[sisyphus] openldap и bind на интерфейсы

[sisyphus] openldap и bind на интерфейсы

[Alexey V. Lubimov]

Действительно openldap нельзя указать, к каким интерфейсам
привязываться или у просто меня зрение подводит?

man slapd.conf не помог.




-- 
С уважением, Алексей Любимов avl@cad.ru

Re: [sisyphus] openldap и bind на интерфейсы

[Peter V. Saveliev]

On Wed, 25 Sep 2002 13:23:09 +0400
"Alexey V. Lubimov" <avl@l14.ru> wrote:

> 
> Действительно openldap нельзя указать, к каким интерфейсам
> привязываться или у просто меня зрение подводит?
> 
> man slapd.conf не помог.

А надо? Если надо ограничить доступ к серверу, имхо, меньше крови будет
пролито через iptables.

Не в тему - а можно потом где-нибудь на видном месте пример конфигурации
сервера хотя бы в режиме записной книжки и связку ldap - <любой мэйлер>?
У меня после man slapd.conf не то что просветление, но такое затмение
наступило...

Скажем, в рассылку, на www.atmsk.ru, на opennet.ru или мылом на личку? С
меня пиво за просветление или иная благодарность, ну ей-Богу, полгода не
могу постигнуть эту технологию...

-- 
Sincerely,
Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru

Re: [sisyphus] openldap и bind на интерфейсы

["Алексей Любимов"]

On Wed, 25 Sep 2002 18:19:45 +0400
"Peter V. Saveliev" <peet@eltel.net> wrote:

> On Wed, 25 Sep 2002 13:23:09 +0400
> "Alexey V. Lubimov" <avl@l14.ru> wrote:
> 
> > 
> > Действительно openldap нельзя указать, к каким интерфейсам
> > привязываться или у просто меня зрение подводит?
> > 
> > man slapd.conf не помог.
> 
> А надо? Если надо ограничить доступ к серверу, имхо, меньше крови будет
> пролито через iptables.

одно другого не заменяет. 
ненавижу сервисы, без разбору цепляющиеся ко всем доступным интерфейсам. так порядка и безопасности никогда не добиться :(
однако, оказывается, проблема решаема. 


> 
> Не в тему - а можно потом где-нибудь на видном месте пример конфигурации
> сервера хотя бы в режиме записной книжки и связку ldap - <любой мэйлер>?
> У меня после man slapd.conf не то что просветление, но такое затмение
> наступило...

у меня работает нормально.
см соседнее сообщение.



-- 
Любимов Алексей
avl@l14.ru

Re: [sisyphus] openldap и bind на интерфейсы

[Денис Якимов]

В Срд, 25.09.2002, в 18:19, Peter V. Saveliev написал:
> Не в тему - а можно потом где-нибудь на видном месте пример конфигурации
> сервера хотя бы в режиме записной книжки и связку ldap - <любой мэйлер>?
> У меня после man slapd.conf не то что просветление, но такое затмение
> наступило...
> 

Аналогично. 

howto:  LDAP-Implementation-HOWTO
	LDAP-HOWTO
http://freebsd.bip.ru/ldap.shtml
http://www.cerritoslug.org/tutorials/qmail-ldap/
http://www.redhat.com/docs/manuals/linux/RHL-6.2-Manual/ref-guide/s1-ldap-redhattips.html
http://jamm.sourceforge.net/howto/html/implementation.html

 
-- 
С Уважением,
Денис Якимов

Re: [sisyphus] openldap и bind на интерфейсы

[Gleb Kouzmenko]

Alexey V. Lubimov пишет:
> Действительно openldap нельзя указать, к каким интерфейсам
> привязываться или у просто меня зрение подводит?
> 

Можно - в командной строке

slapd -h 'ldap://localhost ldaps://1.2.3.4'

Re: [sisyphus] openldap и bind на интерфейсы

["Алексей Любимов"]

On Wed, 25 Sep 2002 19:18:19 +0400
Gleb Kouzmenko <gleb@infomos.ru> wrote:

> Alexey V. Lubimov пишет:
> > Действительно openldap нельзя указать, к каким интерфейсам
> > привязываться или у просто меня зрение подводит?
> > 
> 
> Можно - в командной строке
> 
> slapd -h 'ldap://localhost ldaps://1.2.3.4'

