Последние сообщения

Страницы: [1] 2 3 ... 10
1
Общий раздел / Re: Проверка входа пользователя
« Последний ответ от egor 18 Апрель 2019, 00:48:52 »
Как я понял, ситуация складывается так, что учётки заводит один человек, а атрибуты наложения ppolicy должен назначать другой. Лучшим вариантом, наверное, было бы, если бы это делалось одновременно при заведении учётки.

Для записи в каталоге OpenLDAP предусмотрено несколько операционных атрибутов с отметками времени: createTimestamp, modifyTimestamp, entryCSN, можно попытаться привязаться к ним, но это не даст 100% гарантии в определении того, заходил ли уже пользователь в систему.

Из наложений для определения входа пользователя в систему, на мой взгляд, подошло бы accesslog, на собранных данных можно построить какой-то анализ.

Егор
2
Общий раздел / Re: Проверка входа пользователя
« Последний ответ от ctopmbi4 17 Апрель 2019, 15:25:21 »
Егор может быть как то еще можно определить, что УЗ пользователя только что создана?
То есть атрибут pwdReset хочу добавлять именно через скрипт который должен определить, что пользователь еще не логинился в систему.
Может быть можно прикрутить какой то доп. модуль?
3
Общий раздел / Re: Проверка входа пользователя
« Последний ответ от egor 17 Апрель 2019, 12:43:10 »
Здравствуйте. Специального атрибута для фиксации факта/количества попыток входа пользователя нет. Как вариант, можно создавать учётную запись с уже установленным атрибутом pwdReset или pwdMustChange, тогда, согласно пункту 8.1.2.2 документа draft-behera-ldap-password-policy-09.txt, сервер должен вернуть ответ bindResponse  с элементом управления passwordPolicyResponse и  соответствующим уведомлением "changeAfterReset specified". Другое дело, сможет ли пользовательский клиент обработать такой ответ и сообщить пользователю о необходимости сменить пароль, например, если в качестве клиента будет какой-нибудь аутентификационный модуль squid, apache и т.п. Скорее всего, нет.

В любом случае, это моё предположение, нужно проверять на макете.

Егор
4
Общий раздел / Проверка входа пользователя
« Последний ответ от ctopmbi4 17 Апрель 2019, 11:01:18 »
Добрый день.
Хотелось бы проверять вновь созданного  пользователя и задавать ему атрибут pwdReset для принудительной смены пароля при первом входе.
Не нашел операционного атрибута о входе пользователя. 
Как можно этот момент реализовать?
5
Samba / Re: samba AD параметры пользователя
« Последний ответ от egor 16 Апрель 2019, 02:40:35 »
Здравствуйте! В принципе, стандартными средствами всё удалось добавить. Примерно так.

Сначала получим запись пользователя, убедимся, что атрибута mobile в ней нет:
$ ldapsearch -LLL -o ldif-wrap=no -Y GSSAPI -b cn=Users,dc=somedomen,dc=ins '(samaccountname=babkina)' objectClass mobile | perl -MMIME::Base64 -wpe 's/^([^:]+):: (.+)$/"$1: " . decode_base64($2)/e'
SASL/GSSAPI authentication started
SASL username: egor@SOMEDOMEN.INS
SASL SSF: 56
SASL data security layer installed.
dn: CN=Бабкина Ирина Владимировна,CN=Users,DC=somedomen,DC=ins
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
perl я использовал для раскодировки base64, то есть для красивого вывода, особо он не нужен.

Составляем LDIF для модификации пользователя (добавление атрибута mobile):
$ cat /tmp/babkina.ldif
dn: CN=Бабкина Ирина Владимировна,CN=Users,DC=somedomen,DC=ins
changetype: modify
add: mobile
mobile: 8-999-999-99-99

Применяем LDIF с помощью ldapmodify:
$ ldapmodify -Y GSSAPI -f /tmp/babkina.ldif
SASL/GSSAPI authentication started
SASL username: egor@SOMEDOMEN.INS
SASL SSF: 56
SASL data security layer installed.
modifying entry "CN=Бабкина Ирина Владимировна,CN=Users,DC=somedomen,DC=ins"

Проверяем запись после изменения:
$ ldapsearch -LLL -o ldif-wrap=no -Y GSSAPI -b cn=Users,dc=somedomen,dc=ins '(samaccountname=babkina)' objectClass mobile | perl -MMIME::Base64 -wpe 's/^([^:]+):: (.+)$/"$1: " . decode_base64($2)/e'
SASL/GSSAPI authentication started
SASL username: egor@SOMEDOMEN.INS
SASL SSF: 56
SASL data security layer installed.
dn: CN=Бабкина Ирина Владимировна,CN=Users,DC=somedomen,DC=ins
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
mobile: 8-999-999-99-99
Всё применилось.

