« предыдущая тема следующая тема »
Страницы: [1]

Автор Тема: Вложенный cn  (Прочитано 15440 раз)

buddy

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Вложенный cn
« : 05 Февраль 2015, 13:23:54 »
Добрый день!

В первую очередь, прошу прощения за ламерский вопрос, но самостоятельно найти ответ на него мне не удалось. Буду очень благодарен за помощь.
У меня настроен openldap (slapd 2.4.31) сервер и phpldapadmin. Авторизация по ветке в apache прописана следующим образом:

AuthName "Restricted!"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPURL "ldap://ldap.domain.ru/ou=users,dc=domain,dc=ru"
AuthLDAPGroupAttribute uniqueMember
Require ldap-group cn=admin1,ou=site1,ou=group,dc=domain,dc=ru

пользователи из ou=users включены в cn=admin1 как uniqueMember

Вопрос в следующем: можно ли каким-то образом добавить нужных мне пользователей в cn=admin2,ou=site1,ou=group,dc=domain,dc=ru
а уже эту ветку включить в cn=admin1,ou=site1,ou=group,dc=domain,dc=ru

Заранее огромное спасибо за помощь!
Записан

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Вложенный cn
« Ответ #1 : 05 Февраль 2015, 14:18:00 »
Здравствуйте! Честно говоря, так и не понял, что Вы хотите сделать. Судя по настройкам apache, cn=admin1,ou=site1,ou=group,dc=domain,dc=ru -- это группа на объектном классе groupOfUniqueNames. А что тогда такое cn=admin2,ou=site1,ou=group,dc=domain,dc=ru и как Вы хотите добавить в эту "ветку" пользователей? В общем, хотелось бы понять предполагаемую структуру каталога, желательно описанную более-менее подробно, тогда можно будет ответить что-то определённое.

Егор
Записан

buddy

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Вложенный cn
« Ответ #2 : 05 Февраль 2015, 14:50:01 »
Да, конечно. попробую объяснить подробнее.

Есть группа пользователей, заведённых с использованием классов inetOrgPerson, posixAccount.

Часть из них я хочу включить в группу, как вы совершенно верно заметили, на groupOfUniqueNames.
а уже эту первую группу, включить во вторую группу и авторизацию в апаче настраивать именно по второй группе.

то есть в группу, по которой будет осуществляться авторизация мне нужно включать группы, а не конкретных пользователей.
Записан

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Вложенный cn
« Ответ #3 : 06 Февраль 2015, 00:31:15 »
Если Вы используете OpenLDAP, то можно применить наложение динамических групп и сформировать виртуальную группу по результатам запроса, так чтобы в ней были члены из других групп. Посмотрите ещё тут.

Если речь идёт об apache, то можно поступить проще -- указать несколько групп в настройках:
Код: [Выделить]
AuthName "Restricted!"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPURL "ldap://ldap.domain.ru/ou=users,dc=domain,dc=ru"
AuthLDAPGroupAttribute uniqueMember
Require ldap-group cn=admin1,ou=site1,ou=group,dc=domain,dc=ru
Require ldap-group cn=group2,ou=site1,ou=group,dc=domain,dc=ru
Require ldap-group cn=group3,ou=site1,ou=group,dc=domain,dc=ru

Егор
Записан

buddy

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Вложенный cn
« Ответ #4 : 06 Февраль 2015, 08:37:04 »
Ясно. Спасибо большое! Буду думать, как сделать оптимальнее.
Записан
Страницы: [1]
« предыдущая тема следующая тема »