CGatePro: Re: Re: ldap access rights for virtual domain admin

От: Dmitry Akindinov <CGatePro_at_mx_ru>
Дата: Tue 07 Dec 2004 - 17:50:46 MSK

Hello, on 07.12.2004 17:45, Alexander Serkin at CGatePro@mx.ru wrote:

>
>
> Dmitry Akindinov wrote:

>> Hello, on 06.12.2004 18:05, Alexander Serkin at CGatePro@mx.ru wrote:
>> 
>> 
>>> вот еще в догонку  - postmaster сервера эккаунт по LDAP создать может.
>>> Проблема только у админа виртуального домена.
>> 
>> 
>> Попробуйте не указывать в теле записи атрибут uid (но оставьте его в dn). По
>> край ней мере, так у меня на тестовом сервере работает.

>
> Везет вам. А у меня не работает:
> ----------------------------------
> dn: uid=petya,cn=domain.tld
> objectclass: top
> objectclass: person
> objectclass: organizationalPerson
> objectclass: inetOrgPerson
> objectclass: CommuniGateAccount
> cn: Petya Loshaderonyalov
> hostServer: customer.stalker.com
> sn: Loshaderonyalov
> telephoneNumber: 999
> mail: petya@domain.tld
>
> ----------------------------------

Попробуйте убрать mail и hostServer.

> als@stinky:/home/als/perls~> ldapadd -D "uid=headlong,cn=domain.tld" -h
> localhost -x -W -f new.sl.ru
> Enter LDAP Password:
> adding new entry "uid=petya,cn=domain.tld"
> ldap_add: Operations error
> additional info: you do not have the required access right
>
> ldif_record() = 1
>
> log:
> 17:40:29.34 5 LDAP connection request from [127.0.0.1:33078], socket=32
> 17:40:29.34 5 LDAP new VStream created, n=1
> 17:40:29.34 5 LDAP stream thread started
> 17:40:29.34 4 LDAP-00002([127.0.0.1]) got connection on [127.0.0.1:389]
> 17:40:29.34 5 LDAP-00002([127.0.0.1]) inp: SEQ(44) 02 01 01 60 27 02 01 03 04
> 1A
> 75 69 64 3D 68 65 61 64 6C 6F 6E 67 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C 64
> 80
> 06 78 78 31 32 33 34
> 17:40:29.34 4 LDAP-00002([127.0.0.1]) BINDing as 'headlong@domain.tld'
> 17:40:29.34 4 ACCOUNT(headlong@domain.tld) taken from cache
> 17:40:29.34 2 LDAP-00002([127.0.0.1]) 'headlong@domain.tld' connected from
> [127.0.0.1:33078]
> 17:40:29.35 4 LDAP-00002([127.0.0.1]) Logged in as uid=headlong,cn=domain.tld.
> authType=0
> 17:40:29.35 5 LDAP-00002([127.0.0.1]) out: 30 0C 02 01 01 61 07 0A 01 00 04 00
> 04 00
> 17:40:29.35 5 LDAP-00002([127.0.0.1]) inp: SEQ(270) 02 01 02 68 82 01 07 04 17
> 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C 64 30 81 EB
> 30
> 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74 6F 70 04 06 70 65 72
> 73
> 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E 61 6C 50
> 17:40:29.35 1 LDAP-00002([127.0.0.1]) failed to add 'uid=petya,cn=domain.tld'.
> Error Code=you do not have the required access right
> 17:40:29.35 1 LDAP-00002([127.0.0.1]) insert failed. Error=you do not have the
> required access right
> 17:40:29.35 5 LDAP-00002([127.0.0.1]) out: 30 35 02 01 02 69 30 0A 01 01 04 00
> 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68 65 20 72 65 71 75
> 69
> 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
> 17:40:29.35 5 LDAP-00002([127.0.0.1]) inp: SEQ(5) 02 01 03 42 00
> 17:40:29.35 4 LDAP-00002([127.0.0.1]) disconnecting
> 17:40:29.35 2 LDAP-00002([127.0.0.1]) 'headlong@domain.tld' disconnected
> ([127.0.0.1:33078])
> 17:40:29.35 4 ACCOUNT(headlong@domain.tld) placed in cache
> 17:40:29.35 4 LDAP-00002([127.0.0.1]) closing connection
> 17:40:29.35 4 LDAP-00002([127.0.0.1]) releasing stream
> 17:40:44.01 5 LDAP stream thread finished
>
> Давайте сравнимся? Как выглядят у вас directory access rights, права
> пользователя?
>

