proNovell

Владимир Занадворов писал(а):

Андрей Фисенко писал(а):Причем, он их получает явно. Т.е. прямоназначенные.
Если ассоциацию User убрать из приложения - права с файлов снимутся.
Во такое динамическое правораздавание.... :?

Ага.
Только года полтора я натыкался ровно на то, что права оставались. Зен 4.01. был

Сегодня проверено и перепроверено. Если юзера убрать из ассоциации приложения, права приложения на файлы у юзера отберутся.

Добрый день!!!
Я бы завёл отдельного пользователя (возможно даже и без пароля) и выдал ему соответствующие права, но с ограничением по времени регистрации
Хочешь смотреть кино, изволь зарегистрироваться в сети с соответствующим именем, а не хочешь - твои проблемы

Поскольку в рамках данного обсуждения упоминалась утилита ADDGROUP.NLM, хочу в качестве автора повторить то, что недавно сообщал на родственном форуме:
http://webforum.land.ru/mes.php?id=1303 ... 9911&arhv=
Желающие могут запросить у меня обновленную утилиту MODGROUP.NLM через e-mail. Кроме того, хочу также заметить, что аналогичные манипуляции с членством в группе можно осуществлять по протоколу LDAP при помощи стандартных LDAP утилит, например ldapmodify.exe или lmodify.nlm и т.п. Пример командной строки на платформе Win32:
ldapmodify -f testadd.ldif -D cn=andreyka,o=my51 -wMyOwn_NDS_Password -h 10.0.0.2 -p 389
При этом содержимое файла testadd.ldif имеет вид:

version: 1
#
dn: cn=TestUser,o=my51
changetype: modify
add: GroupMembership
GroupMembership: cn=TestGroup,o=my51

dn: cn=TestUser,o=my51
changetype: modify
add: SecurityEquals
SecurityEquals: cn=TestGroup,o=my51

dn: cn=TestGroup,o=my51
changetype: modify
add: member
member: cn=TestUser,o=my51

dn: cn=TestGroup,o=my51
changetype: modify
add: EquivalentToMe
EquivalentToMe: cn=TestUser,o=my51

Andrey Karyagin

Раз уж разговор зашел .. не подскажете по такому вопросу - мне надо бы менять членство в группе для пользователей в NDS из-под Винды. Я так думал, организовать это по LDAP, из командной строки ( вызовом ICE ? или чем-то еще ), причем имя пользователя и группы меняются. Вопрос в том, будет ли необходимо формировать ldif-файл, или же можно имена утилите передавать непосредственно в КС ? В жизни не работал с LDAP под Виндой ..

Пример LDIF файла для удаления/добавления пользователя из/в группы/группу был представлен выше. Смена имени пользователя или группы это НЕ есть управление членством в группе. Но это также можно делать при помощи LDAP утилит на любой платформе, а не только на Win32. Имена в командной строке я лично никогда не указывал, хотя LDAP утилиты должны понимать stdin в качестве источника данных.

Пример ldif-файла действительно приведен - вопрос был в том, что мне хочется избежать создания такового вообще. Использование stdin, я думаю, устроит. Вот переименование пользователя ни при чем - имелось в виду, что имя пользователя не фиксировано ( не записано в ldif-файле ) и передается какой-то другой утилитой. И данного пользователя мне надо включить в данную группу / убрать из нее ( как это делается - понятно ). Спасибо за ответ, надо пробовать.

Первое, что приходит в голову это Perl или PHP в режиме командной строки.

Andrey Karyagin писал(а):Первое, что приходит в голову это Perl или PHP в режиме командной строки.

Что-то я не понял .. почему именно Perl c PHP ? Ведь их под Винду еще ставить надо .. или же стандартными виндозовскими средствами никак ? или они предлагаются как вариант скриптовых языков для формирования таки того ldif-файла ( по передаваемым свыше параметрам ) ?

Прямо на сервере NW, есть PERL и он прекрасно работает с LDAP.
Вот на нем по крону и запускайте скрипт, который добавляет/удаляет пользователей из групп.

Эту опперацию добавления/убирания делайте работая с eDir либо при попощи UCS/UCX или через LDAP, используя все стандартное в PERL

Андрей, и Perl и PHP имеют свои собственные расширения для работы с LDAP. Поэтому LDIF файл в этом случае уже не нужен, хотя можно и извратиться. Либо Вы можете скомпилировать мой MODGROUP.C для платформы Win32. В общем вариантов уйма, Вам остается только выбрать.

skoltogyan

Так мне под Виндой надо - по крайней мере именно там работает приложение, которое обрабатывает события, по которому мне надо добавить / убрать пользователя из группы ( пользователь и группа при этом в еДире на Нетваре ). Вот я и выбираю способ, чтобы сделать это с наименьшими затратами и, по возможности, стандартными средствами ( ну или чтобы их использование было оправдано ).

Андрей, на платформах Windows Server 2000/2003 и Windows XP Professional имеются штатные утилиты CSVDE.EXE, LDIFDE.EXE, которые работают по протоколу LDAP. Но их обсуждение выходит за рамки данного форума!

если под WIN платформу, как Вы уточнили, то можно использовать
ActivePerl или то, что предложили коллеги выше.

А вот такой еще вопрос - хоть и не по теме, но раз уж здесь начал спрашивать ( со LDIFDE более-менее разобрался ).

Есть пользователи в различных контейнерах, и хочется менять их членство в группе ( одной на всех, но ИМХО это не принципиально ) по LDAP. Имя пользователя передается от некоей утилиты, без контекста, после чего батником формируется ldif-файл и вызывается LDIFDE для смены соответствующих атрибутов.

Проблемы начинаются тогда, когда пользователи aaauser и bbbuser находятся в разных контейнерах ( ou=aaa,o=c и ou=bbb,o=c , к примеру ). При этом в одном из этих контейнеров ( bbb ) есть алиасы всех пользователей из ааа ! Так что, если бы импорт работал с алиасами, то проблемы бы и не возникало ( в ldif бы писал все имена как dn=aaauser,ou=bbb,o=c ). Однако, через такой вот алиас у меня получилось сменить атрибуты equivalentToMe и member у группы, а на смену groupMembership у алиаса LDIFDE ругается.

P.S. Однако, уже разобрался - в умной книжке прочитал про "Dereference aliases when resolving names" ( по умолчанию почему-то выключено ) .. все же надо сперва читать, потом писать