to post messages and comments.

@Ilya-S-Zharskiy:

#2205845/25

Как раз такой хуйнёй и занимаюсь,

только у меня сложность в том, что
ВСЕ ПОЛЬЗОВАТЕЛИ В ДОМЕНЕ
ОБЛАДАЮТ ПРАВАМИ ЕГО АДМИНИСТРАТОРОВ

и я даже не знаю — кем это было сделано
и зачем

т.е. у меня вся процедура миграции на Линупс
должна быть сделана при одностороннем(!) доверии

Win2000-->Win2016-->FreePIA/SAMBA

@necromant:

Таки поднял себе дома LDAP, прикрутил к нему почту, owncloud, gitlab, jenkins... Сижу пытаюсь понять: LDAP дома это удобно, или это все же диагноз?

@don-Rumata:

Пипл, а как удобно и без геммороя тащить (хватит пока ro, rw не нужно) инфу о пользователях из AD? Первоначальное гугление какие-то не юзерфрендли результаты дало.

@Bazileus:

Уважаемые! Прошу вашей помощь! Есть домен на OpenLDAP, все пользователи по группам. Требуется настроить mod_shared_roster_ldap в Ejabberd. Перепробовал разные конфиги, но не могу увидеть группы пользователей и пользователей в них. Ejabberd версии 14.07. Может кто с таким связывался?

@Dant:

Active Directory: LDAP Syntax Filters social.technet.microsoft.com

@AlexVK:

Только разбор логов и последующие изучение дерева LDAP показали что на самом деле ошибки нет,
просто назвали не bcch а bbch в LDAP
И нам дали как bcch
Ну замечательно, пусть так и пользуют теперь

@AlexVK:

JXplorer — вполне нормальный просмотрщик LDAP на java
jxplorer.org
sourceforge.net

@wilful:

Ставил кто у себя авторизацию ldap через sssd на фре? Порт рабочий?

@CruncH:

работать через win32com с лдапом это тихий ужас, особенно если незнаешь как работать с лдапом. Не знаешь что и где правильно использовать из методов

@SkyLimited:

Жуйк, кто может подсказать как запросить организацию в Active Directory, та что во вкладке "Работа". Как называется это свойство для LDAP запроса?

@freefd:

После полудня копаний в коде github.com мы с @levonti таки завели LDAP авторизацию через Active Directory GC в nginx.

Сразу стало очевидно, что с LDAPS этот модуль не может работать, так как ldap_simple_bind_s должна быть заменена на ldap_sasl_bind_s в этом случае.

@acceptor:

Народ, а есть кто с OpenLDAP может подсобить? :)

@seeker:

Задача: есть пользователь, надо проверить принадлежит ли он доменной групе sq-inet-blk. Если пользователь напрямую член этой группы то ldapusersearch ldap://s01.bank.local:3268/dc=bank,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=sq-inet-block%2cOU=squidgroups%2cOU=Groups%2cOU=OU-Spb%2cdc=bank%2cdc=local))
и все хорошо НО хочется сразу группы пользователей добавлять. Найденая в мсдн идея что-то или я неправильно понял или неподхватывается
ldapusersearch ldap://s01.bank.local:3268/dc=bank,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(&(objectCategory=person)(objectClass=user)(!memberOf=cn=sq-inet-block%2cOU=squidgroups%2cOU=Groups%2cOU=OU-Spb%2cdc=bank%2cdc=local)))

@norguhtar:

Да гребанная хрень. Один фильтр работает второй хуйню какую-то постит.

@toxin:

Чтож FreeRADIUS с LDAP модулем на пробу оказался в достаточной мере гибким и нетребовательным в качестве RADIUS сервера.

@Melhior:

Такой странный вопрос — что лучше выбрать — radius или ldap? В плане прикручивания к pam и apache

@mdma:

Ребят, а кто-нибудь проекты на Django завязывал на ActiveDirectory (LDAP)? Можно примерчики рабочие в студию, а?

@Marchael:

На первый взгляд вполне очевидным и логичным симптомом ошибки "session setup failed: NT_STATUS_ACCOUNT_EXPIRED" при логине на самбо-шару или "authentication token expired"(или как-то так, сейчас 4 утра. могу ошибиться :) ) при попытке забрать почту с сервера, который ищет пользователей в лдапе, является истечение срока действия пароля.