Спасибо. 
Сделал сообщение на эту тему здесь.
http://www.atmsk.ru/viewtopic.php?p=645

to ALL:
Открыл форум по ldap на www.atmsk.ru
В ближайшее время будет статья по подъему slapd и статья по настройке записной книжки для аутлука, мозиллы, нетскейпа, эволюции и сильфиды с веб-интерфейсом labe.
К сожалению, мои патчи к лабе, похоже, автором просто проигнорированы, а без них labe сначала вообще не работает, а потом не работает с русскими буквами.
Кроме того, я доработал скрипт для переноса контактов из аутлука через cvs в ldif. С русскими буквами и фильтрацией данных.
Если есть желающие поспособствовать доведению до ума этого дела (русский первод веб-интерфейса, дальнейшие подчистки php и валидации данных и все такое), приглашаю к совместной работе.


-- 
Любимов Алексей
avl@l14.ru

Re: [sisyphus] openldap и bind на интерфейсы

[Albert R. Valiev]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

В письме от 25 Сентябрь 2002 21:23 Алексей Любимов написал:
> Если есть желающие
> поспособствовать доведению до ума этого дела (русский первод
> веб-интерфейса, дальнейшие подчистки php и валидации данных и все
> такое), приглашаю к совместной работе.

Алексей, если не сложно, напишите мне личным письмом, что конкретно 
нужно сделать, я постараюсь сделать все, что в моих силах. 

- -- 
With Best Regards, Albert R. Valiev
- ------------------------------------
ALT Linux Team [www.altlinux.ru]
KDE Development Team [www.kde.org]
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD4DBQE9kfht7d6wAH+0KuARAryuAKC/g9N/NYa4EWA5bQDeBqKpf1zE8wCYySFo
T7tQRyLTL631ItCz6kS8vA==
=f7Nk
-----END PGP SIGNATURE-----

Re: [sisyphus] openldap и bind на интерфейсы

[Serge Volkov]

On Wed, 25 Sep 2002 21:23:03 +0400
"Алексей Любимов" <avl@l14.ru> wrote:

> On Wed, 25 Sep 2002 19:18:19 +0400
> Gleb Kouzmenko <gleb@infomos.ru> wrote:
> 
> > Alexey V. Lubimov пишет:
> > > Действительно openldap нельзя указать, к каким интерфейсам
> > > привязываться или у просто меня зрение подводит?
> > > 
> > 
> > Можно - в командной строке
> > 
> > slapd -h 'ldap://localhost ldaps://1.2.3.4'
> 
> Спасибо. 
> Сделал сообщение на эту тему здесь.
> http://www.atmsk.ru/viewtopic.php?p=645
> 
> to ALL:
> Открыл форум по ldap на www.atmsk.ru
> В ближайшее время будет статья по подъему slapd и статья по настройке записной книжки для аутлука, мозиллы, нетскейпа, эволюции и сильфиды с веб-интерфейсом labe.

Не спешите Я готовлю новые сборки пакетов, при этом на данный момент я просто не успел написать то о чем Вы говорите, форум по LDAP я уже открывал, но кроме разговоров больше никто вопросов и заечаний не высказал.

Хочу обратить внимание на Admin Guide от OpenLDAP 
http://www.openldap.org/doc/admin/
http://www.openldap.org/doc/admin/quickstart.html

Если мне кто-нибудь поможет перевести эти документы будет вообще замечательно (я просто не успеваю на работе загрузка щас возросла)


> К сожалению, мои патчи к лабе, похоже, автором просто проигнорированы, а без них labe сначала вообще не работает, а потом не работает с русскими буквами.
> Кроме того, я доработал скрипт для переноса контактов из аутлука через cvs в ldif. С русскими буквами и фильтрацией данных.
> Если есть желающие поспособствовать доведению до ума этого дела (русский первод веб-интерфейса, дальнейшие подчистки php и валидации данных и все такое), приглашаю к совместной работе.
> 
> 
> -- 
> Любимов Алексей
> avl@l14.ru
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus


-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		

Re: [sisyphus] openldap и bind на интерфейсы

[Alexey V. Lubimov]

> > to ALL:
> > Открыл форум по ldap на www.atmsk.ru
> > В ближайшее время будет статья по подъему slapd и статья по
> > настройке записной книжки для аутлука, мозиллы, нетскейпа, эволюции
> > и сильфиды с веб-интерфейсом labe.
> 
> Не спешите
поздно :)
Первый набросок по подъему slapd уже выложен.

