Re: Re: ldap access rights for virtual domain admin

Hello, on 06.12.2004 18:05, Alexander Serkin at CGatePro@mx.ru wrote:

> вот еще в догонку - postmaster сервера эккаунт по LDAP создать может. > Проблема только у админа виртуального домена.

Попробуйте не указывать в теле записи атрибут uid (но оставьте его в dn). По край ней мере, так у меня на тестовом сервере работает.

> Где-то с год назад у нас похожая ситуация была с админом виртуального домена

> работе через CLI. М.б., правда, там с установленными правами было не все ок.
> Насколько я знаю, сейчас (4.2.7) админ виртуального домена через CLI эккаунтом
> управлять может. Проверяли.
> Есть мысль попытаться синхронизировать два сервера в разных местах - чтобы
> содержимое домена на них совпадало. Проблема в том, что сервер с той стороны -
> не Communigate. Но умеет LDAP. Вот такая предыстория...
> 
> Alexander Serkin wrote:
>> И опять не помогло:
>> getaccountrights headlong@domain.tld
>> 200 data follow
>> (Domain, BasicSettings, CanCreateAccounts)
>> 
>> 16:05:11.73 4 LDAP-00008([127.0.0.1]) got connection on [127.0.0.1:389]
>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) inp: SEQ(37) 02 01 01 60 20 02 01
>> 03 04 13 68 65 61 64 6C 6F 6E 67 40 64 6F 6D 61 69 6E 2E 74 6C 64 80 06
>> 78 78 31 32 33 34
>> 16:05:11.73 4 LDAP-00008([127.0.0.1]) BINDing as 'headlong@domain.tld'
>> 16:05:11.73 2 LDAP-00008([127.0.0.1]) 'headlong@domain.tld' connected
>> from [127.0.0.1:33291]
>> 16:05:11.73 4 LDAP-00008([127.0.0.1]) Logged in as
>> uid=headlong,cn=domain.tld. authType=0
>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) out: 30 0C 02 01 01 61 07 0A 01 00
>> 04 00 04 00
>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) inp: SEQ(286) 02 01 02 68 82 01 17
>> 04 17 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C
>> 64 30 81 FB 30 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74
>> 6F 70 04 06 70 65 72 73 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E
>> 61 6C 50
>> 16:05:11.73 1 LDAP-00008([127.0.0.1]) failed to add
>> 'uid=petya,cn=domain.tld'. Error Code=you do not have the required
>> access right
>> 16:05:11.73 1 LDAP-00008([127.0.0.1]) insert failed. Error=you do not
>> have the required access right
>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) out: 30 35 02 01 02 69 30 0A 01 01
>> 04 00 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68 65 20
>> 72 65 71 75 69 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>> 16:05:11.74 5 LDAP-00008([127.0.0.1]) inp: SEQ(5) 02 01 03 42 00
>> 16:05:11.74 4 LDAP-00008([127.0.0.1]) disconnecting
>> 16:05:11.74 2 LDAP-00008([127.0.0.1]) 'headlong@domain.tld' disconnected
>> ([127.0.0.1:33291])
>> 16:05:11.74 4 LDAP-00008([127.0.0.1]) closing connection
>> 16:05:11.74 4 LDAP-00008([127.0.0.1]) releasing stream
>> 16:05:26.00 5 LDAP stream thread finished
>> 16:05:32.34 2 PWD-00001([127.0.0.1]) 'postmaster@customer.stalker.com'
>> connected from [127.0.0.1:33292]
>> 
>> вообще я уже пытался поставить ВСЕ галки в настройках прав этого
>> эккаунта - безуспешно.
>> 
>> -- 
>> SY,
>> Alexander
>> 
>> Dmitry Akindinov wrote:
>> 
>>> Hello,
>>> 
>>> on 06.12.2004 15:36, Alexander Serkin at CGatePro@mx.ru wrote:
>>> 
>>> 
>>>> Dmitry Akindinov wrote:
>>>> 
>>>>> Hello,
>>>>> 
>>>>> Пара вопросов:
>>>>> 
>>>>> 1. LDAP-based account provisioning - включен? Если да - тщ может ли
>>>>> этот же
>>>>> пользователь добавлять аккаунты через WebAdmin?
>>>> 
>>>> 
>>>> ldap direct provisioning включен и пользователь через web-admin
>>>> работает -
>>>> эккаунты создает/удаляет.
>>> 
>>> 
>>> 
>>> Но пароль и настройки для вновь созданных аккаунтов поменять не может,
