Справочник адресов LDAP

[Орлов Алексей]

Коллеги, а ни кто не задумывался можно ли поднять на базе netware независимый справочник Ldap например e-mail адресов. При нынешних настройках я получаю The bat список адресов заведённых пользователей, но у меня есть пользователи которые не подключаються к netware, но e-mail у них есть, так вот нельзя ли создать ещё один справочник для e-mail адресов и брать данные из него. Заранее спасибо за интерес к теме.

[Андрей Фисенко]

Да запросто.
Нужно просто с помощью LDAP (ldif-файла) насоздавать необходимое количество "юзеров", у которых будут заполнены поля, необходимые для адресной книги. Разместить их в одном контексте и все. Логиниться они не будут (не смогут) а данные про них будут доступны.

[Орлов Алексей]

Круто, Андрей. Я не такой спец как Вы, нельзя ли по-подробнее??? Или доку, какую нибудь.
Или если я правильно понял, то я просто создаю контекст типа e-mail завожу там юзеров, но блокирую их записи и так же забиваю про них данные, а потом bat беру данные из этого контекста.

Но тогда ещё один вопрос как ограничить поиск пользователей, т.е. мне нужно что бы bat кроме как из этого контекста больше не из каких брать не мог данные, а регистрация по ldap работала. Извините за каламбур.

[Андрей Фисенко]

Итак, по порядку:
1. Инструмент для работы с eDir по LDAP: http://www-unix.mcs.anl.gov/~gawor/ldap ... d=282b2zip
2. создаем контекст - emails
3. делаем файл email.ldif примерно такого содержания:

dn: cn=OAgurova, ou=EMails, o=Org
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: ndsLoginProperties
objectClass: top
cn: OAgurova
fullName:: 0JDQs9GD0YDQvtCy0LAg0J7Qu9GM0LPQsCDQkNC90LDRgtC+0LvRjNC10LLQvdCw
givenName:: 0J7Qu9GM0LPQsA==
sn:: 0J7Qu9GM0LPQsCDQkNCz0YPRgNC+0LLQsA==
title:: 0LjQvdC20LXQvdC10YA=
ou:: 0J7RgtC00LXQuyDQvtGA0LPQsNC90LjQt9Cw0YbQuNC4INC/0YDQvtC00LDQtiAo0KbQo9CgKQ==
telephoneNumber: 16-16-16
l:: 0JDRjdGA0L7QstC+0LrQt9Cw0LvRjNC90LDRjyA5
mail: OAgurova@domain.ru
company:: 0JrRgNCw0YHQvdC+0Y/RgNGB0LrQuNC1INCQ0LLQuNCw0LvQuNC90Lg=
language: RUSSKI

Собственно, нужные атрибуты сами выбирайте. Важны первые шесть строк для создания пользователя.
(крокозяблы - это на самом деле не крокозяблы, а русские буквы, которые хранятся в eDir в кодировке BASE64) Обратите внимание, что там, где кодировка BASE64, за именем атрибута идет ДВА двоеточия, а не один.
Перекодировщиков масса, могу прислать свой самописный.

3а. Делаете столько таких записей, сколько надо пользователей.
(Tip: Я делаю это в электронной таблице, где первый столбец - это имена, типа OAgurova, второй столбец - objectClass: inetOrgPerson, ... девятый Агулова Ольга Петровна и т.д. затем столбцы с русскими буквами конвертю в BASE64. Затем к столбцам приписываю имена атрибутов (формулой, ессно) и экспортирую файл в txt с разделителями - запятыми. Затем все запятые заменяю в notepad на два символа $$, а dn: на $$dn:... Затем беру HIEW и в файле txt заменяю $$ на 0D0A. Получаю транспонированный файл искомого формата ldif.)

4. LDAP Editoк логинюсь в дерево и имортирую данный файл!!!
Получаем список пользователей в eDir.

5. Дальше уже смотрим, что и как хочет вычитывать The Bat! из каталога по LDAP. Если ему требуются какие-то не такие атрибуты, как в eDir - смотрим объект SERVER - LDAP Group - там есть таблица соответсвия атрибутов eDir и LDAP. Просто добавляем новую строку соответствия и все.

6. Для ограничения доступа только к этому контексту надо посмотреть, под каким экаунтом будут идти запросы в eDir от клиентского софта. Обычно поддерживается работа через proxy_user. Так вот этому proxy_user даем право Read и Compare только на нужные атрибуты контекста Emails.

Вот, примерно так.
За часа три-четыре реально сделать работающую адресную книгу.
Сам лично делал для клиентов Outlook. (правда, мне хватило 30 минут).

Удачи.

