Бага в Directory доступе и странности в кеше аккаунтов.

От: Max Zenin <mzenin_at_mx_ru>
Дата: Sat 25 May 2002 - 13:56:25 MSD

                          Hi!
     Добрый день. Есть CGP 3.5.9. На нем есть Directory-based домены и
обычные домены. LDAP listeners отключены. Доступ пользователям к Directory запрещен:
(
(HidePas, "*", "*", prohibit, (), (userPassword), (userPassword), ()),
(ReadAll, "*", "*", prohibit, (delete, create), ("*"), ("*"), ("*"))
)

     Заходим на пользовательский интерфейс для Directory-based домена, вместо логина переходим по ссылке Directory, попадаем на Directory.wssp. Выбираем поиск по атрибуту mail или RealName (cn) - получаем "insufficient access rights". Выбираем поиск по умолчанию ("---") - поиск срабатывает, причем в моем случае он даже делает запрос к внешнему LDAP-серверу. Причем что интересно - если зайти на Directory.wssp для обычного домена и проделать все то же самое, то CGP выдает также "insufficient access rights" для атрибутов mail и RealName (cn), а для поиска по умолчанию выдает "directory record with the specified DN is not found". И при этом тоже делает запрос к внешнему LDAP-серверу.

        Вопросы: можно ли вообще полностью отключить доступ пользователей к Directory иначе, чем полностью удалить эту страницу и ссылки на нее? Можно ли сделать так, что если этот доступ все-таки открыт, то при доступе к обычным доменам CGP не запрашивал бы внешний LDAP-сервер?           Также присутствуют странности и с кешем аккаунтов. Например: заходим на Web-Интерфейс пользователя test из Directory-based домена, потом из CLI меняем квоту на почтовый ящик этого пользователя во внешнем LDAP-сервере и пытаемся сделать, чтобы CGP узнал об этом. Для этого сначала делаем CLEARACCOUNTCACHE test@domain.ru, получаем в ответ "500 account is in use". Тогда делаем CLEARCACHE и получаем в ответ "200 OK". Ждем в Web-Интерфейсе LogOut, снова логинимся и видим, что квота не изменилась. Аналогичная же проблема и со сменой пароля.

     Вопросы: неужели для очистки этого кеша нужно явно сбрасывать сессию пользователя, после чего очень быстро очищать кеш аккаунтов? Есть ли какие-нибудь более нормальные способы подхватить изменения во внешнем LDAP-сервере? 

-- 
 Bye. Max.  mailto:mzenin@cboss.ru
Получено Sat May 25 09:55:14 2002

Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:13:57 MSK