LINUX.ORG.RU
ФорумJob

Оказываю БЕСПЛАТНУЮ помощь в области LDAP-технологий


0

0

Пожалуйста, задавайте вопросы, касающиеся проектирования, внедрения и различных аспектов эксплуатации Серверов каталогов, построенных на базе протокола LDAP и прикладных решений, использующих LDAP-каталоги.

Формулируйте вопросы по возможности коротко и предельно конкретно. Обещаю, что в течение суток (в будние дни) и двух суток (в выходные) Вы получите если не полный ответ, то по крайней мере столь же точное указание направления, в котором нужно "копать" и какие-то базовые ориентиры.

В каких-то случаях могу отказать - если задача слишком обширная и требует большого количества времени на решение. Всё-таки помощь на сугубо добровольных началах, и я никоим образом не подписываюсь на то, чтобы решать ваши задачи, я могу лишь дать какие-то знания, а применять их вы должны уметь сами. Впрочем, всё решается в индивидуальном порядке :)

Hanz Akkerman aka DRVTiny

★★★★★

Ответ на: комментарий от phasma

Ну тут все предлагают свои услуги за деньги, я же сугубо - "за идею". Не вижу противоречия.

DRVTiny ★★★★★
() автор топика

как быть с хомяками пользователей которые за ходят на сервер по ssh? Вопрос уже поднимался, но я ответ что-то не нахожу.

PS оказываю бесплатную помощь uname. Шутка.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Не очень понял вопрос. Если имеется в виду, как создавать их автоматом, то для этого есть pam_mkhomedir

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

Да-да, что-то типа этого, только skeleton хотелось бы хранить на отдельном хосте. Так же хотелось бы автоматизированно тереть хомяки когда юзер удаляется. Есть такое решение?

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Начну с конца: если юзер удаляется, нужно просто уточнить, с помощью чего он удаляется. Если это делается скриптом, то в общем не сложно удалить ОДИН каталог. Для того, чтобы каталог был действительно _один_ на все хосты (что логично) - юзайте AutoFS в сочетании с NFS. То есть собственно автоматическое монтирование домашнего каталога при первом запросе (скорее всего - запросе файла .bashrc) + хранение всех хомяков на одном массиве. Скелет, кстати, можно хранить где угодно (хоть в шкафу :)), вот, смотрите: http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/sag-pam_mkhomedir.html

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

Понял, спасибо. Наверно это наименее кривой способ.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Ну почему же :) Если ещё с LDAP'ом связано, вообще отлично, попробую помочь...

DRVTiny ★★★★★
() автор топика

если есть практический опыт или мысли по поводу взаимоувязке

1) freeradius или Cisco ACS
2) ldap в реализации communigate pro

буду признателен безмерно.

chocholl ★★
()
Ответ на: комментарий от chocholl

Честно, ни разу не сталкивался, но судя по http://tldp.org/HOWTO/archived/LDAP-Implementation-HOWTO/radius.html циска аутентифицируется через радиус, радиус - через LDAP. Проблему здесь вижу пока только одну - реализация LDAP в CommuniGate Pro оставляет желать много лучшего. Например, меня просто шокирует то, что для
DN: uid=<Name>,<baseDN>
CommuniGate сам ни за что не создст атрибут uid: <Name>, в результате чего поиск по фильтру (uid=<Name>) ничего не даст. Обоснование разработчиков CGP состоит в том, что, дескать, а где в RFC написано, что RDN должен быть представлен атрибутом в самой записи? Убил бы за такие вещи... Я уж не помню, как CGP относится к добавленным извне записям, которые всё-таки содержат этот самый RDN в своём теле - вроде, пропускает... Да, но от того не легче - Вам обязательно нужно посмотреть, а есть ли атрибут "логина" для Радиуса в учётках CGP?

P.S. Вы бы слышали мою матерную брань в тот момент, когда я понял, что в учётке с DN=mail=<MAIL>,<baseDN> самого атрибута mail нет и в помине!

P.P.S Ну и если интересно поработать над этим вместе, пишите мне на mudraia@list.ru, поставлю FreeRadius и CGP, потестим.

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

общая схема реализации мне известна.
интересуют как раз детали.
есть ряд вопросов:
1) выживет ли CGP после добавления атрибутов и классов объектов в дерево.
2) нет ли там проблемы схожей с аутентификацией в ldap от MS
3) есть ли там репликация, хотя бы master slave.
...

chocholl ★★
()
Ответ на: комментарий от chocholl

1) В CGP просто некуда добавлять эти классы, его схема не расширяется (да и куда бы её расширить...) 2) В смысле??? В AD аутентифицируюсь по жизни без проблем, если Вы имеете в виду BIND(SIMPLE) 3) Репликации LDAP-каталога в CGP нет, насколько я помню, есть репликация справочника в форме бэкап-сервера. Ну то есть если у вас есть второй CommuniGate-сервер как зеркало первого, то тогда и LDAP будет синхронизирован. Можно, кстати, использовать вообще любой внешний LDAP-сервер в качестве удалённого тома справочника. Там, правда, при добавлении пользователя не через интерфейс CommuniGate - не создаётся каталог его MailBox'а, что, кхм, в своё время доставило мне массу неудобств.

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от chocholl

Насчет бэкапов сейчас так вскользь посмотрел доки - не нашёл...
А вообще советую и правда рассмотреть возможность использования внешнего LDAP-каталога типа OpenLDAP или OpenDS. Там есть подводные камни навроде того, что при добавлении пользователя через CommuniGate в OpenLDAP последний отвергает запись из-за отсутствия атрибута из RDN, но, например, с OpenDS эта проблема решается.
Кстати, могу дать небольшой конвертер схем из формата OpenLDAP (в этом формате схема есть для CommuniGate) в формат OpenDS.
Если добавлять пользователя в LDAP не через CommuniGate, как я уже говорил, Mailbox вам придётся создавать самому. То есть CGP увидит нового юзера, но не догадается создать ему тот каталог, который в storageLocation указан.

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

попробовал навскидку натравить freeradius на CGP.
получается, что freeradius проверяет валидность юзера с помощью биндинга на ldap сервер с предоставленными ему атрибутами.
в данном случае:
User-Name и Password

а CGP при попытке прибиндиться с помощью uid=username,cn=company шлет нах, но при этом прекрасно биндится помощью username, безо всякого dn-а.

chocholl ★★
()
Ответ на: комментарий от chocholl

Но вы-то уверены в том, что в CGP этот самый uid=username,cn=company действительно существует и что его DN именно такой? Можете сюда скопировать эту запись со всеми атрибутами, кроме разве что userPassword?

DRVTiny ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.