« предыдущая тема следующая тема »
Страницы: [1]

Автор Тема: OpenLdap как LDAPproxy для индентификации юзеров с нескольких доменов  (Прочитано 17634 раз)

kvark

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
OpenLdap как LDAPproxy для индентификации юзеров с нескольких доменов
« : 03 Июнь 2013, 18:11:42 »
Всем привет, я пока новичек в OpenLDAP посему ищю кто поможет разобраться.

Моя система: Виндовс сервер 2008 R2
OpenLdap 2.4.34
(http://www.userbooster.de/en/download/openldap-for-windows.aspx)
Browser: LDAP Admin 1.5.2.0
Конфигурация через: slap.d

Неполучаеться разобраться как примапить в свой OpenLdap контейнеры с юзерами из других доменов (фул траст)

Поясню, у меня есть домены AAa.com и AAb.сom а так же BBc.com (машина с OpenLdap включена в этот домен) хочеться получить структуру типа такого:
dc=AAa,dc=com
     ou=P1
          cn=user1
          cn=user2
     
dc=AAb,dc=com
     ou=P1
          cn=user1
          ...
     ou=P2
          cn=user1
          cn=user2
          ...
     ou=P3

dc=BBc,dc=com
     ou=P1
          cn=user1
          cn=user2
          ...
     ou=P2
          cn=user1
          cn=user2
          ...
     ou=P3
          ...

Нужно для того что HPSM9.3 мог их индентифицировать по OpenLdap так как сам не умеет перебирать домены и нужно всех собрать в одном месте. Достаточно только чтения.

Подскажите как такое сделать?
Записан

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: OpenLdap как LDAPproxy для индентификации юзеров с нескольких доменов
« Ответ #1 : 04 Июнь 2013, 01:48:06 »
Здравствуйте! Простейший вариант в Вашем случае -- использовать несколько "баз данных" механизма back_ldap, пример можно посмотреть здесь (правда там под статическую конфигурацию, но, думаю, разберётесь).

Что Вы подразумеваете по фул-траст?

Егор
Записан

kvark

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: OpenLdap как LDAPproxy для индентификации юзеров с нескольких доменов
« Ответ #2 : 04 Июнь 2013, 15:34:42 »
Спасибо, но у меня есть только slap.d как тоже самое можно через него сконфигурироапть?

фул траст имел ввиду что каждый домен доверяет каждому (то есть все три друг другу доверяют)
Записан

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: OpenLdap как LDAPproxy для индентификации юзеров с нескольких доменов
« Ответ #3 : 05 Июнь 2013, 06:10:05 »
Здравствуйте! Для динамической конфигурации (slapd.d) надо добавить в БД cn=config записи баз данных механизма back_ldap по количеству доменов примерно такого содержания:
Код: [Выделить]
dn: olcDatabase=ldap,cn=config
objectClass: olcDatabaseConfig
objectClass: olcLDAPConfig
olcDatabase: ldap
olcDbURI: "ldap://x.x.x.x"
olcSuffix: dc=AAa,dc=com
olcDbIDAssertAuthzFrom: *
olcDbIDAssertBind: bindmethod=simple binddn="cn=SomeUser,cn=Users,dc=AAa,dc=com" credentials="somePassword" mode=none
olcReadOnly: TRUE
Я бы добавил это с помощью ldapadd, а как на Windows -- не знаю. Если back_ldap собран в виде модуля, нужно ещё в запись cn=module{0},cn=config добавить подгрузку модуля (с помощью ldapmodify):
Код: [Выделить]
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: back_ldap.la

Егор
Записан
Страницы: [1]
« предыдущая тема следующая тема »