Последние сообщения

61

Общий раздел / Re: Postfix + ldap

« Последний ответ от werter 02 Декабрь 2020, 11:25:28 »

Добрый.
Понимаю, что тема старая. Вот что-то отдаленно похожее serverfault.com/questions/624413/postfix-splitting-domain-to-separate-mailstores-using-ldap

62

Общий раздел / Re: Выбор только активных пользователей из группы в AD при отправке

« Последний ответ от werter 02 Декабрь 2020, 10:16:33 »

Добрый.
Спасибо за ответ.

Зы. Может postfix умеет со скриптами работать? Перед отправкой, например?

63

Общий раздел / Re: Выбор только активных пользователей из группы в AD при отправке

« Последний ответ от egor 02 Декабрь 2020, 06:13:24 »

Здравствуйте! При вашей постановке задачи, думаю, отследить отключенных пользователей не получится =( .

В параметре query_filter вы отбираете именно запись группы с почтовым адресом, а признак активности/неактивности пользователя хранится в самой записи пользователя. Каким образом ведёт себя обработчик LDAP-карт postfix, после того, как найдёт в записи группы атрибуты из параметра special_result_attribute, -- трудно сказать: он может просто обратиться к этим записям напрямую, или попробовать выполнить ещё один LDAP-запрос. Если он выполняет ещё один LDAP-запрос, то можно попытаться задать такой фильтр:

Код: [Выделить]

query_filter = (|(&(objectClass=group)(|(mail=%s)(otherMailbox=%s)(proxyAddresses=%s)))(&(objectClass=user)(|(mail=%s)(otherMailbox=%s)(proxyAddresses=%s))(!(|(userAccountControl=514)(userAccountControl=66050)))))
То есть, либо отбираем группу, либо активного пользователя. А если второй LDAP-запрос не выполняется (что скорее всего), то увы.

Егор

64

Общий раздел / Выбор только активных пользователей из группы в AD при отправке

« Последний ответ от werter 01 Декабрь 2020, 17:26:42 »

Всем привет.
Суть проблемы. Есть стандартная настроенная связка postfix + dovecot + AD. Все работает - все довольны.
Кроме одного. В AD есть группы,в группе есть поль-ли. При отправке на группу письма пол-лям приходят - все ок. Но при этом postfix пытается отправить и тем поль-лям, к-ые есть в группе, но в AD они отключены.

Как сделать так, чтобы postfix не пытался отправить письма отключенным в AD пол-лям, входящим в группу?

Заранее благодарен.

cat /etc/postfix/ldap/ad_virtual_group_maps.cf

Код: [Выделить]

...
query_filter     = (&(objectClass=group)(|(mail=%s)(otherMailbox=%s)(proxyAddresses=%s)))

result_attribute =
special_result_attribute = member
leaf_result_attribute = mail,otherMailbox,proxyAddresses
...


65

Работа с LDAP-клиентами / Re: Помощь с LDAP клиентом в виде АТС

« Последний ответ от Akavir 10 Ноябрь 2020, 09:55:21 »

Простите за глупый вопрос: а сервер 192.168.64.10 доступен с АТС 10.8.0.2? То есть, хотя бы ping проходит? Также, возможно, настройки файрвола не дают обратиться к порту 389.

Вопрос более чем правильный, но это я проверил в первую очередь, устройства видят друг друга и пингуются, межсетевой экран и SELinux на сервере выключены в данный момент.

Но дело оказалось в промежуточных устройствах, которыми я, к сожалению, не управляю, как только переместил LDAP сервер в сеть 10.8.0.0 клиент сразу подключился. Я вас очень благодарю

66

Работа с LDAP-клиентами / Re: Помощь с LDAP клиентом в виде АТС

« Последний ответ от egor 10 Ноябрь 2020, 00:11:42 »

Простите за глупый вопрос: а сервер 192.168.64.10 доступен с АТС 10.8.0.2? То есть, хотя бы ping проходит? Также, возможно, настройки файрвола не дают обратиться к порту 389.

