Re: вопрос о реализации LDAP

От: Dmitry Akindinov <dimak_at_mx_ru>
Дата: Wed 19 Sep 2001 - 16:08:11 MSD

on 19.09.2001 13:20, Sergei I. Golod at rover@tob.ru wrote:

> Добрый день.
> 
>>> 
>>> Тогда вопрос - каким образом я могу запретить пользователю,
>>> зарегистрированному в CGP сервере(имеющему эккаунт) доступ к любым
> службам,
>>> предоставляемым CGP(Mail, LDAP, POP,...) кроме как изменения пароля?

>>
>> <http://www.stalker.com/CommuniGatePro/CLI.html#Account>,
>> UpdateAccount acc_name {AccessModes = (9);}
>> выключит все известные сервисы.
>>

>>> Может тогда есть смысл ввести опцию "Account Status = Enabled|Disabled",
>>> которую наделить смыслом - "предоставлять доступ пользователю к службам
> CGP
>>> или нет".

>>
>> Можно добавить свой атрибут в пользовательскую запись и научить утилиту,
>> использующую LDAP для аутентикации, обращать внимание на этот атрибут.

> 
> Могу ли я это проделать(добавить аттрибут) если у меня только один домен и
> он является главным(достаточно url в доку)? Ведь в ответе А.И. Вы сказали
> что он не может быть LDAP-based, т.е. я пролетаю?

Directory-based домен отличается от обычного тем, что он _хранит_ свои установки (и установки аккаунтов) в LDAP-директории. При этом изменения записей в директтории извне имеют эффект на работу домена и аккаунтов. Обычные домены (главный - всегда) могут быть сконфигурированы, что бы _копировать_ некоторые атрибуты аккаунтов в директорию. Внешние изменения таких записей не приводят к изменениям в самих аккаунтах.

<http://www.stalker.com/CommuniGatePro/CentralDir.html#Concept>
<http://www.stalker.com/CommuniGatePro/CentralDir.html#Renaming>
<http://www.stalker.com/CommuniGatePro/CentralDir.html#CustomSettings>

Дефолтная схема LDAP в CGPro содержит много атрибутов, которые можно использовать по своему усмотрению. При острой необходимости можно добавить и свои атрибуты.

Наличие или отсутствие атрибута не повлияет на аутентикацию с помощью LDAP, но если аутентикатор будет еще дополнительно проверять на состояние атрибута, то в какой-то степени это решит проблему "выключения" аккаунта.

>>> И почему бы в таком случае не предоставить возможность синхронизировать
>>> некоторые параметры с базой пользователей - ведь ваша реализация LDAP-а
>>> возникла как расширение возможностей почтового сервера. Если бы я хотел
>>> получить только LDAP, то я наверное установил бы OpenLDAP и вводил бы
>>> аттрибут AllowUseLDAP, которым бы и управлял из своего софта.

>>
>> Вот именно. С той лишь разницей, что, наверное, более половины

> администраторов

>> CGP не в состоянии самостоятельно установить и настроить OpenLDAP. Для

> этого в

>> CGP встроен относительно простой сервер LDAP.Но CGP "не завязан" на него -

> что

>> как раз позволяет установить OpenLDAP (или любой другой сервер) для
>> совместного с CGP использования.

> 
> Вот здесь я не совсем понимаю - что подразумевается под "совместного с CGP
> использования"? Имелось в виду - установить CGP, отключить встроенный в нем
> LDAP, установить OpenLDAP и использовать его как LDAP-сервер, предарительно
> втянув в него данные из CGP? А как репликация? Или имелось что-то другое?

<http://www.stalker.com/CommuniGatePro/Directory.html#Units> <http://www.stalker.com/CommuniGatePro/Directory.html#Remote>

> С уважением, Сергей.

-- 
Best regards,
Dmitry Akindinov -- Stalker Labs


##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки
  <CGatePro@mx.ru>.

Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес <CGatePro-request@mx.ru>

Получено Wed Sep 19 12:08:06 2001