Добрый день, коллеги.
Настраиваю (пытаюсь) бесконтекстную регистрацию пользователей. Использую LDAP proxy user. Предварительно обпробовал на стенде (NW 6.5 SP5) - всё отлично, всё работает. Делаю в рабочей сети - часть пользователей не находит. Причём, в некоторых OU, но не во всех. Проверил права, наследование. Всё по доке сделано. Для проверки через LDAP browser от имени proxy user прогнал - все OU видно, пользователей внутри них тоже. Однако при логине - не находятся они. Заметил, что LDAP browser как-то медленно по eDir ходит, но не считаю что причина где-то рядом, т.к. медленно просматриваются и те OU, в которых пользователи нормально ищутся.
Сервера:
4 сервера под NW 6.5 SP5, 2 под NW 5.1 SP8. eDir на 6.5 версии 8.7.3.8, на 5.1 - 8.7.3.7
Все сервера физически находятся в одном месте.
Дерево поделено на 2 раздела.В настройках клиента указываю ИП-адрес сервера с Master-репликой основного раздела (второй раздел вынесен под правила Border'a).
Причём второй раздел не содержит "проблемные" OU.
Не знаю, может ли влиять, но имя дерева совпадает с именем O.
Contextless login
Сообщений: 4
• Страница 1 из 1
Contextless login
Танин Виктор » 10 июл 2006, 06:28
-
Танин Виктор - Сообщения: 141
- Зарегистрирован: 03 фев 2004, 04:36
- Откуда: Владивосток
Иван Левшин aka Ivan L. » 10 июл 2006, 10:54
1. Права, ИМХО, все же проверить еще раз не помешает
2. load dstrace
dstrace -all +ldap
dstrace screen on file off
Дальше идем на консоль dstrace и смотрим сообщения LDAP-сервера во время попытки входа
Бесконтекстный вход работает уже больше пяти лет без нареканий (за исключением случая, когда я отнял права - естественно, ничего не находилось).
Насчет совпадения имени дерева и объекта О - не есть хорошо. Рекомендации четко предписывают эти объекты именовать по разному.
И напоследок - версия едира менялась? Имеется в виду - стоит то, что в сп5 или что-то еще накатывалось?
2. load dstrace
dstrace -all +ldap
dstrace screen on file off
Дальше идем на консоль dstrace и смотрим сообщения LDAP-сервера во время попытки входа
Бесконтекстный вход работает уже больше пяти лет без нареканий (за исключением случая, когда я отнял права - естественно, ничего не находилось).
Насчет совпадения имени дерева и объекта О - не есть хорошо. Рекомендации четко предписывают эти объекты именовать по разному.
И напоследок - версия едира менялась? Имеется в виду - стоит то, что в сп5 или что-то еще накатывалось?
- Иван Левшин aka Ivan L.
- Сообщения: 2592
- Зарегистрирован: 05 июн 2002, 18:36
- Откуда: Новомосковск, Тул. обл.
Танин Виктор » 10 июл 2006, 11:11
Попробую ещё через dstraceю Хотя сторонние LDAP браузеры под этим пользователем нормально всё находят. К тому же находят и под anonymous пользователем.
Про О и имя дерева - изначально дерево "выращивал" не я, посему данная оплошность на совести "создателя" сети. Да и поменять наименование так просто не получится - сеть не маленькая, объектов много, пользователей тоже.
Поверх СП5 по-моему накатывались обновления еДира. скажу точнее позже, т.к. опять-таки не я ставил, и в данный момент уже не посмотрю.
Про О и имя дерева - изначально дерево "выращивал" не я, посему данная оплошность на совести "создателя" сети. Да и поменять наименование так просто не получится - сеть не маленькая, объектов много, пользователей тоже.
Поверх СП5 по-моему накатывались обновления еДира. скажу точнее позже, т.к. опять-таки не я ставил, и в данный момент уже не посмотрю.
-
Танин Виктор - Сообщения: 141
- Зарегистрирован: 03 фев 2004, 04:36
- Откуда: Владивосток
Виктор Танин » 11 июл 2006, 10:16
Нашёл причину. Не было прав всё-таки. На некоторых OU стоял фильтр наследуемых прав. Вот там-то и оказалась загвоздка. Спасибо за помощь, тему можно закрыть.
---
Виктор Танин и Танин Виктор один и тот же учаснег. Просто проблемы с профилем
---
Виктор Танин и Танин Виктор один и тот же учаснег. Просто проблемы с профилем
- Виктор Танин
- Сообщения: 12
- Зарегистрирован: 11 июл 2006, 10:09
Сообщений: 4
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1