67

Работа с LDAP-клиентами / Re: Помощь с LDAP клиентом в виде АТС

« Последний ответ от Akavir 09 Ноябрь 2020, 20:58:25 »

Добрый вечер! Благодарю за ответ!

Проверил, сервер отлично принимает соединения извне.
Подключил логирование, но особенно порадовала команда для отладки, за неё отдельная благодарность. Но к сожалениию, помоему дело не в сервере, а в том, что АТС вообще не обращается к нему (пробовал все уровни от -1 до 256).

Снял видео, что происходит, когда телефон обращается к серверу https://vimeo.com/477249132 и когда АТС https://vimeo.com/477249318

Буду пытаться связаться с техподдержкой, но предчувствую ответ, что у меня что-то не так настроено. Есть ещё предположение, что АТС очень хочет видеть Active Directory, а поддержка OpenLDAP просто для галочки. Может быть имеется вариант прикинуться Активными диреториями от Майкрософта, но подозреваю, что это из области фантастики

68

Работа с LDAP-клиентами / Re: Помощь с LDAP клиентом в виде АТС

« Последний ответ от egor 07 Ноябрь 2020, 13:49:56 »

В таком случае эту запись uid=NSX1000,ou=equipment,dc=panasonic,dc=local с её паролем и следует указать в настройках АТС. Для чистоты эксперимента нужно ещё проверить, принимает ли сервер соединения извне (а не только с localhost), что-то типа такого:

Код: [Выделить]

ldapsearch -H ldap://myserver.mydomain.net -D uid=NSX1000,ou=equipment,dc=panasonic,dc=local -W -b dc=panasonic,dc=localгде вместо myserver.mydomain.net нужно указать DNS-имя (или IP-адрес) вашего сервера. Но скорее всего должен принимать.

Ещё хотел спросить может быть у OpenLDAP есть какие-то средства мониторинга запросов от клиентов извне, чтобы посмотреть, происходит ли вообще обращение к серверу?

Обычно это просто логи (настраиваются значением атрибута olcLogLevel в записи cn=config), например:

Код: [Выделить]

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: 256

Если нужно понимать, что действительно происходит, я запускаю slapd в debug-режиме, когда он слушает соединения, а логи выводит сразу в консоль, точнее, в STDOUT. Сначала нужно остановить штатный slapd:

Код: [Выделить]

systemctl stop slapdа затем запустить slapd с правами root из консоли с параметром -d (debug-режим), примерно так:

Код: [Выделить]

/usr/sbin/slapd -h ldap://myserver.mydomain.net -u ldap -g ldap -F /etc/openldap/slapd.d -d 256(смысл всех параметров можно посмотреть с man-старнице slapd). А потом из другой консоли выполнить приведённый выше запрос ldapsearch, и посмотреть, что логирует slapd.

Егор

69

Работа с LDAP-клиентами / Re: Помощь с LDAP клиентом в виде АТС

« Последний ответ от Akavir 07 Ноябрь 2020, 08:52:22 »

Добрый день, благодарю за ответ!

Команда:

Код: [Выделить]

ldapsearch -D uid=NSX1000,ou=equipment,dc=panasonic,dc=local -W -b dc=panasonic,dc=local
Выводит:

Код: [Выделить]

# extended LDIF
#
# LDAPv3
# base <dc=panasonic,dc=local> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# panasonic.local
dn: dc=panasonic,dc=local
dc: panasonic
objectClass: dcObject
objectClass: organization

# admin, panasonic.local
dn: cn=admin,dc=panasonic,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Manager

# employees, panasonic.local
dn: ou=employees,dc=panasonic,dc=local
objectClass: organizationalUnit
ou: employees

# Robert Smith, employees, panasonic.local
dn: cn=Robert Smith,ou=employees,dc=panasonic,dc=local
objectClass: inetOrgPerson
cn: Robert Smith
cn: Robert J Smith
cn: bob  smith
sn: smith
uid: rjsmith
carLicense: HISCAR 123
homePhone: 555-111-2222
mail: r.smith@example.com
mail: rsmith@example.com
mail: bob.smith@example.com
description: swell guy