> Я готовлю новые сборки пакетов, при этом на данный момент я
> просто не успел написать то о чем Вы говорите, форум по LDAP я уже
> открывал, но кроме разговоров больше никто вопросов и заечаний не
> высказал.
не совсем так. вы открывали тему в форуме "переговорная", а я открыл
отдельный форум ldap.

Надо просто выкладывать интересные вещи, а народ подтянется...


Новые сборки, это хорошо, но писал о документации и описаниях, а не о
программах, как таковых.
 
> Хочу обратить внимание на Admin Guide от OpenLDAP 
> http://www.openldap.org/doc/admin/
> http://www.openldap.org/doc/admin/quickstart.html

О первых строках первого опуса я сослался на www.openldap.org и
www.yolinux.com

> 
> Если мне кто-нибудь поможет перевести эти документы будет вообще
> замечательно (я просто не успеваю на работе загрузка щас возросла)

лично я не вижу смысла в переводе howto. Предпочитаю
первоисточники. Но в любом случае вреда будет немного...


 

-- 
С уважением, Алексей Любимов avl@cad.ru

Re: [sisyphus] openldap и bind на интерфейсы

[Serge Volkov]

On Thu, 26 Sep 2002 12:13:41 +0400
"Alexey V. Lubimov" <avl@l14.ru> wrote:

> > > to ALL:
> > > Открыл форум по ldap на www.atmsk.ru
> > > В ближайшее время будет статья по подъему slapd и статья по
> > > настройке записной книжки для аутлука, мозиллы, нетскейпа, эволюции
> > > и сильфиды с веб-интерфейсом labe.
> > 
> > Не спешите
> поздно :)
> Первый набросок по подъему slapd уже выложен.
> 
> > Я готовлю новые сборки пакетов, при этом на данный момент я
> > просто не успел написать то о чем Вы говорите, форум по LDAP я уже
> > открывал, но кроме разговоров больше никто вопросов и заечаний не
> > высказал.
> не совсем так. вы открывали тему в форуме "переговорная", а я открыл
> отдельный форум ldap.
> 
> Надо просто выкладывать интересные вещи, а народ подтянется...

А какие задачи интетесны
так например я щас обдумываю как сделать чтобы squid мог пускать много сессий но только с одного ip адреса в момент времени и данные брал естестнвенно в LDAP!!!

> 
> 
> Новые сборки, это хорошо, но писал о документации и описаниях, а не о
> программах, как таковых.
>  
> > Хочу обратить внимание на Admin Guide от OpenLDAP 
> > http://www.openldap.org/doc/admin/
> > http://www.openldap.org/doc/admin/quickstart.html
> 
> О первых строках первого опуса я сослался на www.openldap.org и
> www.yolinux.com
> 
> > 
> > Если мне кто-нибудь поможет перевести эти документы будет вообще
> > замечательно (я просто не успеваю на работе загрузка щас возросла)
> 
> лично я не вижу смысла в переводе howto. Предпочитаю
> первоисточники. Но в любом случае вреда будет немного...
> 
Rfrbt

> 
>  
> 
> -- 
> С уважением, Алексей Любимов avl@cad.ru
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus


-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		

Re: [sisyphus] openldap и bind на интерфейсы

[Alexey V. Lubimov]

> > Надо просто выкладывать интересные вещи, а народ подтянется...
> 
> А какие задачи интетесны

Это каждый решает за себя. 

Мне интересно сделать и описать 
1) установку службы каталогов для почтовых агентов.
2) перенос пользователей самбы из /etc/samba/smbpasswd в ldap
3) перенос пользовательских аккаунтов из /etc/passwd и /etc/TCB/* в ldap
4) синхра между юниксом и самбой
5)Репликация вышеуказанных данных с разных офисов в единое дерево
организации.

Все это уже делалось и описано, но вот мне хочется пройти и описать это
дело со своей колокольни.


> так например я щас обдумываю как сделать чтобы squid мог пускать много
> сессий но только с одного ip адреса в момент времени и данные брал
> естестнвенно в LDAP!!!

Тоже здорово.



> > лично я не вижу смысла в переводе howto. Предпочитаю
> > первоисточники. Но в любом случае вреда будет немного...
> > 
> Rfrbt

этой абревиатуры я не знаю.



