CGatePro: Re: вопрос о реализации LDAP

От: Dmitry Akindinov, Stalker Labs <dimak_at_mx_ru>
Дата: Tue 18 Sep 2001 - 10:37:42 MSD

Hello,

On Tue, Sep 18, 2001, 04:58:58 GMT
Sergei I. Golod, <rover@tob.ru> wrote:

> Добрый день.
>
> Сначала нескромный вопрос - а что разработчиками(или суппортом) на сообщения
> об ошибках/недочетах уже не принято отвечать?? На свой вопрос о неполной
> реализации LDAP в CGP(функция ldap_compare_s не поддерживается) мне так
> никто не ответил. Ну что же, попробую пожаловаться теперь на другое:

Просто пока ответить нечего. Вы приводите в качестве примера кусок исходника apache. То есть нам надо сначала разобраться что "там имелось в виду" разработчиками apache.

По существу вопроса могу лишь сказать, что в реализации LDAP есть проблемы и они будут постепенно решаться.

> Если мы в Domains/Directory Integration включим опцию "Store Passwords in
> regular Account Records" и соответственно заново импортируем все эккаунты
> (Delete All/Insert All), то теперь мы получим возможность логиниться к LDAP
> серверу по следующему DN: "uid=vasya,cn=mydomain.com"(1) вместо DN:
> "mail=vasya@mydomain.com"(2).
>
> А вот теперь ошибка(IMHO): если мы отключаем эккаунт( Allow to Use = No), то
> логин к LDAP по второму DN не проходит(что есть правильно), а вот по первому
> DN все отлично подключается(что ни есть правильно - ведь учетная запись
> отключена) и авторизация к разным службам через коммунигейтовский LDAP идет
> лесом :(.

Какое решение предлагаете Вы?

Для успешной аутентикации по LDAPнеобходимо наличие соответствующей записи и атрибута userpassword в ней. Вы запрещаете почтовому серверу использовать внутренние для этого сервера пароли - какое отношение это имеет к директории LDAP, где этот сервер хранит _реплику_ _некоторых_ атрибутов аккаунта? Даже в случае directory-based доменов, разрешение или запрещение в _CGPro_ использования любого из трех (хоть всех) способов аутентикации приведет только к изменению соответствующих атрибутах записи. Сама запись и атрибут userPassword останутся. Аутентикация к серверу LDAP будет возможна.

-- 
Best regards,
Dmitry Akindinov - Stalker Labs


##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки
  <CGatePro@mx.ru>.

Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес <CGatePro-request@mx.ru>

Получено Tue Sep 18 06:37:40 2001

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:12:22 MSK