eDirectory и memberUid

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Сообщение v13 » 24 май 2008, 01:11

только что проверил

с помощью console1 в свойствах ldap group объекта добавил
в дополнительные атрибуты к "member" атрибут "memberUid"
больше ничего не делал.
результат:


#ldapsearch -h oes1 (&(objectClass=posixGroup)(memberUid=cn=admin,o=myorg))"


# LDAPv3
# base <> with scope subtree
# filter: (&(objectClass=posixGroup)(memberUid=cn=admin,o=myorg))
# requesting: ALL
dn: cn=AdminGroup,o=myorg
gidNumber: 600
objectClass: Top
objectClass: groupOfNames
objectClass: posixGroup
objectClass: uamPosixGroup
objectClass: nfapLoginProperties
objectClass: ndsLoginProperties
member: cn=admin,o=myorg

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Это группа проапгрейженая для linux
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Walery » 24 май 2008, 09:56

v13 писал(а):только что проверил

с помощью console1 в свойствах ldap group объекта добавил
в дополнительные атрибуты к "member" атрибут "memberUid"
больше ничего не делал.
результат:


#ldapsearch -h oes1 (&(objectClass=posixGroup)(memberUid=cn=admin,o=myorg))


Я уже писал, что я так пробовал, но что мне это дает?
При правильно установленном значении memberUid строка поиска должна быть
#ldapsearch -h oes1 (&(objectClass=posixGroup)(memberUid=admin))

к сожалению ни console1, ни iManager не синхронизируют этот атрибут автоматически при изменении свойств member :(
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение v13 » 24 май 2008, 14:51

на выбор:
1. покупаете готовое решение
2. обладаете достаточным скиллом чтоб прикрутить бесплатное.
3. платите тому кто в состоянии прикрутить бесплатное.

ps:
(&(objectClass=posixGroup)(memberUid=admin))
IMHO неверная конструкция, ldap формат не соблюдается.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Андрей Тр. aka RH » 24 май 2008, 16:03

Walery писал(а):к сожалению ни console1, ни iManager не синхронизируют этот атрибут автоматически при изменении свойств member

Теоретически, синхронизировать атрибут в еДире можно при помощи IDM - я не уверен, доступен ли сейчас какой-то bundled edition ( в смысле бесплатный, идущий с OES ). Так что если это - действительно решение проблемы, то .. наверное, не так уж и сложно организовать.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение v13 » 24 май 2008, 18:13

Андрей, я как понял человеку нужно не просто синхронизировать, а сначала преобразовать в другой формат. Хотя когда я игрался с IDM, вроде там возможностей много видел всяких, может быть и это можно сделать. Только стоит ли городить огород с IDM, который собственно работает как и любой скрипт по расписанию, что было в самом начале исключено в условиях:
(предлагать написать скрипт, который будет это периодически делать не надо)
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Walery » 24 май 2008, 18:37

v13 писал(а):на выбор:
1. покупаете готовое решение
2. обладаете достаточным скиллом чтоб прикрутить бесплатное.
3. платите тому кто в состоянии прикрутить бесплатное.


Первый отпадает по причине тех же денег - не знаю, что можно ответить на вопрос пользователей: "а чем оно лучше Exchange, с которым мы привыкли работать и которое то же стоит денег"?
Но надеюсь, что мне все-таки подходит второй вариант :)
В принципе, чтобы не заниматься ручной работой, большого труда не составит либо поправить исходники, чтобы оно работало с dn, а не uid, но тогда их придется менять при каждом обновлении, либо написать скрипт, который через тот же LDAP будет по ночам синхронизировать member c memberUid, но в этом случае членство в группах будет действовать только на следующий день. Но по-моему это все не совсем правильно... хотя наверное, если ничего не получится, то буду писать скрипт

v13 писал(а):ps:
(&(objectClass=posixGroup)(memberUid=admin))
IMHO неверная конструкция, ldap формат не соблюдается.