То же самое с помощью ldbmodify. Добавим атрибут telephoneNumber. Сначала LDIF:
$ cat /tmp/babkina2.ldif
dn: CN=Бабкина Ирина Владимировна,CN=Users,DC=somedomen,DC=ins
changetype: modify
add: telephoneNumber
telephoneNumber: 8-800-800-80-80

Применим его с помощью ldbmodify:
$ ldbmodify -H ldap://localhost -U egor /tmp/babkina2.ldif
Password for [SOMEDOMEN\egor]:
Modified 1 records successfully

Проверим результат:
$ ldapsearch -LLL -o ldif-wrap=no -Y GSSAPI -b cn=Users,dc=somedomen,dc=ins '(samaccountname=babkina)' objectClass mobile telephoneNumber | perl -MMIME::Base64 -wpe 's/^([^:]+):: (.+)$/"$1: " . decode_base64($2)/e'
SASL/GSSAPI authentication started
SASL username: egor@SOMEDOMEN.INS
SASL SSF: 56
SASL data security layer installed.
dn: CN=Бабкина Ирина Владимировна,CN=Users,DC=somedomen,DC=ins
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
mobile: 8-999-999-99-99
telephoneNumber: 8-800-800-80-80

Всё в порядке.
Егор
6
Samba / samba AD параметры пользователя
« Последний ответ от ApB 15 Апрель 2019, 16:46:55 »
Приветствую!

Если подключиться к SambaAD посредством ldap-браузера, то есть параметры типа title, mobile (страна, должность, организация ... ) и прочие. Эти параметры можно заплнить посредством карточки пользователя через RSAT, однако при попытке  экспортировать в схему через ldbmodify, получаю сообщение об отсутствии атрибута.

Как/посредством чего/куда экспортировать эти атрибуты?

В ldap (cn=users,dc=domain,dc=zn) таких атрибутов найти не удалось, или я что-то просмотрел?
7
Общий раздел / Re: Postfix + ldap
« Последний ответ от icom 10 Апрель 2019, 05:10:40 »
при попытке включить авторизацию для dovecot по ldap и mysql одновременно возникла проблема.
Как только просто устанавливаю модуль dovecot-mysql, при перезапуске сервиса ругается что не может загрузить библиотеку ldap:
Общий лог кота:
Dec 28 13:56:58 auth: Debug: Loading modules from directory: /usr/lib/dovecot/modules/auth
Dec 28 13:57:01 auth: Debug: Loading modules from directory: /usr/lib/dovecot/modules/auth
Dec 28 13:57:01 auth: Debug: Module loaded: /usr/lib/dovecot/modules/auth/libdriver_mysql.so

Error.log
Dec 28 13:57:01 auth: Fatal: Couldn't load required plugin /usr/lib/dovecot/modules/auth/libauthdb_ldap.so: dlopen() failed: libnettle.so.6: failed to map segment from shared object
Dec 28 13:57:01 master: Error: service(auth): command startup failed, throttling for 2 secs

При это с postfix никаких проблем не возникло, смотрит ldap и mysql. Что может быть, у меня идеи быстро кончились?
По этому вопросу решение пришло позже:
во-первых обновился до актуального стабильного релиза dovecot, ругательства сильно поменялись, но суть осталась.
во-вторых поставил спамассасин, а он хотело каких-то еще криптобиблиотек;
в-третьих в файле довекота 10-master, параметр default_vsz_limit = 64М поменял на 256M как рекомендовалось в новых версиях.
Установил и подключил модуль dovecot-mysql и нет проблем.
8
Общий раздел / Re: Postfix + ldap
« Последний ответ от icom 31 Январь 2019, 05:11:23 »
Беда заключалась в том что "memberof" регистрозависимый и называться он должен "memberOf", буква "О" обязательно большая. Далее вопрос по скрипту dovecot в переменную $user отдает вместе с доменом, как отрезать "@domain.ru"? с перлом как я уже говорил у меня беда полная. Плюс ко всему ldapsearch в debian 9.6 по умолчанию не идет, но находится скрипт для запуска /usr/share/bash-completions/, что меня новичка смутило сначала, что он молча то, доставил пакет ldap-utils и все встало на свои места.

Ну и с вырезанимаем не режет, почему-то, mycompany.ru заменил на свое, да и OU значительно больше, чем Users
perl -00 -wpe 'chomp; s/memberOf: cn=([^,]+),cn=users,dc=mycompany,dc=ru(\n?)/$1 . ($2 ? "," : "")/gie'`Что выдает скрипт на данный момент отправил в личное сообщение.
9
Общий раздел / Re: Postfix + ldap
« Последний ответ от egor 23 Январь 2019, 06:47:38 »
Да, более десяти групп
И ldapsearch типа:
ldapsearch -o ldif-wrap=no -xLLL -H ldap://ads.mycompany.ru -D someUser@mycompany.ru -w somePass -b cn=users,dc=mycompany,dc=ru samaccountname=testuser memberof
ничего не возвращает?
10
Общий раздел / Re: Postfix + ldap
« Последний ответ от icom 23 Январь 2019, 03:57:35 »
Да, более десяти групп
Страницы: [1] 2 3 ... 10