В связи с чем, хотелось бы написать небольшую заметку о том, какие же собственно поля отвечают за каждый из видов ошибок и чем их можно поправить:
1. "authentication token expired" — может быть вызвано тем, что число в "shadowExpire"(содержит количество дней со дня эпохи Unix 01.01.1970 до момента когда пароль протухнет) меньше чем количество дней до настоящего времени.
2. "session setup failed: NT_STATUS_ACCOUNT_EXPIRED" — тут я поленился разбираться полностью, но судя по всему причиной этой ошибки может быть "sambakickoffTime"(хотя по логике он совсем за ругое отвечать должен).

И первое и второе фиксется устновкой новой даты истечения пароля, например "smbldap-usermod -e 2020-01-01 user"(по отдельности тоже можно, описано в мане).

Еще деталь. "shadowMax"(содержит число дней со дня последнего изменения пароля "shadowLastChange") тоже может быть источником проблем, так как по истечению этого срока(или если он 0 равен например) система будет навязчиво намекать, что время Х таки пришло.

@Marchael:

Использовать python-ldap горадо круче чем обычный ldapsearch. Почему?

Допустим хотим список логинов сотрудников вместе с должностями, делаем
ldapsearch -h localhost -x -b 'ou=Users,ou=MY,o=COMPANY,c=RU' uid title
На выходе получаем что то типа:
# user, MY, COMPANY, RU
dn: uid=user,ou=Users,ou=MY,o=COMPANY,c=RU
uid: user
title:: 0JXQsdCw0Lsg0Y8g0LIg0YDQvtGCINCy0LDRiNGD0Y7Qt9Cw0LHQtdC70YzQvdC+0YHRgtGMISDQ
otCe0JvQrNCa0J4g0KDQpNCmITExINCi0J7Qm9Cs0JrQniDQpdCQ0KDQlNCa0J7QoCEhISExMTE=

И, блеать, нет никаких опций, чтобы сделать юзабельный вывод и выводить поле title в сыром виде. Хотя в федоровском .389 уже сделали что то адекватное directory.fedoraproject.org

В моем любимом питончике я делаю:

import ldap
l_conn = ldap.open("ldap.my.company.ru")
search_query = l_conn.search("ou=Users,ou=MY,o=COMPANY,c=RU", ldap.SCOPE_SUBTREE)
search_result = l_conn.result(search_query)
s_id, response = search_result
for dn, data in response:
print data.get("uid",None), data.get("title",[None])[0]

['user'] Главный юзер
...

И все это без написания костылей с конкатенацией строк и декода из base64

@mefisteron:

Кто поднимал контроллер домена на linux должен быть в курсе того, что у samba ограниченная поддержка домена. Кто ещё не знает, вот решение вопроса групповых политик — unixforum.org

@sceptic:

Полезнейший блог по LDAP: ff1959.wordpress.com

@mdma:

А скажика Жуйк в сети может быть только один LDAP-сервер или же у них есть какая-либо возможность настроить схему master-slave или primary-secondary. Просто вот у меня есть к примеру сеть в которой вся авторизация рулится только через LDAP, в сети только линуксы, залогинится локально вообще нельзя простому смертному :) Вот меня и осенил вопрос, а если этот единственный LDAP выбьет вдруг — это же пиздец будет...

@mdma:

О, да! LDAP... Везде LDAP, всюду LDAP!!! LDAP в массы!!! Это наше всё!!! Нахуй нам <some_service>+<some_SQL>, когда есть LDAP!!!
Извините, накипело...

@Gem:

Про LDAP по-русски pro-ldap.ru

@chegeware:

#1410550

@sattellite:

Объясните мне, пожалуйста, по-свойски, без всяких там википедий. Для чего нужен Active Directory? Имеет ли смысл настраивать AD на одном единственном виндовом сервере? Что мне даст AD на этом сервере?

