свойство networkaddress в LDAPе

[sovchik]

Ip должен быть в списке до разрегистрации хоть и по таймауту ... то есть нет логина список пуст

ну это ожидаемая реакция. видимо, мной и вами ожидаемая, остальными нет.
Собственно я и выяснил что хотел - поле заполняется ввиде "гуманитарной помощи" и не гарантируется. Больше ответа и не требовалось (собственно, выше он и был дан, за что спасибо Павлу и Артёму).
Остальная дискуссия вылилась из обид Ивана Иван, повторюсь ещё раз - не наезжаю я на новелл; то, что они продают хорошо и приятно, я лишь ковыряюсь из любопытства. С косяками приходится мирится, у остальных они тоже есть.

[Константин Ошмян]

skoltogyan - дядь Сереж, я правильно понимаю, что там должен быть мультилист, куда должны быть внесены ВСЕ значения адресов, с которых пользователь заходил когда бы то ни было? Оценить размер базы при этом сам возмешься или помощь нужна?

Иван, можно смеяться, но там и есть мультилист
И размер базы вполне нормальный - там же данные не хранятся вечно, через какое-то время очищаются. Неприятно только, что механизм этой очистки неясен (скорее всего, просто по тайм-ауту) и недокументирован. Согласись, если бы оно работало "как интуитивно ожидается", то было бы очень удобно для многих применений. Хотя бы для того же скрещивания со Сквидом (сколько уже об этом спорили).

[Иван Левшин aka Ivan L.]

Костя, я в курсе про мультилист - при этом ты совершенно прав относительно того, что правил его очистки нет, ровно как и правил применения. Касаемо удобства применения - я так совсем не понимаю, почему разыгралась такая драма из-за этого поля. Способов узнать тот адрес - миллион, со сквидом тем же - есть куда как более простые и быстрые решения (например, у нас используется такая примочка к сквиду самописная, она просто берет адрес локально во время установки соединения плюс данные о пользователе и все. Сейчас, насколько мне известно, ее дописали - она теперь и с DSfW работает).
Лично мне вообще неизвестно - зачем то поле появилось в пользовательской учетке. Все равно оно неактуально в случае тех же компьютерных классов, когда толпа народу на одной и той же машине регистрируется в течение рабочего дня. Пытаться строить на этом статистику - верный способ заработать вывих мозга. Так что как по мне - так поле это совершенно бесполезное, его "удобство применения" - весьма сомнительно (как минимум на фоне того, что есть намного более оперативные способы). Таки мода на LDAP вредна - я так считаю.

Вообще мне это обсуждение напоминает давнишнюю драму на тему "аааа, я не могу удалить расширение схемы, новель - казззлы!"

[skoltogyan]

"Network Address" attribute официальный|(поддерживаемый Novell-ом ) атрибут.
Почему так думаю : http://www.novell.com/documentation/dev ... k4170.html

[Ковалев Артем]

Иван, а можно попроще про "более простые способы"?
Вот есть такой McAfee Web Gateway, который распознает юзеров через ldap через то самое поле. Уж как мы не кусаем себя и юзеров за антифасад - криво распознает. Что ему ещё можно в лдап-запросе вписать, окромя networkaddress?

А всё возмущение этой темы вызывает простой как мычание факт:
- eDir вообще и все сервера в частности общаются с юзером по ip. Сервера еще и вачдоги шлют - то есть ВСЕ знают ip каждого юзера.
- в eDir есть (доступное через ldap) поле, в котором отображается ip адрес юзера.
- Во времена, когда Netware еще была и лдап к ней уже прикрутили, поле было обязательным и гарантированным. Очень удобно было им пользоваться, у многих из нас есть наработки. Именно через ldap и через networkaddress.
- После официального отмирания netware (внезапно) поле это стало "опционально", заполняется и очищается один Аллах знает как.
Логика, однако.

[Иван Левшин aka Ivan L.]

"Network Address" attribute официальный|(поддерживаемый Novell-ом ) атрибут.
Почему так думаю : http://www.novell.com/documentation/dev ... k4170.html

Сергей, если не сложно - ткни меня носом в то, что там написано "официально поддерживается". Кроме упоминания о том, что оно есть - ничего больше. Это называется "констатация факта" - при этом ни одного документа, описывающего, как ЭТО использовать, лично мне не попадалось.

Артему - лично я очень сильно подозреваю, что поле сие появилось исключительно для ManageWise (на 100% уверенно сказать не могу, повторяю - это предположение, не более того). Тот факт, что оно работало "во времена Netware" - совсем не означает, что будет работать и дальше. Netware 6.5 - логичное развитие 5.0 с фактически единой архитектурой, что удивительного в том, что при переходе на линух оно ВДРУГ взяло и отвалилось? Если эта штука была нужна действительно только ManageWise (лично мне неизвестны прочие продукты, которые бы использовали это свойство - за исключением, возможно, только ZEN 3/4/7) - после того, как ManageWise "слили в шлюзы" вполне логично предположить, что и все, что ему требовалось, ВДРУГ стало ненужным. Тот факт, что подобные вещи не выкорчевали сразу и они продолжали работать - а зачем? Работает, жрать не просит, денег при поддержке новель не тратит - пусть будет.

Артем, у Вас же есть maintenance - не хотите Support Request на эту тему отправить буржуинам? Мне даже любопытно посмотреть на их ответ

Касаемо того, что "сервера и так все знают" - конечно знают, таблицу соединений-то никто не отменял. Более того - ее спокойно можно посмотреть встроенными линуховыми средствами (тем же netstat). Одно непонятно - причем тут LDAP и eDirectory?

По поводу макафей - ничего не скажу, я его в глаза не видел. Что ему нужно - я понятия не имею, так что за комментариями по поводу LDAP-запросов точно не ко мне и вряд ли в новель вообще. Предполагаю, что у макафи есть собственный саппорт, может имеет смысл спросить их?

Дабы продолжить сей увлекательный диспут - коллеги, скажите мне, плз, с чего вдруг вы решили, что данное свойство в принципе можно использовать как источник данных об адресе пользователя в то время, когда никаких сведений о том, когда сей атрибут там появился, там нет? Он может действительно отображать реальный адрес пользователя - а может этого и не делать Еще во времена, когда у меня в бурсе только задумывались о том, чтобы писать примочку для прозрачной авторизации в сквиде и думали о том, что "вот же оно, по лдап доступно"... Очень быстро выдохнули и начали опрашивать локальную рабочую станцию при установлении соединения. Вот тут - да, действительно, 100% реальный адрес именно того пользователя, что зарегистрирован. А через LDAP - классический "сферический конь в вакууме".

"А если хорошо присмотреться - можно заметить и две, и три звездочки" (с) Кажется так было в оригинале?

[skoltogyan]

Тут http://www.novell.com/documentation/dev ... 1mn1i.html сказано так:

Novell® eDirectory™ is based on a set of rules which define the following:

The types of objects that can exist in an eDirectory tree

The possible locations of these objects in the eDirectory tree

The information (stored as attributes) that can be and must be maintained about the object

This set of rules is called the schema. The eDirectory Schema Reference describes these rules and the items that have been defined for the NDS operational schema. This information is divided into the following sections:

Описано что может быть, где может располагаться и КАК ИСПОЛЬЗОВАТЬСЯ в eDIR.

[Иван Левшин aka Ivan L.]

Ну я ссылку-то посмотрел. Именно "КАК ИСПОЛЬЗОВАТЬСЯ" - там не написано, написано - ГДЕ оно используется и какими объектами. При этом ни слова о том, что ты можешь, прочитав этот атрибут, 100% получить именно сетевой адрес пользователя. К слову сказать, этот атрибут - расширение схемы для НЕСКОЛЬКИХ объектов

Так что - никаких доказательств того, что новель кому-то что-то должен по поводу именно этого атрибута, нет.

[Ковалев Артем]

Артем, у Вас же есть maintenance - не хотите Support Request на эту тему отправить буржуинам? Мне даже любопытно посмотреть на их ответ

Честно - лень. Если возьмете на себя труд быть "прослойкой" - то есть вести всё промежуточное общение с их саппортом - то можем.

Есть вот такой забавный тид: http://www.novell.com/support/kb/doc.php?id=7013371
Странно, что поддержка что-то советует, а не шлёт в пешее эротическое путешествие. Еще более странно, что совет сей НЕ ПОМОГАЕТ, по крайней мере у нас, где Master Replica стоит на NW658 (да, я такой молодец ). Клиенты an-mass у нас IR6, а ip иногда исчезает через 10 минут после логина. Реально, с часами засекали.

[Иван Левшин aka Ivan L.]

Артем

Ну т.е. Вам - лень, мне Вы предлагаете сделать ту работу, которую лично Вам - сделать лень? Отличный ход!

Прочел тот тид. Решение там, собственно, изложено: n4u.server.mask-port-number=0 (или n4u.server.mask-port-number=false). Причина того, почему порты маскируются по умолчанию - в багрепорте на ...дцати страницах расписана. Касаемо конкретно Вашего случая - с нетварью это и не должно сработать. Ну, как минимум, если у вас этот Ваш third-party смотрит именно на нетварь, там просто менять нечего. Попробуйте на OES11SP2 настроить этот параметр и проверить.

Сам факт того, что поддержка взялась это решать - для меня удивителен, обычно они не берут в работу то, что связано с third-party. Как написано в багрепорте - сделано это исключительно для добавления щастья пользователям.

Теоретически я могу попробовать влезть в тот багрепорт и попросить комментариев - но мне надобен официальным образом оформленный запрос. Еще лучше - если Вы, Артем (или кто-то еще, у кого еще не кончились SR) официально откроет SR с просьбой разобраться. В SR стоит сразу указать этот тид и номер багрепорта: 517585

В любом случае - этот вот Ваш прокси, как он будет работать, если я, допустим, зарегистрируюсь на одной машине, тут же разрегистрируюсь и зарегистрируюсь на соседней, при этом на машине №1 будет сидеть товарищ, которому, в общем, через прокси-то нельзя. Его как, пропустят?

[Ковалев Артем]

Блин, как тут через одно место цитирование сделано!

Отвечаю так, на пальцах:
1. В том тиде главное пункт один. Который гласит, что атрибут networkaddress может не обновляться своевременно, когда рабочая станция вошла в сеть или проснулась. ЭТО ИСПРАВЛЕНО В КЛИЕНТЕ IR5 (сейчас уже IR6). То есть Novell как бы намекает, что это поле должно содержать актуальный список ip адресов юзверя и если это не так - то это повод для исправления.

2. Про прокси - когда юзер логинится, в edir меняется его ip и через ldap его (чаще всего) видно. Сколько бы раз вы не логинились - у вас будет список (в обычном случае - из одной строки) ваших актуальных ip. Но засада в том, что список может быть неполным - в нем может не быть некоторых (или всех) ip, с которых вы вот прямо сейчас сидите в дереве (лазаете по дискам, админите и т.д.). Что и напрягает.
То есть ваш вопрос можно переформулировать так - я зашел с трех ПК в сеть, покурил - и с двух меня в инет нормально пускает, потому что мне можно, а с третьего фиг, потому что поле частично "очистилось" и третьего ip там нет. Что и бесит. Особенно когда нет единственного ip и теряет она его каждые 10-15 минут.

[Сергей.М.]

[quote="Иван Левшин aka Ivan L."]
Так что - никаких доказательств того, что новель кому-то что-то должен по поводу именно этого атрибута, нет.[/quote]


Наверное поэтому "пациент" скорее мертв чем жив.

З.Ы. Может и зря влез, но что то промолчать не смог.

[Иван Левшин aka Ivan L.]

Насчет состояния "пациента" - рекомендую перестать читать Дэна Брауна и строить конспирологические теории на пустом месте. Иначе логику можно развивать дальше вплоть "а вот если поганый новель на крови поклянется, что атрибут networkAddress будет работать именно так, как надо Васе Иванову, у продаж сразу начнется миллионопроцентный рост". Ну глупость же К слову сказать - техподдержка новеля не зря считается одной из лучших в мире, сам лично сталкивался с ответами PSE весьма уважаемых и "всемирно известных" компаний, от которых заказчик, мягко говоря, был в куда бОльшем недоумении. И там речь шла не об "атрибутах через лдап", а о том, что программно-аппаратный комплекс стоимостью в несколько сотен килотонн вечнозеленых рублей тупо не работает вообще и техподдержка, мягко говоря, просто не горит желанием делать что бы то ни было. При этом речь идет о нормальном премиум-контракте (а не переписке в форуме) за нормальные такие деньги. На состоянии данных контор подобные факты не отражаются никак вообще Пипл как хавал, так и продолжает хавать

Я уже предложил Артему приложить немного усилий для того, чтобы разрешить проблему официально - тем более, что право на это у него 100% есть. Он прямо сказал, что ему лень - и вместо решения предпочитает "рвать шаблоны" и "вскрывать правду-матку" на форуме Коллеги, если вам это не так уж и важно и нужно, к чему тогда спор-то в принципе? Объясните мне, неразумному.

В Bugzilla может, насколько я помню, писать любой официальный пользователь, у которого есть надлежаще оформленные права на использование ПО Novell (это не проверяют обычно, но могут спросить). Сходите и напишите

Артему:
Данное поле контролируется NCP, изменяется оно при логине или переподключении сетевого соединения. Если Вам нужно, чтобы данное поле заполнялось по определенным правилам - открывайте SR и добивайтесь, тем более есть открытый багрепорт. Также настоятельно рекомендую убрать реплики с нетвари - продукт больше не развивается, 8.8.4 - максимум, на что Вы можете рассчитывать. При этом в OES11SP2 уже 8.8.8 с несколькими патчами после него. При дальнейшей смене версий все будет становиться намного веселее - mixed mode никогда не относился к числу рекомендованных для production систем (это отмечено в документации на eDirectory). Кроме того - вот ровно с этим атрибутом нетварь никогда не будет вести себя так, как Вам это нужно, это специфика работы самой нетвари с этим атрибутом. Я Вам больше скажу - первое, что Вам скажут в SR, будет "перенесите Master на сервер OES11SP2 с актуальными обновлениями". Просто потому, что никому ни в поддержке, ни в разработке совсем не интересно ковырять продукт, который находится в Enhanced Support, в рамках которого выпускаются только критические обновления безопасности или латаются уж совсем жуткие баги.

Для тех же, кто требует к себе исключительного и повышенного внимания - у Новелл СНГ есть услуга "контракт на поддержку с выделением сервисного инженера". Вот тогда я не только смогу - мне прикажут "поработать прокладкой".