почему? только что запустил:
ldapsearch -h bnw1 -x "(&(objectClass=posixGroup)(memberUid=walery))"
нормально выполнилось, вернуло группу, которую я руками правил
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Андрей Тр. aka RH » 25 май 2008, 14:20

v13 писал(а):Андрей, я как понял человеку нужно не просто синхронизировать, а сначала преобразовать в другой формат. Хотя когда я игрался с IDM, вроде там возможностей много видел всяких, может быть и это можно сделать. Только стоит ли городить огород с IDM, который собственно работает как и любой скрипт по расписанию, что было в самом начале исключено в условиях:
(предлагать написать скрипт, который будет это периодически делать не надо)

"Синхронизировать" я употребил как раз в широком смысле слова - в смысле что выполнить нужное действие по событию. ИМХО в IDM можно сделать почти всё - был бы этот самый скилл. Насчёт расписания - IDM как раз event based, в отличие от того же MIIS ( ИМХО ). Конечно, этот вариант - далеко не из простых .. но если надо преобразовывать формат атрибута, то простым маппингом в ЛДАПе, наверное, не обойтись.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Сергей Дубров » 25 май 2008, 14:24

Андрей Тр. aka RH писал(а):IDM как раз event based, в отличие от того же MIIS ( ИМХО ).

Да, IDM - event driven, а MIIS - state based.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение v13 » 26 май 2008, 11:55

Walery писал(а):
v13 писал(а):ps:
(&(objectClass=posixGroup)(memberUid=admin))
IMHO неверная конструкция, ldap формат не соблюдается.


почему? только что запустил:
ldapsearch -h bnw1 -x "(&(objectClass=posixGroup)(memberUid=walery))"
нормально выполнилось, вернуло группу, которую я руками правил

То что тебе позволило записать нечто в memberUid не обязательно значит что ты занёс это так как это было задумано.
К примеру посмотри свойста объекта group
там все ссылки на объект user в длинном виде, как впрочем и везде в edirectory, хотя бы потому, что юзера с одним именем можно создавать в разных контекстах.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение v13 » 26 май 2008, 12:06

Похоже я врубился в суть задачи :-) . Тебе нужен uid пользователя в атрибуте memberuid posixgroup, а снапинсы к c1, imanager похоже на данный момент эту связь не ведут.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Walery » 26 май 2008, 14:26

v13 писал(а):Похоже я врубился в суть задачи :-) . Тебе нужен uid пользователя в атрибуте memberuid posixgroup, а снапинсы к c1, imanager похоже на данный момент эту связь не ведут.


Ну наконец-то :)
Я же писал, что memberUid это отражение uniqueId пользователя, а не его dn, в том-то и все и дело... хотя выделенная формулировка наиболее точно описывает проблему, осталось найти ее решение :)
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Андрей Тр. aka RH » 26 май 2008, 14:58

v13 писал(а):нужен uid пользователя в атрибуте memberuid posixgroup

А в таком случае не получится просто замапить атрибут memberuid posixgroup на uid в настройках LDAP ? Если нужно всего лишь это ?
Последний раз редактировалось Андрей Тр. aka RH 26 май 2008, 15:14, всего редактировалось 1 раз.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Walery » 26 май 2008, 15:06

Андрей Тр. aka RH писал(а):
v13 писал(а):[b]нужен uid пользователя в атрибуте memberuid posixgroup

А в таком случае не получится просто замапить атрибут memberuid posixgroup на uid в настройках LDAP ? Если нужно всего лишь это ?



Не получится - во-первых у posixgroup нет атрибута uid, а во-вторых, даже если бы он был, то при таком мапинге максимум, что я получу это uid группы, а мне нужны uid'ы пользователей, входящих в эту группу
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Андрей Тр. aka RH » 26 май 2008, 15:20

Понятно .. тогда поподробнее можно - про этот атрибут memberuid posixgroup ? Это атрибут объекта группа, где находится списиок uid'ов всех её членов ? Который не обновляется самим еДиром при изменении членства юзера в группе ? т.е. нужнО какое-то дополнительное действие ( "синхронизация" ), добавлявшее ( убиравшее ) бы uid в этот атрибут группы ..

Чё-то нафантазировал .. :) надо было остановиться после первого предложения
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Walery » 26 май 2008, 17:50

Андрей Тр. aka RH писал(а):Понятно .. тогда поподробнее можно - про этот атрибут memberuid posixgroup ? Это атрибут объекта группа, где находится списиок uid'ов всех её членов ? Который не обновляется самим еДиром при изменении членства юзера в группе ? т.е. нужнО какое-то дополнительное действие ( "синхронизация" ), добавлявшее ( убиравшее ) бы uid в этот атрибут группы ..

Чё-то нафантазировал .. :) надо было остановиться после первого предложения


Да, так оно и есть, memberuid это аналог атрибута member для группы (вернее для класса posixGroup), только вместо полного имени пользователя в нем содержится uid.
Мои изыскания в инете привели только к выводу, что этот атрибут используется довольно часто
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Пред.След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

cron