Всем привет! Парни подсобите. Настроил ldap проксёй к AD. Все ищется все получается, в общем полное счастье. Только при поиске он ищет и выдает также и компьютеры и принтеры, чего не хотелось бы. Не могли бы вы подсказать мне правильный фильтр? Версия Centos 5.9, Openldap 2.3.43-25.
slapd.conf :
database ldap readonly on suffix «dc=mydomain,dc=local» rebind-as-user uri «ldap://10.110.5.241/» #domain controller AD chase-referrals yes rootdn «cn=user1,cn=users,dc=mydomain,dc=local» rootpw {SSHA}secret directory /var/lib/ldap
index objectClass,objectCategory eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub
access to dn.subtree=«dc=mydomain,dc=local» filter="(&(objectCategory=person)(objectClass=user))" # Сделал такое по руководству, потом еще и нагуглил такой же #вариант после серии неудач by * read
При запросе с другой машины:
ldapsearch -x -h 10.110.5.15 -b dc=mydomain,dc=local -D cn=«Иван Иванов»,ou=«Domain Users»,ou=OtdelA,dc=mydomain,dc=local -W '(&(Ob'ectCategory=person)(ObjectClass=user))' 'петров' Enter LDAP Password:
Получаю:
# extended LDIF # # LDAPv3 # base <dc=mydomain,dc=local> with scope subtree # filter: (&(ObjectCategory=person)(ObjectClass=user)) # requesting: петров #
# search reference ref: ldap://komfort.mydomain.local/DC=komfort,DC=mydomain,DC=local
# search reference ref: ldap://ForestDnsZones.mydomain.local/DC=ForestDnsZones,DC=mydomain,DC=local
# search reference ref: ldap://mydomain.local/CN=Configuration,DC=mydomain,DC=local
# search reference ref: ldap://DomainDnsZones.mydomain.local/DC=DomainDnsZones,DC=mydomain,DC=local
# search reference ref: ldap://mydomain.local/CN=Schema,CN=Configuration,DC=mydomain,DC=local
# search result search: 2 result: 0 Success
Хотя если убрать фильтр из slapd.conf и запроса все покажет. Если фильтр не указать ругается на права доступа.
P.S. Несколько уточняющих вопросов. Я правильно понял, что : 1) При установке подобного фильтра, доступ к базе разрешается только при использовании этого фильтра и ни какого другого? 2) Если указать данный ldap-сервер в thunderbird, то в почтовике также необходимо указать фильтр запроса как в запросе из командной строки? 3) Если мне необходим будет анонимный доступ к базе, то в запросе мне не нужно будет указывать имя aka _"-D cn=«Иван Иванов»,ou=«Domain Users»,ou=OtdelA,dc=mydomain,dc=local ", но в самом фильтре также указать by anonymous auth?