Егор, спасибо за ответ!
Вы правы, дерево используется не совсем правильное, меня оно тоже не устраивает, (по принципу "пользователь - только в одной группе"), но только при таком подходе в редмине удалось авторизоваться.
Задача - организовать гибкую систему управления пользователями в общественной организации. Есть уже упомянутый редмин, астериск, хотим добавить jabber и CRM (ее тоже к лдапу подключать). Пока самая актуальная проблема - с редмином.
Как я это вижу:
1. Зарегистрировался пользователь - через ldif создаю его в ou=People. Всё, на пользователя есть имя, емайл и uid (или cn?). А, еще пароль.
2. Захотел поучаствовать в работе (взять задачу в редмине) - добавляю его в группу redmine и в группу jabber (через запись в его данных или в группе его прописать - тут мне не видно, как удобнее и проще) - пользователь получает доступ до редмина и джаббера.
3. Проявил интерес дальше - добавляю в группу астериска - у пользователя появляется доступ до ip-телефонии.
4. Ушел он после первого дня - удаляю его из группы redmine, jabber и asterisk.
5. Вернулся и хочет только в чате атмосферу поддерживать - опять группа jabber
6. Если пойдет поток пользователей, веб-интерфейсом можно не управится, поэтому предполагаю загнать это в скрипты, но это же не шестое, а десятое))
Это моя идеальная картинка))) На деле, бьюсь с редмином. На LOR'e подсказали, что разные сервисы смотрят у пользователя разные атрибуты: redmine смотрит
Login = sAMAccountName
Firstname = givenName
Lastname = sN
Email = mail
По правильному, как описано в
мануале редмина для адекватной работы с лдапом нужно модуль memberOf подгрузить, при этом не до конца понятно, с какими минимальными атрибутами создавать пользователя (posix или еще какие-то варианты), чтобы они работали по этой схеме, в этой группе.
По описанной вами правильной схеме (пользователей - в ou=People, группы - в ou=Group), пользователь user1 группы redmine, хоть и является member'ом, но авторизоваться не может, пароль не подходит... В самом редмине прописываю путь cn=redmine,ou=Group,dc=ldap,dc=centos... cn=redmine создавала и как posixGroup, и как groupOfNames. Скорее, пытаюсь связать не подходящие элементы конструктора)))
Вчера пробовала в SuiteCRM - пользователь из той же группы redmine (не стала новую создавать, протестила на имеющейся) тоже не может авторизоваться, пароль не подходит...
Установила модуль memberOf по предложенной вами инструкции, она совпасам модуль загрузился без ошибок, только загружен два раза (очень надеюсь, что это не критично)
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
dn: cn=config
dn: cn=module{1}{0},cn=config
dn: cn=module{1},cn=config
dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
dn: olcDatabase={-1}frontend,cn=config
dn: olcDatabase={0}config,cn=config
dn: olcDatabase={1}monitor,cn=config
dn: olcDatabase={2}hdb,cn=config
Добавление его как overlay тоже прошло на ура.
Теперь вопрос: с какими атрибутами создать пользователя, который сможет от имени редмина читать пароли от пользователей в лдапе?