-- 
С уважением, Алексей Любимов avl@cad.ru

Re: [sisyphus] openldap и bind на интерфейсы

[Serge Volkov]

On Thu, 26 Sep 2002 12:58:51 +0400
"Alexey V. Lubimov" <avl@l14.ru> wrote:

> > > Надо просто выкладывать интересные вещи, а народ подтянется...
> > 
> > А какие задачи интетесны
> 
> Это каждый решает за себя. 
> 
> Мне интересно сделать и описать 
> 1) установку службы каталогов для почтовых агентов.

Это щас как раз делаю

> 2) перенос пользователей самбы из /etc/samba/smbpasswd в ldap

тоже в процессе для samba3

> 3) перенос пользовательских аккаунтов из /etc/passwd и /etc/TCB/* в ldap

с этим осторожнее так как pam_ldap вешь сама в себе 

> 4) синхра между юниксом и самбой

что имеется в виду ???что синхронизировать 

> 5)Репликация вышеуказанных данных с разных офисов в единое дерево
> организации.

собираеюсь 

Вообще у меня есть большое желание, но нет пока времени, на переработку схему LDAP от OpenLDAP для более гибкой подстройки под разные корпоратвиные нужды. Например Хочу в компаниииметь почтовый срвер с пользователями в LDAP -- делай вот так, бери схему такую, хочу файл сервер -  прибавь схему такую, и так далее. В настоящий момен не все схемы согласованы друг сдругом :(( к сожалению.

> 
> Все это уже делалось и описано, но вот мне хочется пройти и описать это
> дело со своей колокольни.

Да всем хочется пройти, но при этом с еньшим числом ошибок :))
> > Rfrbt
> 
> этой абревиатуры я не знаю.

извните рука дрогнула :(
> 
> 
> 
> -- 
> С уважением, Алексей Любимов avl@cad.ru
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus


-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		

Re: [sisyphus] openldap и bind на интерфейсы

[Anton Petrov]

hi all

> > 2) перенос пользователей самбы из /etc/samba/smbpasswd в
> ldap
>
> тоже в процессе для samba3
>
> > 3) перенос пользовательских аккаунтов из /etc/passwd и
> /etc/TCB/* в ldap
>
> с этим осторожнее так как pam_ldap вешь сама в себе

мне это очень интересно

+ учетная система (сиречь биллинг) с завязкой на LDAP

-- 
anton

Re: [sisyphus] openldap и bind на интерфейсы

[Alexey V. Lubimov]

> > 
> > Мне интересно сделать и описать 
> > 1) установку службы каталогов для почтовых агентов.
> 
> Это щас как раз делаю

А мне уже в нее контакты набили и начальнику  я к аутлуку ее привязал. 
Русский есть. Поля на месте. Жаль, что оутлук такой бедный. Я свое
мнение о его возможностях составлял по evolution, а оказалось, что
аутлук даже в подметки ему не годится...
Однако вместе с вебмордой все очень неплохо смотрится.

Схемы и вебморда уже лежит здесь:

ftp://ftp.atmsk.ru/download/labe-3.0.3-avl.tar.bz2

Есть еще один человек, заинтересовавшийся этим делом, так что есть
надежда, что прогресс будет.


> 
> > 2) перенос пользователей самбы из /etc/samba/smbpasswd в ldap
> 
> тоже в процессе для samba3

еще не приступил. только acl для юзеров настроил.
 
> > 3) перенос пользовательских аккаунтов из /etc/passwd и /etc/TCB/* в
> > ldap
> 
> с этим осторожнее так как pam_ldap вешь сама в себе 

еще не смотрел. 

> 
> > 4) синхра между юниксом и самбой
> 
> что имеется в виду ???что синхронизировать 

пароли. и вообще здорово, когда аккаунт один и в нем пароль на самбу,
пароль на логин, пароль на rsync, на imap и на smtpd ну и так далее...

> 
> > 5)Репликация вышеуказанных данных с разных офисов в единое дерево
> > организации.
> 
> собираеюсь 
> 
> Вообще у меня есть большое желание, но нет пока времени, на
> переработку схему LDAP от OpenLDAP для более гибкой подстройки под
> разные корпоратвиные нужды. Например Хочу в компаниииметь почтовый
> срвер с пользователями в LDAP -- делай вот так, бери схему такую, хочу
> файл сервер -  прибавь схему такую, и так далее. В настоящий момен не
> все схемы согласованы друг сдругом :(( к сожалению.

