Apache+LDAP - одинаковые имена юзеров

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Apache+LDAP - одинаковые имена юзеров

Сообщение Vladimir Kozak » 16 сен 2010, 12:27

...
AuthType Basic
AuthName "чужие здесь не ходят"
AuthLDAPURL "ldap://192.168.1.1/o=RogaIKopyta?cn"
require group cn=LitsaPriblizhennyeKImperatoru,o=RogaIKopyta
# require valid-user
...


Вот... вопрос: если есть два юзера cn=Pupkin,ou=Bezdelniki,o=RogaIKopyta и cn=Pupkin,ou=Tuneyadtsy,o=RogaIKopyta, то получаем отлуп:

auth_ldap authenticate: user Pupkin authentication failed; URI / [User is not unique (search found two or more matches)][No such object]

что можно придумать?
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение capricious » 16 сен 2010, 13:36

сделать два конфига конфигураций для двух разных контекстов ? :)
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Ковалев Артем » 16 сен 2010, 17:56

Или одного из юзеров переименовать. Почта у них тоже одинаковая, pupkin@rogaikopyta.org ?
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 924
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Vladimir Kozak » 17 сен 2010, 10:07

capricious писал(а):сделать два конфига конфигураций для двух разных контекстов ? :)


кстати, надо будет проверить как такую ситуацию отрабатывает Apache+mod_nds на NetWare (которого, к сожалению нет для Linux)
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Vladimir Kozak » 17 сен 2010, 10:12

Ковалев Артем писал(а):Или одного из юзеров переименовать.


Это решение в лоб, сделать "проблемного" юзера уникальным. Но ведь это фича NDS - неуникальность имен в разных ветках :D

Ковалев Артем писал(а):Почта у них тоже одинаковая, pupkin@rogaikopyta.org ?


А при чем тут почта? Юзер логируется в сервисы под именем, а не под е-мейлом, номером пасспорта или еще какой ботвой.
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Ковалев Артем » 17 сен 2010, 16:19

Vladimir Kozak писал(а):
Ковалев Артем писал(а):Почта у них тоже одинаковая, pupkin@rogaikopyta.org ?

А при чем тут почта? Юзер логируется в сервисы под именем, а не под е-мейлом, номером пасспорта или еще какой ботвой.

Ну а имя в почте присваивается на основании логина. По умолчанию login@domen.
При том и почта.
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 924
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Андрей Тр. aka RH » 17 сен 2010, 18:52

Vladimir Kozak писал(а):
Вот... вопрос: если есть два юзера cn=Pupkin,ou=Bezdelniki,o=RogaIKopyta и cn=Pupkin,ou=Tuneyadtsy,o=RogaIKopyta, то получаем отлуп:

auth_ldap authenticate: user Pupkin authentication failed; URI / [User is not unique (search found two or more matches)][No such object]

что можно придумать?

Использовать для аутентификации один из ou ( можно даже создать специальный, под это - ou=LitsaPriblizhennyeKImperatoru,o=RogaIKopyta ), в котором насоздавать алиасов для нужных юзеров ? типа cn=Pupkin-Bezdelniki,ou=LitsaPriblizhennyeKImperatoru,o=RogaIKopyta cn=Pupkin-Tuneyadtsy,ou=LitsaPriblizhennyeKImperatoru,o=RogaIKopyta
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Vladimir Kozak » 21 сен 2010, 15:37

Остановился на варианте "если выплывет проблема - переименую одного из юзеров" (например - добавить инициалы).

Перенес рабочий сервер (NetWare+Apache+mod_nds) на новый, как я описал в начале. Начал проверять - и тихо фигею, та же ошибка :shock: Перепроверяю: юзер в дереве - точно уникален. Один, второй, третий... Пошел покурил, подумал, все откатил. Поковырялся и пришел к выводу, что теперь "мешает" объект workstation (юзер+mac) - проверял-то просто на тестовых юзерах, которые без всяких ZEN'овских workstation.

Поскажите пожалуйста, как правильно настроить авторизацию, чтобы "отсеять" workstation'ы? :roll:
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Андрей Тр. aka RH » 21 сен 2010, 16:17

Vladimir Kozak писал(а):Поскажите пожалуйста, как правильно настроить авторизацию, чтобы "отсеять" workstation'ы? :roll:

То есть он что ли ищёт объекты любого типа ? С Апачем в такой ситуации не сталкивался, но вообще при запросах по LDAP можно же указывать тип объекта, типа inetOrgPerson, которым воркстейшены, наверное, не являются.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Vladimir Kozak » 21 сен 2010, 17:26

Андрей Тр. aka RH писал(а):То есть он что ли ищёт объекты любого типа ?


Вот, получается, что какого-то хрена ws тут (на cn) попадают (3 и 4-я строчки конфига). Группа, а не заремаренный valid-user - потому как все-таки некошерно, чтобы все могли. есть сайты, куда можно определенному кругу лиц. Вот и в группу их и закидываешь. Вроде все просто :)

Андрей Тр. aka RH писал(а):С Апачем в такой ситуации не сталкивался, но вообще при запросах по LDAP можно же указывать тип объекта, типа inetOrgPerson, которым воркстейшены, наверное, не являются.


Так вот как прописать апачу этот фильтр?? :roll:
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Бурылов Александр » 21 сен 2010, 18:34

так мельком просмотрел...., А если их в одну группу поместить а на неё (группу) разрешия в конфиг Апача... (o=рогаИкопыта ведь одинаковый)
Аватара пользователя
Бурылов Александр
 
Сообщения: 302
Зарегистрирован: 13 окт 2003, 09:05
Откуда: Пермь

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Vladimir Kozak » 22 сен 2010, 09:19

Бурылов Александр писал(а):А если их в одну группу поместить а на неё (группу) разрешия в конфиг Апача...


require group cn=LitsaPriblizhennyeKImperatoru,o=RogaIKopyta :D
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Ковалев Артем » 22 сен 2010, 09:47

Vladimir Kozak писал(а):Поскажите пожалуйста, как правильно настроить авторизацию, чтобы "отсеять" workstation'ы? :roll:

Я тихо фигею...


$mesg = $ldap->search ( base => "l=MSK, c=Ru", filter => "(&(objectclass=user)(cn=*))");
Найдёт всех юзеров. Ещё можно
$mesg = $ldap->search ( base => "l=MSK, c=Ru", filter => "(&(objectclass=user)(cn=*)(loginDisabled=FALSE))");
Найдёт всех не заблокированных юзеров.
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 924
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Vladimir Kozak » 22 сен 2010, 12:31

Ковалев Артем писал(а):Я тихо фигею...
$mesg = $ldap->search ( base => "l=MSK, c=Ru", filter => "(&(objectclass=user)(cn=*))");


а я - нет? :D

AuthLDAPURL "ldap://192.168.1.1/o=RogaIKopyta?cn??(objectclass=user) - дает ту же ошибку
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: Apache+LDAP - одинаковые имена юзеров

Сообщение Ковалев Артем » 22 сен 2010, 14:40

Вот это попробуйте почитать http://php5.kiev.ua/apache/2/mod/mod_au ... uthenphase
У меня авторизация сделана через php или perl-скрипт, кусок из которого я вам и показал.
Как это конкретно пишется для ldap-auth - надо искать.
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 924
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1