Tham gia Đăng nhập
Điểm:0
Eduardo Lucio avatar Server

LDAP - Thêm bộ lọc vào URL LDAP để chỉ những người dùng thuộc một nhóm nhất định mới có thể truy cập ứng dụng

lá cờ in
Eduardo Lucio

Chúng tôi cho phép một ứng dụng sử dụng LDAP.

Trong cấu hình của ứng dụng, chúng tôi cần thông báo một URL để kết nối với LDAP. Chúng tôi hiện đang cung cấp URL sau...

ldap://10.2.0.5:389/dc=domain,dc=abc,dc=de?uid

CÂU HỎI: Chúng tôi cần thêm bộ lọc vào URL ở trên để chỉ những người dùng thuộc nhóm "nhóm truy cập" mới được định vị nhằm giới hạn quyền truy cập ứng dụng chỉ cho những người dùng thuộc nhóm này.

Đó là, một cái gì đó tương tự như thế này ...

cuộn tròn "ldap://10.2.0.5:389/dc=domain,dc=abc,dc=de?uid?sub?(&(memberof=cn=accessgroup,ou=groups,dc=domain,dc=abc,dc =de)(uid=%s))"

Chúng tôi đã thử hàng trăm cài đặt và không có gì hiệu quả... =|

TẬP ĐOÀN

cn:
nhóm truy cập

gidNumber:
1004

thành viênUid:
người dùng
người dùng
người dùng
người dùng
người dùng
người dùng
người dùng
người dùng
người dùng

lớp đối tượng:
hàng đầu
posixNhóm

NGƯỜI DÙNG

cn:
Người dùng chữ A

địa chất:
Người dùng chữ A

giới tính:
m

gidNumber:
544

Tên:
Người dùng

gotoLastSystemĐăng nhập:
01.01.1970 00:00:00

thư mục nhà:
/nhà/người dùng

đăng nhậpShell:
/bin/bash

email:
[email protected]

lớp đối tượng:
hàng đầu
người
người tổ chức
inetOrgPerson
tài khoản gosa
tài khoản posix
tài khoản bóng tối
tài khoản sambaSam

[…]

uid:
người dùng

số uid:
1004

[…]

Cảm ơn! =D

242
2 + 0
Điểm:1
avatar Server
lá cờ us
Liam Gretton

Thuộc tính memberOf của máy chủ LDAP của bạn được tạo như thế nào? Bạn đã kiểm tra để đảm bảo rằng người dùng của bạn thực sự có thuộc tính memberOf chưa?

Ví dụ, trong OpenLDAP, memberOf chỉ được điền nếu bạn sử dụng lớp phủ memberof hoặc quản lý chúng bằng danh sách động.

0 + 0
Điểm:0
Eduardo Lucio avatar Server
lá cờ in
Eduardo Lucio

TÌNH HUỐNG:

Vấn đề là chúng tôi đang cố gắng lọc bằng Nhóm POSIX và không có lớp phủ cụ thể nào cho điều đó. Những gì tồn tại là một cách giải quyết hơi phức tạp và tốn nhiều công sức có thể được quan sát tại đây TẠO THUỘC TÍNH THÀNH VIÊN CHO POSIXGROUPS.

GIẢI PHÁP:

Để giải quyết vấn đề này, chúng tôi đã triển khai một giải pháp đơn giản có thể xem tại đây...

psx-grp-flt - tư cách thành viên posixGroup của người dùng đối với pgMemberOf (memberOf)

... về cơ bản là như sau ...

Một tập lệnh Python 2.7 đơn giản lưu trữ posixGroup của mỗi người dùng (POSIX Group) trong thuộc tính pgMemberOf (memberOf) của chúng. Các mục đích là để kích hoạt các bộ lọc tìm kiếm như bên dưới ...

KIỂU MẪU

ldapsearch -x -H 'ldap://127.0.0.1:389' -b 'ou=người,dc=miền,dc=abc,dc=de'
-D 'cn=admin,dc=miền,dc=abc,dc=de'
-w 'mySecretValue'
'(&(pgMemberOf=cn=nhóm nhất định,ou=nhóm,dc=miền,dc=abc,dc=de)(uid=certainuid))'

VÍ DỤ

ldapsearch -x -H '<OPENLDAP_URI>' -b '<PERSONS_OU>,<BASE_DN>'
-D '<ADM_USER_DN>'
-w '<ADM_USER_PASSWORD>'
'(&(pgMemberOf=cn=<PSX_GROUP_CN>,<GROUPS_OU>,<BASE_DN)(uid=<PERSON_UID>))'

Tập lệnh này hữu ích cho các trường hợp chúng tôi đã có OpenLDAP đã cài đặt và chúng tôi muốn cung cấp các bộ lọc cho Nhóm POSIX đã tồn tại một cách rất đơn giản và không tạo ra các loại mới các nhóm. Cũng hữu ích khi không thể cài đặt lớp phủ hoặc khi điều này quá trình này là quá mất thời gian hoặc rủi ro.

Cảm ơn! =Đ

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.