Иван Левшин aka Ivan L. писал(а):Так что, господа, изобретайте что-нибудь еще. Не зря же в новеле изобрели clntrust-технологию, а не тупо в лоб ищут в лдапе
В общем-то по большому счёту этот метод - не замена clntrust, это скорее обходной маневр ( за неимением лучшей технологии - помимо предлагаемой NTLM-аутентификации, со своими минусами ). Но то, что еДир ведет себя так позорно при запросах такого рода - это нехорошо. Я бы понял, если б на запрос выдавались какие-то ошибки, или генерились ошибки в самом DS, но чтобы вешать саму службу каталогов .. это просто некрасиво. Надеюсь, индусы в будущем это дело поправят
Насчет изобретать .. что ж, можно и поизобретать. Например, насколько я понимаю, у каждого сервера с еДиром ( NW, Linux .. наверное, даже Win
) имеется таблица коннектов с залогиненными ( и просто приконнекченными ) пользователями. В этой таблице сопоставлены имя пользователя и его адрес ( в т.ч. IP ). Очевидно, каким-то способом эту инфу из этой таблицы можно извлечь - таким образом избегая ЛДАП запросов к еДиру. Сразу понятны ограничения - пользователь должен гарантированно присутствовать в таблице нужного сервера ( по ЛДАП можно опросить любой из имеющихся ЛДАП ). Но именно таким образом у нас PCounter считает задания печати, приходящие от Маков - там NLM смотрит в таблице коннектов, какой пользователь соответствует IP, с которого пришло задание. Потому как с Мака
имя пользователя вместе с заданием печати не приходит.
Еще безумная идея - хранить имена пользователей и их IP в некоей БД
Ну, например в той же мускульной базе на SLES. И синхронизировать атрибут IP при помощи IDM
Нужно всего-то написать политику .. и купить database module. Хотя, теоретически, можно попробовать и простым IDM копировать атрибут IP в какой-то другой атрибут того же пользователя .. (?) уже в другом формате. Чтобы еДир от запросов к нему не вешался. Правда, еще не надо забывать, что у пользователей адресов может быть более одного ..
.. бардак, короче