>>> так
>>> ведь?
>>> 
>>> Дайте аккаунту еще и право на BasicSettings. Должно заработать.
>>> 
>>> 
>>> 
>>>> В общем так:
>>>> 
>>>> getdirectoryintegration
>>>> 200 data follow
>>>> {
>>>> BaseObject =  "";
>>>> ComposeMailAttr =  YES;
>>>> CustomAttributes =  (telephoneNumber);
>>>> DirectoryDomains =  NO;
>>>> DomainClass =  CommuniGateDomain;
>>>> DomainRDN =  cn;
>>>> LDAPProvisioning =  YES;
>>>> PublicInfoAttributes =  ();
>>>> RenameAttributes =  { Password = userPassword; RealName = cn;};
>>>> StorePassword =  NO;
>>>> StoreStandard =  NO;
>>>> SubstituteMailAttr =  YES;
>>>> Subtree =  "";
>>>> }
>>>> 
>>>> 
>>>>> 2. Много ли других правил для доступа через LDAP. Если их несколько -
>>>>> попробуйте поднять ваше правило повыше в списке.
>>>> 
>>>> 
>>>> правило в списке первое сверху.
>>>> 
>>>> 
>>>>> on 06.12.2004 14:43, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>> 
>>>>> 
>>>>> 
>>>>>> Dmitry Akindinov wrote:
>>>>>> 
>>>>>> 
>>>>>>> Hello, on 06.12.2004 14:03, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>>> День добрый.
>>>>>>>> Подскажите пож-ста, как (и где) правильно дать администратору
>>>>>>>> виртуального
>>>>>>>> домена на CGP (не основного) право управлять эккаунтами по LDAP?
>>>>>>>> 
>>>>>>>> Есть пользователь:
>>>>>>>> GetAccountRights headlong@domain.ru
>>>>>>>> 200 data follow
>>>>>>>> (Domain, CanCreateAccounts)
>>>>>>>> 
>>>>>>>> directory access rights:
>>>>>>>> 
>>>>>>>> Name= SkyAdmin
>>>>>>>> Target= cn=domain.ru
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> попробуйте заменить на
>>>>>>> Target= *cn=domain.ru
>>>>>> 
>>>>>> 
>>>>>> не помогло. Ошибка та же.
>>>>>> 
>>>>>> 14:41:03.39 4 LDAP-00094([212.119.96.248]) got connection on
>>>>>> [212.119.96.28:389]
>>>>>> 14:41:03.39 5 LDAP-00094([212.119.96.248]) inp: SEQ(37) 02 01 01 60
>>>>>> 20 02 01
>>>>>> 03 04 13 68 65 61 64 6C 6F 6E 67 40 73 6B 79 6C 69 6E 6B 2E 72 75
>>>>>> 80 06 78 78
>>>>>> 31
>>>>>> 32 33 34
>>>>>> 14:41:03.40 4 LDAP-00094([212.119.96.248]) BINDing as
>>>>>> 'headlong@domain.ru'
>>>>>> 14:41:03.40 2 LDAP-00094([212.119.96.248]) 'headlong@domain.ru'
>>>>>> connected
>>>>>> from
>>>>>> [212.119.96.248:33062]
>>>>>> 14:41:03.40 4 LDAP-00094([212.119.96.248]) Logged in as
>>>>>> uid=headlong,cn=domain.ru. authType=0
>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) out: 30 0C 02 01 01 61
>>>>>> 07 0A 01
>>>>>> 00
>>>>>> 04 00 04 00
>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) inp: SEQ(280) 02 01 02
>>>>>> 68 82 01
>>>>>> 11
>>>>>> 04 17 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 73 6B 79 6C 69 6E 6B
>>>>>> 2E 72 75 30
>>>>>> 81
>>>>>> F5 30 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74 6F
>>>>>> 70 04 06 70
>>>>>> 65
>>>>>> 72 73 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E 61 6C
>>>>>> 14:41:03.40 1 LDAP-00094([212.119.96.248]) failed to add
>>>>>> 'uid=petya,cn=domain.ru'. Error Code=you do not have the required
>>>>>> access
>>>>>> right
>>>>>> 14:41:03.40 1 LDAP-00094([212.119.96.248]) insert failed. Error=you
>>>>>> do not
>>>>>> have the required access right
>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) out: 30 35 02 01 02 69
>>>>>> 30 0A 01
>>>>>> 01
>>>>>> 04 00 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68
>>>>>> 65 20 72 65
>>>>>> 71
>>>>>> 75 69 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) inp: SEQ(5) 02 01 03 42 00
>>>>>> 14:41:03.40 4 LDAP-00094([212.119.96.248]) disconnecting
>>>>>> 14:41:03.40 2 LDAP-00094([212.119.96.248]) 'headlong@domain.ru'
>>>>>> disconnected
>>>>>> ([212.119.96.248:33062])

-- 
Best regards,
Dmitry Akindinov -- Stalker Labs