Чтобы добавлять сообщения и комментарии, .

@necromant:
necromant

Таки поднял себе дома LDAP, прикрутил к нему почту, owncloud, gitlab, jenkins... Сижу пытаюсь понять: LDAP дома это удобно, или это все же диагноз?

@don-Rumata:
don-Rumata

Пипл, а как удобно и без геммороя тащить (хватит пока ro, rw не нужно) инфу о пользователях из AD? Первоначальное гугление какие-то не юзерфрендли результаты дало.

@Bazileus:
Bazileus

Уважаемые! Прошу вашей помощь! Есть домен на OpenLDAP, все пользователи по группам. Требуется настроить mod_shared_roster_ldap в Ejabberd. Перепробовал разные конфиги, но не могу увидеть группы пользователей и пользователей в них. Ejabberd версии 14.07. Может кто с таким связывался?

@Dant:
Dant

Active Directory: LDAP Syntax Filters social.technet.microsoft.com

@AlexVK:
AlexVK

Только разбор логов и последующие изучение дерева LDAP показали что на самом деле ошибки нет,
просто назвали не bcch а bbch в LDAP
И нам дали как bcch
Ну замечательно, пусть так и пользуют теперь

@AlexVK:
AlexVK

JXplorer — вполне нормальный просмотрщик LDAP на java
jxplorer.org
sourceforge.net

@wilful:
wilful

Ставил кто у себя авторизацию ldap через sssd на фре? Порт рабочий?

@CruncH:
CruncH

работать через win32com с лдапом это тихий ужас, особенно если незнаешь как работать с лдапом. Не знаешь что и где правильно использовать из методов

@SkyLimited:
SkyLimited

Жуйк, кто может подсказать как запросить организацию в Active Directory, та что во вкладке "Работа". Как называется это свойство для LDAP запроса?

@freefd:
freefd

После полудня копаний в коде github.com мы с @levonti таки завели LDAP авторизацию через Active Directory GC в nginx.

Сразу стало очевидно, что с LDAPS этот модуль не может работать, так как ldap_simple_bind_s должна быть заменена на ldap_sasl_bind_s в этом случае.

@acceptor:
acceptor

Народ, а есть кто с OpenLDAP может подсобить? :)

@seeker:
seeker

Задача: есть пользователь, надо проверить принадлежит ли он доменной групе sq-inet-blk. Если пользователь напрямую член этой группы то ldapusersearch ldap://s01.bank.local:3268/dc=bank,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=sq-inet-block%2cOU=squidgroups%2cOU=Groups%2cOU=OU-Spb%2cdc=bank%2cdc=local))
и все хорошо НО хочется сразу группы пользователей добавлять. Найденая в мсдн идея что-то или я неправильно понял или неподхватывается
ldapusersearch ldap://s01.bank.local:3268/dc=bank,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(&(objectCategory=person)(objectClass=user)(!memberOf=cn=sq-inet-block%2cOU=squidgroups%2cOU=Groups%2cOU=OU-Spb%2cdc=bank%2cdc=local)))

@norguhtar:
norguhtar

Да гребанная хрень. Один фильтр работает второй хуйню какую-то постит.

@toxin:
toxin

Чтож FreeRADIUS с LDAP модулем на пробу оказался в достаточной мере гибким и нетребовательным в качестве RADIUS сервера.

@Melhior:
Melhior

Такой странный вопрос — что лучше выбрать — radius или ldap? В плане прикручивания к pam и apache

@mdma:
mdma

Ребят, а кто-нибудь проекты на Django завязывал на ActiveDirectory (LDAP)? Можно примерчики рабочие в студию, а?

@Marchael:
Marchael

На первый взгляд вполне очевидным и логичным симптомом ошибки "session setup failed: NT_STATUS_ACCOUNT_EXPIRED" при логине на самбо-шару или "authentication token expired"(или как-то так, сейчас 4 утра. могу ошибиться :) ) при попытке забрать почту с сервера, который ищет пользователей в лдапе, является истечение срока действия пароля.