ага. вот и неплохо бы объеденить усилия и сделать что то весомое вместе.

-- 
С уважением, Алексей Любимов avl@cad.ru

Re: [sisyphus] openldap и bind на интерфейсы

[Serge Volkov]

On Thu, 26 Sep 2002 13:49:36 +0400
"Alexey V. Lubimov" <avl@l14.ru> wrote:

> > > 
> > > Мне интересно сделать и описать 
> > > 1) установку службы каталогов для почтовых агентов.
> > 
> > Это щас как раз делаю
> 
> А мне уже в нее контакты набили и начальнику  я к аутлуку ее привязал. 
> Русский есть. Поля на месте. Жаль, что оутлук такой бедный. Я свое
> мнение о его возможностях составлял по evolution, а оказалось, что
> аутлук даже в подметки ему не годится...
> Однако вместе с вебмордой все очень неплохо смотрится.

это как раз замечательно и GQ в этом тоже помощник удобный :))

по поводу OUTLOOK здесь засаза :(( основная проблема в рассылке по группам :((

> 
> Схемы и вебморда уже лежит здесь:
> 
> ftp://ftp.atmsk.ru/download/labe-3.0.3-avl.tar.bz2
> 
> Есть еще один человек, заинтересовавшийся этим делом, так что есть
> надежда, что прогресс будет.
а пакет делал кто-нибудь?

> 
> 
> > 
> > > 2) перенос пользователей самбы из /etc/samba/smbpasswd в ldap
> > 
> > тоже в процессе для samba3
> 
> еще не приступил. только acl для юзеров настроил.
>  
> > > 3) перенос пользовательских аккаунтов из /etc/passwd и /etc/TCB/* в
> > > ldap
> > 
> > с этим осторожнее так как pam_ldap вешь сама в себе 
> 
> еще не смотрел. 
> 
> > 
> > > 4) синхра между юниксом и самбой
> > 
> > что имеется в виду ???что синхронизировать 
> 
> пароли. и вообще здорово, когда аккаунт один и в нем пароль на самбу,
> пароль на логин, пароль на rsync, на imap и на smtpd ну и так далее...

нет не класно по безопасности (если не прав поправьте) если один пароль узнали все срвисы получили, у меня политика такая служба(сервис) -- пароль
> 
> > 
> > > 5)Репликация вышеуказанных данных с разных офисов в единое дерево
> > > организации.
> > 
> > собираеюсь 
> > 
> > Вообще у меня есть большое желание, но нет пока времени, на
> > переработку схему LDAP от OpenLDAP для более гибкой подстройки под
> > разные корпоратвиные нужды. Например Хочу в компаниииметь почтовый
> > срвер с пользователями в LDAP -- делай вот так, бери схему такую, хочу
> > файл сервер -  прибавь схему такую, и так далее. В настоящий момен не
> > все схемы согласованы друг сдругом :(( к сожалению.
> 
> ага. вот и неплохо бы объеденить усилия и сделать что то весомое вместе.

всегда готов вот в отпуск пойду буду делать!
> 
> -- 
> С уважением, Алексей Любимов avl@cad.ru
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus


-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		

Re: [sisyphus] openldap и bind на интерфейсы

[Alexey V. Lubimov]

On Thu, 26 Sep 2002 14:06:46 +0400
Serge Volkov <vserge@altlinux.ru> wrote:

> On Thu, 26 Sep 2002 13:49:36 +0400
> "Alexey V. Lubimov" <avl@l14.ru> wrote:
> 
> > > > 
> > > > Мне интересно сделать и описать 
> > > > 1) установку службы каталогов для почтовых агентов.
> > > 
> > > Это щас как раз делаю
> > 
> > А мне уже в нее контакты набили и начальнику  я к аутлуку ее
> > привязал. Русский есть. Поля на месте. Жаль, что оутлук такой
> > бедный. Я свое мнение о его возможностях составлял по evolution, а
> > оказалось, что аутлук даже в подметки ему не годится...
> > Однако вместе с вебмордой все очень неплохо смотрится.
> 
> это как раз замечательно и GQ в этом тоже помощник удобный :))

тоже отмечено в моей  хавтушке. :)


> 
> по поводу OUTLOOK здесь засаза :(( основная проблема в рассылке по
> группам :((

надеюсь, что для рассылок по группам будет другой инструмент. желательно
тоже на вебе. Чтоб группы из ldap брал и позволял с удобством письма
слать и отчеты делать о посылках.



