Ответы пользователя по тегу LDAP
  • Jenkins + ldap аутентификация, как?

    Slipeer
    @Slipeer
    1. Если у Вас openldap - для диагностики можно в логах посмотреть что и как он ищет
    2. Попробуйте просто указать base dn "dc=ldap,dc=ru"
    3. Проверьте, что у указанного пользователя (Manager DN, под которым в LDAP работает jenkins есть доступ к "dc=ldap,dc=ru", например выполните от него ldapsearch со scope subtree и basedn "dc=ldap,dc=ru",)
    Ответ написан
  • Есть ли какие-нибудь зависимости у атрибутов пользователя в LDAP?

    Slipeer
    @Slipeer
    Во-первых - уточните, что у Вас используется в качестве LDAP сервера (реализаций достаточно много)
    Во-вторых посмотрите схему LDAP сервера для этих атрибутов.
    Обычно manager заполняется на объекте пользователя и задаёт DN его начальника.
    Обычно secretary заполняется на объекте пользователя и задаёт DN его секретаря.
    Если будете заполнять эти атрибуты каким-либо необычным способом - в дальнейшем при интеграции с LDAP новых продуктов могут возникнуть проблемы.
    Если требуются атрибуты и в LDAP нет полностью подходящих - правильнее подготовить расширение схемы (или найти уже готовое).
    Ответ написан
  • Thunderbird и LDAP

    Slipeer
    @Slipeer
    Этого как минимум не стоит делать.
    Зачем вашим пользователям просматривать весь список адресатов из LDAP?
    Запрос к LDAP с выдачей всех пользователей достаточно «тяжёлая» операция. Нагрузка на сервер будет расти в геометрической прогрессии с ростом количества пользователей (Будет расти кол-во адресатов и одновременно количество клиентов, отправляющих запрос). На LDAP серверах как-раз для этого случая существуют лимиты по количеству отдаваемых записей за один запрос.

    Ещё раз подумайте так ли это вам необходимо.
    Ответ написан
  • Active Directory LDAP понять как работает поиск по каталогам?

    Slipeer
    @Slipeer
    Во-первых: в параметрах поиска вы опускаете один параметр — область поиска (scope). Область поиска по-умолчанию обычно поддерево (SubTree) для заданного basedn.
    Во-вторых: следует понимать, что у вас в каталоге AD изначально существует (в типовой конфигурации) 5 разделов. Так вот поиск работает только в пределах одного раздела.
    При этом «DC=example,DC=org» — корень раздела домена, а «CN=Configuration,DC=example,DC=org» — корень раздела конфигурации. Поэтому при поиске с basedn = «DC=example,DC=org» и scope = SubTree вы не получите объекты из ветки CN=Configuration,DC=example,DC=org" — они расположены в другом разделе каталога.

    P.S. В Вашем конкретном случае стоит воспользоваться тем, что «CN=Subnets,CN=Sites,CN=Configuration» это постоянная составляющая пути и просто при поиске подсетей добавлять её к basedn домена.
    Ответ написан
  • ssh пускает пользователя без проверки соответствия пароля

    Slipeer
    @Slipeer
    Есть подозрение, что авторизация проходит по строке:
    auth optional pam_permit.so

    (Если, конечно у Вас в /etc/pam.d/sshd не определены отдельные правила для процесса sshd)
    Попробуйте перед этой строкой добавить:
    auth  requisite  pam_deny.so
    или
    auth  required  pam_deny.so

    P.S. Только на время эксперимента держите подключенной ssh сессию с правами root, чтобы если что — вернуть всё назад.
    Ответ написан