В связи с чем, хотелось бы написать небольшую заметку о том, какие же собственно поля отвечают за каждый из видов ошибок и чем их можно поправить:
1. "authentication token expired" — может быть вызвано тем, что число в "shadowExpire"(содержит количество дней со дня эпохи Unix 01.01.1970 до момента когда пароль протухнет) меньше чем количество дней до настоящего времени.
2. "session setup failed: NT_STATUS_ACCOUNT_EXPIRED" — тут я поленился разбираться полностью, но судя по всему причиной этой ошибки может быть "sambakickoffTime"(хотя по логике он совсем за ругое отвечать должен).

И первое и второе фиксется устновкой новой даты истечения пароля, например "smbldap-usermod -e 2020-01-01 user"(по отдельности тоже можно, описано в мане).

Еще деталь. "shadowMax"(содержит число дней со дня последнего изменения пароля "shadowLastChange") тоже может быть источником проблем, так как по истечению этого срока(или если он 0 равен например) система будет навязчиво намекать, что время Х таки пришло.

@Marchael:
Marchael

Использовать python-ldap горадо круче чем обычный ldapsearch. Почему?

Допустим хотим список логинов сотрудников вместе с должностями, делаем
ldapsearch -h localhost -x -b 'ou=Users,ou=MY,o=COMPANY,c=RU' uid title
На выходе получаем что то типа:
# user, MY, COMPANY, RU
dn: uid=user,ou=Users,ou=MY,o=COMPANY,c=RU
uid: user
title:: 0JXQsdCw0Lsg0Y8g0LIg0YDQvtGCINCy0LDRiNGD0Y7Qt9Cw0LHQtdC70YzQvdC+0YHRgtGMISDQ
otCe0JvQrNCa0J4g0KDQpNCmITExINCi0J7Qm9Cs0JrQniDQpdCQ0KDQlNCa0J7QoCEhISExMTE=

И, блеать, нет никаких опций, чтобы сделать юзабельный вывод и выводить поле title в сыром виде. Хотя в федоровском .389 уже сделали что то адекватное directory.fedoraproject.org

В моем любимом питончике я делаю:

import ldap
l_conn = ldap.open("ldap.my.company.ru")
search_query = l_conn.search("ou=Users,ou=MY,o=COMPANY,c=RU", ldap.SCOPE_SUBTREE)
search_result = l_conn.result(search_query)
s_id, response = search_result
for dn, data in response:
print data.get("uid",None), data.get("title",[None])[0]

['user'] Главный юзер
...

И все это без написания костылей с конкатенацией строк и декода из base64

@mefisteron:
mefisteron

Кто поднимал контроллер домена на linux должен быть в курсе того, что у samba ограниченная поддержка домена. Кто ещё не знает, вот решение вопроса групповых политик — unixforum.org

@sceptic:
sceptic

Полезнейший блог по LDAP: ff1959.wordpress.com

@mdma:
mdma

А скажика Жуйк в сети может быть только один LDAP-сервер или же у них есть какая-либо возможность настроить схему master-slave или primary-secondary. Просто вот у меня есть к примеру сеть в которой вся авторизация рулится только через LDAP, в сети только линуксы, залогинится локально вообще нельзя простому смертному :) Вот меня и осенил вопрос, а если этот единственный LDAP выбьет вдруг — это же пиздец будет...

@mdma:
mdma

О, да! LDAP... Везде LDAP, всюду LDAP!!! LDAP в массы!!! Это наше всё!!! Нахуй нам <some_service>+<some_SQL>, когда есть LDAP!!!
Извините, накипело...

@Gem:
Gem

Про LDAP по-русски pro-ldap.ru

@chegeware:
chegeware

#1410550

@sattellite:
sattellite

Объясните мне, пожалуйста, по-свойски, без всяких там википедий. Для чего нужен Active Directory? Имеет ли смысл настраивать AD на одном единственном виндовом сервере? Что мне даст AD на этом сервере?

@freefd:
freefd

Если я всё правильно понял, то QIP Infium действительно ещё то говно.
Красиво описал набор полей для ldap_search_fields, теперь можно искать сотрудников по email, телефонам, должностям, городам. Всё отлично, vjud.server.tld в pidgin/psi+ всё ищет и отображает.
Смотрим на QIP Infium. Первый взгляд падает на кнопку найти/добавить. Тыкаю, пытаюсь искать НЕ ПО UID. Не работает. Либо не показывает ни одного контакта, либо показывает первые 50 из active directory.
Иду в обзор сервисов сервера. vjud.server.tld прекрасно видится, но никаких действий с ним выполнить нельзя, можно просто любоваться.