>> 
>> 
>> 
>>> Где-то с год назад у нас похожая ситуация была с админом виртуального домена
>>> при 
>>> работе через CLI. М.б., правда, там с установленными правами было не все ок.
>>> Насколько я знаю, сейчас (4.2.7) админ виртуального домена через CLI
>>> эккаунтом
>>> управлять может. Проверяли.
>>> Есть мысль попытаться синхронизировать два сервера в разных местах - чтобы
>>> содержимое домена на них совпадало. Проблема в том, что сервер с той стороны
>>> -
>>> не Communigate. Но умеет LDAP. Вот такая предыстория...
>>> 
>>> Alexander Serkin wrote:
>>> 
>>>> И опять не помогло:
>>>> getaccountrights headlong@domain.tld
>>>> 200 data follow
>>>> (Domain, BasicSettings, CanCreateAccounts)
>>>> 
>>>> 16:05:11.73 4 LDAP-00008([127.0.0.1]) got connection on [127.0.0.1:389]
>>>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) inp: SEQ(37) 02 01 01 60 20 02 01
>>>> 03 04 13 68 65 61 64 6C 6F 6E 67 40 64 6F 6D 61 69 6E 2E 74 6C 64 80 06
>>>> 78 78 31 32 33 34
>>>> 16:05:11.73 4 LDAP-00008([127.0.0.1]) BINDing as 'headlong@domain.tld'
>>>> 16:05:11.73 2 LDAP-00008([127.0.0.1]) 'headlong@domain.tld' connected
>>>> from [127.0.0.1:33291]
>>>> 16:05:11.73 4 LDAP-00008([127.0.0.1]) Logged in as
>>>> uid=headlong,cn=domain.tld. authType=0
>>>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) out: 30 0C 02 01 01 61 07 0A 01 00
>>>> 04 00 04 00
>>>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) inp: SEQ(286) 02 01 02 68 82 01 17
>>>> 04 17 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C
>>>> 64 30 81 FB 30 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74
>>>> 6F 70 04 06 70 65 72 73 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E
>>>> 61 6C 50
>>>> 16:05:11.73 1 LDAP-00008([127.0.0.1]) failed to add
>>>> 'uid=petya,cn=domain.tld'. Error Code=you do not have the required
>>>> access right
>>>> 16:05:11.73 1 LDAP-00008([127.0.0.1]) insert failed. Error=you do not
>>>> have the required access right
>>>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) out: 30 35 02 01 02 69 30 0A 01 01
>>>> 04 00 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68 65 20
>>>> 72 65 71 75 69 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>>>> 16:05:11.74 5 LDAP-00008([127.0.0.1]) inp: SEQ(5) 02 01 03 42 00
>>>> 16:05:11.74 4 LDAP-00008([127.0.0.1]) disconnecting
>>>> 16:05:11.74 2 LDAP-00008([127.0.0.1]) 'headlong@domain.tld' disconnected
>>>> ([127.0.0.1:33291])
>>>> 16:05:11.74 4 LDAP-00008([127.0.0.1]) closing connection
>>>> 16:05:11.74 4 LDAP-00008([127.0.0.1]) releasing stream
>>>> 16:05:26.00 5 LDAP stream thread finished
>>>> 16:05:32.34 2 PWD-00001([127.0.0.1]) 'postmaster@customer.stalker.com'
>>>> connected from [127.0.0.1:33292]
>>>> 
>>>> вообще я уже пытался поставить ВСЕ галки в настройках прав этого
>>>> эккаунта - безуспешно.
>>>> 
>>>> -- 
>>>> SY,
>>>> Alexander
>>>> 
>>>> Dmitry Akindinov wrote:
>>>> 
>>>> 
>>>>> Hello,
>>>>> 
>>>>> on 06.12.2004 15:36, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>> 
>>>>> 
>>>>> 
>>>>>> Dmitry Akindinov wrote:
>>>>>> 
>>>>>> 
>>>>>>> Hello,
>>>>>>> 
>>>>>>> Пара вопросов:
>>>>>>> 
>>>>>>> 1. LDAP-based account provisioning - включен? Если да - тщ может ли
>>>>>>> этот же
>>>>>>> пользователь добавлять аккаунты через WebAdmin?
>>>>>> 
>>>>>> 
>>>>>> ldap direct provisioning включен и пользователь через web-admin
>>>>>> работает -
>>>>>> эккаунты создает/удаляет.
>>>>> 
>>>>> 
>>>>> 
>>>>> Но пароль и настройки для вновь созданных аккаунтов поменять не может,
>>>>> так
>>>>> ведь?
>>>>> 
>>>>> Дайте аккаунту еще и право на BasicSettings. Должно заработать.
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>>> В общем так:
>>>>>> 
>>>>>> getdirectoryintegration
>>>>>> 200 data follow
>>>>>> {
>>>>>> BaseObject =  "";