[Орлов Алексей]

Огромное спасибо всё получаеться, только возник ещё один вопрос, по ходу
У меня 2 ldap сервера, а именно сначало у меня был один сервер 6.5 со всеми установленными продуктами, потом был поднят ещё один куда была перемещена master реплика и поднят ещё один Ldap сервер, так вот вопрос:
почему я могу с помощью программы редактирывания подключиться только к серверу ldap с мастер репликой, нормально ли это.

[Андрей Фисенко]

Если на втором сервере не реплик, то и не должно работать.
Если есть RW, то, скорее всего, просто что-то не так работает.
Не принципиально, к какому серверу подключаться (если они не по WAN соединены, конечно).

[Мещеряков Андрей]

А вот про зависимость LDAP от реплик - можно подробнее, Андрей Вы задели давнишнюю мою проблему...
Год как эксплуатируем систему NVStat, отдельное спасибо Михаилу Григорьеву. Но! Квоты там так и не работают: LDAP не может установить членство\не членство пользователей в семафорных группах. За этими рамками - полет нормальный.

[Андрей Фисенко]

На практике обнаружено два момента:
- LDAP работает, "как надо" на серверах с репликами типа RW и Master (RO не пользуюсь, не пробовал, Filtered тоже не скажу)
- "как надо" ограничивается рамками партиции.

Хотя, по идее, должно быть не совсем так.
Но статистика - вещь упрямая.

[Владимир Горяев]

А вот про зависимость LDAP от реплик - можно подробнее, Андрей Вы задели давнишнюю мою проблему...
Год как эксплуатируем систему NVStat, отдельное спасибо Михаилу Григорьеву. Но! Квоты там так и не работают: LDAP не может установить членство\не членство пользователей в семафорных группах. За этими рамками - полет нормальный.

В качестве адреса LDAP не пробовал в конфиге(php) прописать мастера? Там же не только адрес(а) сервера BM (как минимум RW) можно прописать По-умолчанию возможно так гайки закрутить, что на BM LDAP и по 127.0.0.1 отвечать не будет, или TLS и сертификаты захочет.

[Владимир Горяев]

А вообще каждый сервер отдельно настраивается, и может быть так, что к маастеру или немастеру по LDAP и не достучишься..

[Мещеряков Андрей]

А вот про зависимость LDAP от реплик - можно подробнее, Андрей Вы задели давнишнюю мою проблему...
Год как эксплуатируем систему NVStat, отдельное спасибо Михаилу Грирорьеву. Но! Квоты там так и не работают: LDAP не может установить членство\не членство пользователей в семафорных группах. За этими рамками - полет нормальный.

В качестве адреса LDAP не пробовал в конфиге(php) прописать мастера? Там же не только адрес(а) сервера BM (как минимум RW) можно прописать По-умолчанию возможно так гайки закрутить, что на BM LDAP и по 127.0.0.1 отвечать не будет, или TLS и сертификаты захочет.

Дык NVStat у меня никогда на Бордюре и не стоял Бордюр тогда крутился под 4.2 , дерево было тоже 6.х и для запуска потребовалось врезать в него сервер 6.0, специально предназначенный для АМР... Реплика RW на нем точно есть. И кое-что даже работает. Хотя логи приходилось руками кидать с Бордюра на него. Сейчас изменения минимальны: поскольку под Бордюром теперь тоже 6.0 - перловый скрипт запускается прямо на нем и работает с удаленным сервером MYSQL. Мастер реплика теперь 5.1sp8(7), так что можно попробовать...

[Антон Бурмистров]

Может немного не в тему.
У нас тоже стоит The Bat! Но мы не используем LDAP. Вместо этого у нас есть программка, формирующая адресные книги для Bat, которые в свою очередь рассылаются на рабочие станции с помощью ZfD.

[Мещеряков Андрей]

Попробовал Дак вот, кабальерос... в сети четыре LDAP сервера :
adm 6.0sp5 border rw
file 5.1sp8(7) master
stat 6.0sp5 rw
zen 6.5sp3 no replica
На все накачен eDir8.7.3.7
Сервер с мастер-репликой отзывается на запросы броузера...но nvstat с ним не работает. Все остальные сервера с nvstat-om работают, но определить состав групп квот не может. Броузер, между прочим, эти группы видит, и их членов тоже . Каковы будут мнения?

[Владимир Горяев]

Каковы будут мнения?

Начать тему в форуме проекта.
У меня тоже в закладке Статистика Proxy -> Квоты, при клике на параллелепипедную икону с лампами, ниче не происходит, хотя в закладке Отчет все путем с квотами.

[Андрей Фисенко]

http://www.sibnovell.ru/~AFisenko/novel ... 4_encoder/

на входе файл со строками в формате win1251 (столбец "Фамилия" из таблицы) - на выхода файл с построчным перекодированием в BASE64.