@freefd:
freefd

Прикрутил к nginx только свежую альфу code.google.com
То ли я с утра не с той стороны не той рукой это всё потрогал, то ли оно плохо понимаем AD, но состояние работоспособности заключается в двух словах. Не работает.
Буду ждать джва года, а пока продолжаем жить на имплементации ldap авторизации через perl embedded.

@freefd:
freefd

1313 возможных атрибутов в AD.

@maxym:
maxym

Отладка фильтров LDAP из коммандной строки:
# ldapsearch -x -b "ou=vmail,dc=example,dc=com" -s sub "(&(objectClass=inetOrgPerson)(mail=user1@example.com))"

@freefd:
freefd

LDAP не позволяет в запросах делать отрицание для OU, например. То бишь, чтобы выбрать все, кроме данной OU, я должен составить запрос, в котором указать все эти OU.
Зато ГЛОБАЛЬНО и НАДЁЖНО.

@freefd:
freefd

* ldap В документации Process One в момент настройки ejabberd для работы с AD указывается, что ldap_uids необходимо декларировать как {ldap_uids, [{"sAMAccountName"}]}, при этом баг support.process-one.net в котором указывается корректный вариант {ldap_uids, [{"sAMAccountName", "%u"}]}, закрыт в ejabberd 2.1.3. Это, как минимум, странно.

Суть данного бага очень проста, но пришлось потратить пару часов, дабы понять. При использовании mod_vcard_ldap поиск происходить не будет и данное поведение именно из-за "%u".

@Gem:
Gem

freeipa.org

@Coronzon:
Coronzon

пытаюсь создать адресную книгу в ekiga на их же сервере. Программа ничего не пишет по поводу создалась она или нет. Т.е. она появляется, но ни одного контакта там создать нельзя. Видимо я что-то не так делаю с авторизацией. Но как правильно — не знаю. На их сайте тоже инструкции нет. Думаю что пора создавать свой домен.

@mirivlad:
mirivlad

Очень хочется почитать с разжовыванием для окостеневших быдлоадминов о том как поднять ldap, настроить его, подрубить к нему виндовых и linux клиентов. Если что-то есть для облегчения сего процесса — с удовольствием пощупаю.
Сейчас ставил Zentyal — нестабильно пашет :( Полез в настройки DNS из их вебморды — куй. тупо крутит индикатор. Подключился по SSH попробовал перезапуск ebox выполнить — куй. Ругается на чарактеры в конфиге Redis. В общем херня такая смысла жить не имеет — проще уж ноhvальный дистр поставить и руками настроить чем эту бажность терпеть.
Кто чего умного скажет? (кто скажет про 2003/2008 от негрософта пойдет в пешее эротическое путешествие)

@freefd:
freefd

active directory нормально обрабатывает до 80 запросов на авторизацию в секунду.

@pimiento:
pimiento

помогите мне уже кто-нибудь осознать суть этих самых ldif'ов в лдапе. я себе весь мозг изъел, прочитал zytrax.com, а всё равно не догоняю — как же их, блиать, генерировать руками

@ei-grad:
ei-grad

Авторизация Debian/Ubuntu клиентов на Calculate Directory Server calculate-linux.ru

@k1lg0reTr0ut:
k1lg0reTr0ut

дайте ссылочку тупому на подробное объяснение схем ldap?
нихрена не понятно. раньше обходился чисто "фактически тут пишут так, поэтому тоже буду писать так". но нихрена не понятно почему. что такое DC CN OU.
где можно почитать об этом? желательно на русском.

@freefd:
freefd

патчей для возможности авторизации юзернейма по ldap в nginx до сих пор нет, я правильно понимаю?
web.iti.upv.es — это я всё видел, но уж очень не хочется крутить велосипедности nginx -> pam -> ldap.

@delayer:
delayer

что то я подзакалебался с сабжами...но вроде что-то заработало ;)