_unbind()
nslcd: DEBUG: set_socket_timeout(5,0)
nslcd: DEBUG: ldap_unbind()
nslcd: DEBUG: set_socket_timeout(5,0)
nslcd: DEBUG: ldap_unbind()
nslcd: thread 0 is still running, shutting down anyway
nslcd: version 0.9.4 bailing out

12
Добрый день, подскажите пожалуйста, не могу понять, почему не работает наложение memberOf на реплике.


Когда выполняю на мастере команду:
ldapsearch -LLL -xWD "uid=user.name,ou=People,dc=example,dc=com" memberof=cn=name.group,ou=Groups,dc=example,dc=com dn


то мне возвращается список пользователей и всё ок.


Делаю тоже самое на реплике и запрос ничего не возвращает. Хотя запросы по другим группам работают нормально. То есть получается, что проблема с конкретной группой. По сравнению с остальными группами набор атрибутов одинаковый. В логах никаких ошибок нет. Не могу понять в чём проблема :(


13
Добрый день, прошу подсказать с настройкой правил для openLDAP + postfix.

Есть группа общей рассылки:


dn: cn=all,ou=Groups,dc=example,dc=com
cn: all
description: all mail group
memberURL: ldap://server.example.com/dc=example,dc=com??sub?(&(objectClass=kolabinetorgperson)(!(memberof=cn=Deleted.dept,ou=Groups,dc=example,dc=com)))
objectClass: top
objectClass: groupOfURLs
objectClass: kolabGroupOfUniqueNames
mail: all@example.com

На postfix прописаны следующие правила:

recipient_restrictions = permit_mynetworks,check_recipient_access hash:/etc/postfix/recipient_access, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unlisted_recipient, reject_unauth_pipelining

smtpd_recipient_restrictions = $recipient_restrictions, permit_sasl_authenticated, reject_unauth_destination, permit
submission_recipient_restrictions = $recipient_restrictions, permit_sasl_authenticated, reject_unauth_destination, permit

Мне нужно чтобы на адрес all@example.com приходили письма только от определенных членов группы LDAP.

Если я всё правильно понял, то мне нужно в файле /etc/postfix/recipient_access каким-то образом написать правило, что если отправитель не состоит в группе ldap'а, то дропнуть письмо.

Я не уверен, что так можно, хотелось бы узнать можно ли такое реализовать?

14
Добрый день, подскажите пожалуйста, как решить проблему с uidNumber. Проблема в следующем, начали переключать на серверах ssh на LDAP-аутентификацию. Переключили пару десятков серверов и вот обнаружилась какая проблема: в LDAP uidNumber пользователей начинается с 2 и почти дошел до 2000, и если при установке пакета утилита пытается создать пользователя, то появляться ошибка:

adduser: No UID/GID pair is available in the range 100-999 (FIRST_SYS_UID - LAST_SYS_UID).

Оперативно поменять uidNumber 1000 пользователям мы не можем (хотя в дальнейшем планируется) и поэтому я хотел бы отфильтровать пользователей в nslcd, благо ssh нужен примерно 100 пользователям. Но тут проблема в другом. Для настройки доступа для каждого сервера делается posixGroup и она не понимает, что такое memberof. И вот я вижу несколько решений и хотелось бы, чтобы подсказали как будет правильней:

1. Не знаю на сколько это рабочая схема, но что если отказаться от posixGroup и перейти на groupOfUniqueNames? Будет ли тогда работать к примеру Allow Groups в sshd_config?

2. Сменить диапазон FIRST_SYS_UID - LAST_SYS_UID. Но это я так понимаю, крайне не рекомендуемое решение?

15
Доброго дня. Есть задача, настроить аутентификацию SSH по ключам из LDAP. Я нашел несколько статей как это сделать, но у всех разные механизмы. Хотя все они сходятся в том, что нужно добавить 2 новых атрибута на сервер. Вот тут у меня возникает первый вопрос, эти 2 атрибута лучше добавить отдельной схемой или добавить в какую-нибудь существующую? Так у меня вопрос к более опытным специалистам, если они настраивали такой механизм, как это сделать лучше?

Страницы: [1] 2