> 
> > 
> > Схемы и вебморда уже лежит здесь:
> > 
> > ftp://ftp.atmsk.ru/download/labe-3.0.3-avl.tar.bz2
> > 
> > Есть еще один человек, заинтересовавшийся этим делом, так что есть
> > надежда, что прогресс будет.
> а пакет делал кто-нибудь?

в смысле?
rpm? это в планах. но вообще то тут не очень актуален rpm, потому как
установка уж дюже простая, но вариантов настройки много. проще ручками.


> > > > 4) синхра между юниксом и самбой
> > > 
> > > что имеется в виду ???что синхронизировать 
> > 
> > пароли. и вообще здорово, когда аккаунт один и в нем пароль на
> > самбу, пароль на логин, пароль на rsync, на imap и на smtpd ну и так
> > далее...
> 
> нет не класно по безопасности (если не прав поправьте) если один
> пароль узнали все срвисы получили, у меня политика такая
> служба(сервис) -- пароль

ну так о чем и речь. username с телефоном, фоткой, почтой один, а
пароли на каждый сервис свои. Просто пароли эти должны лежать в учетной
записи и aclами доступ к ним перекрыть всему сущему.

 
> всегда готов вот в отпуск пойду буду делать!
Воля ваша, но на мой взгляд, отпуск надо тратить на семью или на
обзаведение ею :)

Надо убеждать начальство в необходимости этих работ и работать над этим
в рабочее время...


-- 
С уважением, Алексей Любимов avl@cad.ru

Re: [sisyphus] openldap и bind на интерфейсы

[Денис Якимов]

В Чтв, 26.09.2002, в 16:05, Alexey V. Lubimov написал:
> On Thu, 26 Sep 2002 14:06:46 +0400
> Serge Volkov <vserge@altlinux.ru> wrote:
> 
> > нет не класно по безопасности (если не прав поправьте) если один
> > пароль узнали все срвисы получили, у меня политика такая
> > служба(сервис) -- пароль
> 
> ну так о чем и речь. username с телефоном, фоткой, почтой один, а
> пароли на каждый сервис свои. Просто пароли эти должны лежать в учетной
> записи и aclами доступ к ним перекрыть всему сущему.
> 

Зачем здесь городить огород из "acl"?
В LDAP есть замечательная вещь как 
cn или "common name", то бишь, относительное отличительное имя.
В контексте с суфиксом организуется уникальный элемент со своим набором
атрибутов и возможными вариантами доступа.

Кстати, у меня что-то не очень получается через ldapadd экспортировать 
в базу ldif-файл с русскими значениями в атрибутах. 
Это у всех так? Как избежать? 
 
-- 
С Уважением,
Денис Якимов
старший инженер ИЦ УВД Ярославской области, тел: (0852) 27-93-36

Re: [sisyphus] openldap и bind на интерфейсы

[Alexey V. Lubimov]

On 26 Sep 2002 16:51:24 +0400
Денис Якимов <den@uvd.adm.yar.ru> wrote:

> В Чтв, 26.09.2002, в 16:05, Alexey V. Lubimov написал:
> > On Thu, 26 Sep 2002 14:06:46 +0400
> > Serge Volkov <vserge@altlinux.ru> wrote:
> > 
> > > нет не класно по безопасности (если не прав поправьте) если один
> > > пароль узнали все срвисы получили, у меня политика такая
> > > служба(сервис) -- пароль
> > 
> > ну так о чем и речь. username с телефоном, фоткой, почтой один, а
> > пароли на каждый сервис свои. Просто пароли эти должны лежать в
> > учетной записи и aclами доступ к ним перекрыть всему сущему.
> > 
> 
> Зачем здесь городить огород из "acl"?
> В LDAP есть замечательная вещь как 
> cn или "common name", то бишь, относительное отличительное имя.
> В контексте с суфиксом организуется уникальный элемент со своим
> набором атрибутов и возможными вариантами доступа.
> 
> Кстати, у меня что-то не очень получается через ldapadd экспортировать
> 
> в базу ldif-файл с русскими значениями в атрибутах. 
> Это у всех так? Как избежать? 