# groups, panasonic.local
dn: ou=groups,dc=panasonic,dc=local
objectClass: organizationalUnit
ou: groups

# equipment, panasonic.local
dn: ou=equipment,dc=panasonic,dc=local
objectClass: organizationalUnit
ou: equipment

# users, groups, panasonic.local
dn: cn=users,ou=groups,dc=panasonic,dc=local
objectClass: groupOfNames
cn: users
description: Users group
member: cn=Robert Smith,ou=employees,dc=panasonic,dc=local

# admin, groups, panasonic.local
dn: cn=admin,ou=groups,dc=panasonic,dc=local
objectClass: groupOfNames
cn: admin
description: Admins group
member: cn=Smith Smith,ou=employees,dc=panasonic,dc=local

# \D0\9C\D0\B0\D0\BB\D0\B8\D0\BA\D0\BE\D0\B2 \D0\94.\D0\98. \D0\BA\D0\B0\D0\B1.
 117, employees, panasonic.local
dn:: Y2490JzQsNC70LjQutC+0LIg0JQu0JguINC60LDQsS4xMTcsb3U9ZW1wbG95ZWVzLGRjPXBhb
 mFzb25pYyxkYz1sb2NhbA==
sn:: 0JzQsNC70LjQutC+0LI=
cn:: 0JzQsNC70LjQutC+0LIg0JQu0JguINC60LDQsS4xMTc=
objectClass: inetOrgPerson
objectClass: top

# other, equipment, panasonic.local
dn: cn=other,ou=equipment,dc=panasonic,dc=local
cn: other
gidNumber: 500
objectClass: posixGroup
objectClass: top

# NSX1000, equipment, panasonic.local
dn: uid=NSX1000,ou=equipment,dc=panasonic,dc=local
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
uid: NSX1000
cn: NSX1000
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
uidNumber: 1000
loginShell: /bin/false
homeDirectory: /home/NSX1000
gidNumber: 500
userPassword:: e1NTSEF9d3FaVzV0UjExd0dLVjA5YWF5TG5rZ0tTN256QzJqMUM=

# search result
search: 2
result: 0 Success

# numResponses: 12
# numEntries: 11
Я дополнительно ещё записи делал, тренируясь, так что в выводе чуть-чуть больше получилось.

Команда:

Код: [Выделить]

ldapwhoami -xWD uid=NSX1000,ou=equipment,dc=panasonic,dc=local
Выводит:

Код: [Выделить]

dn:uid=NSX1000,ou=equipment,dc=panasonic,dc=local
Ещё хотел спросить может быть у OpenLDAP есть какие-то средства мониторинга запросов от клиентов извне, чтобы посмотреть, происходит ли вообще обращение к серверу?

70

Работа с LDAP-клиентами / Re: Помощь с LDAP клиентом в виде АТС

« Последний ответ от egor 07 Ноябрь 2020, 00:19:13 »

Здравствуйте! Вроде всё выглядит неплохо. Между этапами

#Создадим пользователя для АТС

и

#Установим пароль для пользователя NSX1000

вы выполнили само добавление записи пользователя в каталог? Что-то вроде такого:

Код: [Выделить]

ldapadd -x -D "cn=admin,dc=panasonic,dc=local" -W -f add_NSX1000_user.ldifгде add_NSX1000_user.ldif -- тот файл, в котором вы описали запись пользователя?

Если да, то что выводят команды:

Код: [Выделить]

ldapsearch -D uid=NSX1000,ou=equipment,dc=panasonic,dc=local -W -b dc=panasonic,dc=localи

Код: [Выделить]

ldapwhoami -xWD uid=NSX1000,ou=equipment,dc=panasonic,dc=local?

Егор