@freefd:

Если я всё правильно понял, то QIP Infium действительно ещё то говно.
Красиво описал набор полей для ldap_search_fields, теперь можно искать сотрудников по email, телефонам, должностям, городам. Всё отлично, vjud.server.tld в pidgin/psi+ всё ищет и отображает.
Смотрим на QIP Infium. Первый взгляд падает на кнопку найти/добавить. Тыкаю, пытаюсь искать НЕ ПО UID. Не работает. Либо не показывает ни одного контакта, либо показывает первые 50 из active directory.
Иду в обзор сервисов сервера. vjud.server.tld прекрасно видится, но никаких действий с ним выполнить нельзя, можно просто любоваться.

@freefd:

Прикрутил к nginx только свежую альфу code.google.com
То ли я с утра не с той стороны не той рукой это всё потрогал, то ли оно плохо понимаем AD, но состояние работоспособности заключается в двух словах. Не работает.
Буду ждать джва года, а пока продолжаем жить на имплементации ldap авторизации через perl embedded.

@freefd:

1313 возможных атрибутов в AD.

@maxym:

Отладка фильтров LDAP из коммандной строки:
# ldapsearch -x -b "ou=vmail,dc=example,dc=com" -s sub "(&(objectClass=inetOrgPerson)([email protected]))"

@freefd:

LDAP не позволяет в запросах делать отрицание для OU, например. То бишь, чтобы выбрать все, кроме данной OU, я должен составить запрос, в котором указать все эти OU.
Зато ГЛОБАЛЬНО и НАДЁЖНО.

@freefd:

* ldap В документации Process One в момент настройки ejabberd для работы с AD указывается, что ldap_uids необходимо декларировать как {ldap_uids, [{"sAMAccountName"}]}, при этом баг support.process-one.net в котором указывается корректный вариант {ldap_uids, [{"sAMAccountName", "%u"}]}, закрыт в ejabberd 2.1.3. Это, как минимум, странно.

Суть данного бага очень проста, но пришлось потратить пару часов, дабы понять. При использовании mod_vcard_ldap поиск происходить не будет и данное поведение именно из-за "%u".

@Gem:

freeipa.org

@Coronzon:

пытаюсь создать адресную книгу в ekiga на их же сервере. Программа ничего не пишет по поводу создалась она или нет. Т.е. она появляется, но ни одного контакта там создать нельзя. Видимо я что-то не так делаю с авторизацией. Но как правильно — не знаю. На их сайте тоже инструкции нет. Думаю что пора создавать свой домен.

@mirivlad:

Очень хочется почитать с разжовыванием для окостеневших быдлоадминов о том как поднять ldap, настроить его, подрубить к нему виндовых и linux клиентов. Если что-то есть для облегчения сего процесса — с удовольствием пощупаю.
Сейчас ставил Zentyal — нестабильно пашет :( Полез в настройки DNS из их вебморды — куй. тупо крутит индикатор. Подключился по SSH попробовал перезапуск ebox выполнить — куй. Ругается на чарактеры в конфиге Redis. В общем херня такая смысла жить не имеет — проще уж ноhvальный дистр поставить и руками настроить чем эту бажность терпеть.
Кто чего умного скажет? (кто скажет про 2003/2008 от негрософта пойдет в пешее эротическое путешествие)

@freefd:

active directory нормально обрабатывает до 80 запросов на авторизацию в секунду.

@pimiento:

помогите мне уже кто-нибудь осознать суть этих самых ldif'ов в лдапе. я себе весь мозг изъел, прочитал zytrax.com, а всё равно не догоняю — как же их, блиать, генерировать руками

@ei-grad:

Авторизация Debian/Ubuntu клиентов на Calculate Directory Server calculate-linux.ru

@k1lg0reTr0ut:

дайте ссылочку тупому на подробное объяснение схем ldap?
нихрена не понятно. раньше обходился чисто "фактически тут пишут так, поэтому тоже буду писать так". но нихрена не понятно почему. что такое DC CN OU.
где можно почитать об этом? желательно на русском.

@freefd:

патчей для возможности авторизации юзернейма по ldap в nginx до сих пор нет, я правильно понимаю?
web.iti.upv.es — это я всё видел, но уж очень не хочется крутить велосипедности nginx -> pam -> ldap.