ни у кого :)

non ascii строки должны быть в utf-8 и потом еще в base64.
в моем перловом скрипте используется perl::base64


-- 
С уважением, Алексей Любимов avl@cad.ru

Re: [sisyphus] openldap и bind на интерфейсы

[Денис Якимов]

> > > Схемы и вебморда уже лежит здесь:

IMHO, зря вы заставляете портить установленные схемы. Зачем?
Разве нельзя было определить дополнительные? Например как это 
сделано в courier-ldap.
А если у человека уже есть софт работающий со старыми схемами?
Я сомневаюсь, что он захочет что-то либо у себя править ради
сомнительного удовольствия посмотреть|использовать 'labe'.

> > > 
> > > ftp://ftp.atmsk.ru/download/labe-3.0.3-avl.tar.bz2
> > > 
> > > Есть еще один человек, заинтересовавшийся этим делом, так что есть
> 
-- 
С Уважением,
Денис Якимов
старший инженер ИЦ УВД Ярославской области, тел: (0852) 27-93-36

Re: [sisyphus] openldap и bind на интерфейсы

[Alexey V. Lubimov]

On 26 Sep 2002 16:59:45 +0400
Денис Якимов <den@uvd.adm.yar.ru> wrote:

> > > > Схемы и вебморда уже лежит здесь:
> 
> IMHO, зря вы заставляете портить установленные схемы. Зачем?
> Разве нельзя было определить дополнительные? Например как это 
> сделано в courier-ldap.
> А если у человека уже есть софт работающий со старыми схемами?
> Я сомневаюсь, что он захочет что-то либо у себя править ради
> сомнительного удовольствия посмотреть|использовать 'labe'.

1)старый софт должен работать и дальше. ничего я там не портил.
2)сомнительных удовольствий надо избегать безотносительно ко всему
остальному.


-- 
С уважением, Алексей Любимов avl@cad.ru

Re: [sisyphus] openldap и bind на интерфейсы

[Денис Якимов]

В Чтв, 26.09.2002, в 13:11, Serge Volkov написал:
> Вообще у меня есть большое желание, но нет пока времени, на переработку 
> схему LDAP от OpenLDAP для более гибкой подстройки под разные
> корпоратвиные нужды. Например Хочу в компаниииметь почтовый срвер с
> пользователями в LDAP -- делай вот так, бери схему такую, хочу файл
> сервер -  прибавь схему такую, и так далее. В настоящий момен не все
> схемы согласованы друг сдругом :(( к сожалению.
>
Хм. А зачем? :[   ]
Там же все готовые схемы есть... 
Например, классов account, posixAccount, uidObject, inetOrgPerson
вполне достаточно для организации почтового сервера, адресной книги и 
базы системных аккаунтов.

По крайней мере у меня такое ощущение уже сложилось. Теоретически.. ;)

 
-- 
С Уважением,
Денис Якимов
старший инженер ИЦ УВД Ярославской области, тел: (0852) 27-93-36

Re: [sisyphus] openldap и bind на интерфейсы

[Serge Volkov]

On 26 Sep 2002 14:45:38 +0400
Денис Якимов <den@uvd.adm.yar.ru> wrote:

> В Чтв, 26.09.2002, в 13:11, Serge Volkov написал:
> > Вообще у меня есть большое желание, но нет пока времени, на переработку 
> > схему LDAP от OpenLDAP для более гибкой подстройки под разные
> > корпоратвиные нужды. Например Хочу в компаниииметь почтовый срвер с
> > пользователями в LDAP -- делай вот так, бери схему такую, хочу файл
> > сервер -  прибавь схему такую, и так далее. В настоящий момен не все
> > схемы согласованы друг сдругом :(( к сожалению.
> >
> Хм. А зачем? :[   ]
> Там же все готовые схемы есть... 
> Например, классов account, posixAccount, uidObject, inetOrgPerson
> вполне достаточно для организации почтового сервера, адресной книги и 
> базы системных аккаунтов.
> 
> По крайней мере у меня такое ощущение уже сложилось. Теоретически.. ;)

Я согласен, однако например схема inetOrgPerson содержит много объектов которые в повседневной жизни не использутся, а нужных объектов типа "пускать пользователя в интернет или нет" просто нет.

Ну либо я не понимаю всей красоты иерархической структуры.
> 
>  
> -- 
> С Уважением,
> Денис Якимов
> старший инженер ИЦ УВД Ярославской области, тел: (0852) 27-93-36


-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator