proNovell

Есть proxy сервер на котором стоит Unix и файловый сервер с Novell 6.
Поставленна задача, что бы все пользователи заходили в интернет с паролями такими же как они входят в Novell.
Для этого надо было подружить Unix c Novell 6 через LDAP.
Вроде подружили. Поиск работает и осушествляется по всему дереву.
И все пользователи которые входят в Novell могут зайти в инет с паролем таким же как и в Novell.
А вопрос вот в чем,предположим нужно ограничить доступ в интернет отдельным пользователям, как это возможно осуществить? А таких пользователей возможно будет много.

Помещать их в группу, которой доступ в Инет закрыт ?

В группу пробовали,хотя мне казалось это не корректно.Он находит объект (группу) ,но говорит что он пуст, хотя я в него поместил пользователей.

alex_p писал(а):В группу пробовали,хотя мне казалось это не корректно.Он находит объект (группу) ,но говорит что он пуст, хотя я в него поместил пользователей.

По какому атрибуту в группе смотрите членство?

Какой запрос делаете?

Ну не судите строго, мы пока тока вот так осуществляли поиск.
Группа называеться inet. А запрос выглядит вот так.
Лучше подскажите как правильно.
ldapsearch -h XX.XX.XX.XX -x -b cn=inet,o=lab

Помещать их в группу, которой доступ в Инет закрыт ?

А если наоборот, а? В смысле - для работы указанной связки и выхода пользователей в Сеть все такие пользователи должны быть помещены в спецГруппу. Ну дык по крону или еще как из этой групы УДАЛЯТЬ, например , провинившихся или еще за что.... А после искупления - назад помещать... чего проще?

Да, можно наверное и наоборот,если знать как, только у нас никак пока не получаеться.
Поиском группа находиться, но в ней ничего не нет.
По каким критериям искать и как это осушествить вообще правильно,
кто нибудь с этим сталкивался?

alex_p писал(а):Есть proxy сервер на котором стоит Unix

А какой именно прокси-то - не Squid ли часом? Если да, то там проверка членства в группе через LDAP делается достаточно просто, могу схематично описАть как это сделано у нас.

alex_p писал(а):Лучше подскажите как правильно.
ldapsearch -h XX.XX.XX.XX -x -b cn=inet,o=lab

Подозреваю, что для проверки принадлежности к группе нужно делать поиск пользователя, входящего в заданную группу. Т.е. для проверки, например, пользователя Vasya должно быть что-то вроде такого:

ldapsearch -h XX.XX.XX.XX -x -b o=lab '(&(cn=Vasya)(objectclass=person)(groupMembership=cn=inet,o=lab))'

И будет тебе попрошенное без всяких LDAP'ов. Раздача Инета по группам - для BM дело трех минут.