>>>>>> ComposeMailAttr =  YES;
>>>>>> CustomAttributes =  (telephoneNumber);
>>>>>> DirectoryDomains =  NO;
>>>>>> DomainClass =  CommuniGateDomain;
>>>>>> DomainRDN =  cn;
>>>>>> LDAPProvisioning =  YES;
>>>>>> PublicInfoAttributes =  ();
>>>>>> RenameAttributes =  { Password = userPassword; RealName = cn;};
>>>>>> StorePassword =  NO;
>>>>>> StoreStandard =  NO;
>>>>>> SubstituteMailAttr =  YES;
>>>>>> Subtree =  "";
>>>>>> }
>>>>>> 
>>>>>> 
>>>>>> 
>>>>>>> 2. Много ли других правил для доступа через LDAP. Если их несколько -
>>>>>>> попробуйте поднять ваше правило повыше в списке.
>>>>>> 
>>>>>> 
>>>>>> правило в списке первое сверху.
>>>>>> 
>>>>>> 
>>>>>> 
>>>>>>> on 06.12.2004 14:43, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>>> Dmitry Akindinov wrote:
>>>>>>>> 
>>>>>>>> 
>>>>>>>> 
>>>>>>>>> Hello, on 06.12.2004 14:03, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>>> День добрый.
>>>>>>>>>> Подскажите пож-ста, как (и где) правильно дать администратору
>>>>>>>>>> виртуального
>>>>>>>>>> домена на CGP (не основного) право управлять эккаунтами по LDAP?
>>>>>>>>>> 
>>>>>>>>>> Есть пользователь:
>>>>>>>>>> GetAccountRights headlong@domain.ru
>>>>>>>>>> 200 data follow
>>>>>>>>>> (Domain, CanCreateAccounts)
>>>>>>>>>> 
>>>>>>>>>> directory access rights:
>>>>>>>>>> 
>>>>>>>>>> Name= SkyAdmin
>>>>>>>>>> Target= cn=domain.ru
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> попробуйте заменить на
>>>>>>>>> Target= *cn=domain.ru
>>>>>>>> 
>>>>>>>> 
>>>>>>>> не помогло. Ошибка та же.
>>>>>>>> 
>>>>>>>> 14:41:03.39 4 LDAP-00094([212.119.96.248]) got connection on
>>>>>>>> [212.119.96.28:389]
>>>>>>>> 14:41:03.39 5 LDAP-00094([212.119.96.248]) inp: SEQ(37) 02 01 01 60
>>>>>>>> 20 02 01
>>>>>>>> 03 04 13 68 65 61 64 6C 6F 6E 67 40 73 6B 79 6C 69 6E 6B 2E 72 75
>>>>>>>> 80 06 78 78
>>>>>>>> 31
>>>>>>>> 32 33 34
>>>>>>>> 14:41:03.40 4 LDAP-00094([212.119.96.248]) BINDing as
>>>>>>>> 'headlong@domain.ru'
>>>>>>>> 14:41:03.40 2 LDAP-00094([212.119.96.248]) 'headlong@domain.ru'
>>>>>>>> connected
>>>>>>>> from
>>>>>>>> [212.119.96.248:33062]
>>>>>>>> 14:41:03.40 4 LDAP-00094([212.119.96.248]) Logged in as
>>>>>>>> uid=headlong,cn=domain.ru. authType=0
>>>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) out: 30 0C 02 01 01 61
>>>>>>>> 07 0A 01
>>>>>>>> 00
>>>>>>>> 04 00 04 00
>>>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) inp: SEQ(280) 02 01 02
>>>>>>>> 68 82 01
>>>>>>>> 11
>>>>>>>> 04 17 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 73 6B 79 6C 69 6E 6B
>>>>>>>> 2E 72 75 30
>>>>>>>> 81
>>>>>>>> F5 30 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74 6F
>>>>>>>> 70 04 06 70
>>>>>>>> 65
>>>>>>>> 72 73 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E 61 6C
>>>>>>>> 14:41:03.40 1 LDAP-00094([212.119.96.248]) failed to add
>>>>>>>> 'uid=petya,cn=domain.ru'. Error Code=you do not have the required
>>>>>>>> access
>>>>>>>> right
>>>>>>>> 14:41:03.40 1 LDAP-00094([212.119.96.248]) insert failed. Error=you
>>>>>>>> do not
>>>>>>>> have the required access right
>>>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) out: 30 35 02 01 02 69
>>>>>>>> 30 0A 01
>>>>>>>> 01
>>>>>>>> 04 00 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68
>>>>>>>> 65 20 72 65
>>>>>>>> 71
>>>>>>>> 75 69 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>>>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) inp: SEQ(5) 02 01 03 42 00
>>>>>>>> 14:41:03.40 4 LDAP-00094([212.119.96.248]) disconnecting
>>>>>>>> 14:41:03.40 2 LDAP-00094([212.119.96.248]) 'headlong@domain.ru'
>>>>>>>> disconnected
>>>>>>>> ([212.119.96.248:33062])
>> 
>>

-- 
Best regards,
Dmitry Akindinov -- Stalker Labs

Получено Tue Dec 07 14:50:49 2004

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:13:21 MSK