Re: Re: ldap access rights for virtual domain admin

От: Alexander Serkin <CGatePro_at_mx_ru>
Дата: Tue 07 Dec 2004 - 17:58:27 MSK

Dmitry Akindinov wrote:

> Hello, on 07.12.2004 17:45, Alexander Serkin at CGatePro@mx.ru wrote:
> 
> 

...

> 
> 
> Попробуйте убрать mail и hostServer.

не помогло.

> 
> 

>>als@stinky:/home/als/perls~> ldapadd -D "uid=headlong,cn=domain.tld" -h
>>localhost -x -W -f new.sl.ru
>>Enter LDAP Password:
>>adding new entry "uid=petya,cn=domain.tld"
>>ldap_add: Operations error
>>additional info: you do not have the required access right
>>
>>ldif_record() = 1
>>
>>log:
>>17:40:29.34 5 LDAP connection request from [127.0.0.1:33078], socket=32
>>17:40:29.34 5 LDAP new VStream created, n=1
>>17:40:29.34 5 LDAP stream thread started
>>17:40:29.34 4 LDAP-00002([127.0.0.1]) got connection on [127.0.0.1:389]
>>17:40:29.34 5 LDAP-00002([127.0.0.1]) inp: SEQ(44) 02 01 01 60 27 02 01 03 04
>>1A
>>75 69 64 3D 68 65 61 64 6C 6F 6E 67 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C 64
>>80
>>06 78 78 31 32 33 34
>>17:40:29.34 4 LDAP-00002([127.0.0.1]) BINDing as 'headlong@domain.tld'
>>17:40:29.34 4 ACCOUNT(headlong@domain.tld) taken from cache
>>17:40:29.34 2 LDAP-00002([127.0.0.1]) 'headlong@domain.tld' connected from
>>[127.0.0.1:33078]
>>17:40:29.35 4 LDAP-00002([127.0.0.1]) Logged in as uid=headlong,cn=domain.tld.
>>authType=0
>>17:40:29.35 5 LDAP-00002([127.0.0.1]) out: 30 0C 02 01 01 61 07 0A 01 00 04 00
>>04 00
>>17:40:29.35 5 LDAP-00002([127.0.0.1]) inp: SEQ(270) 02 01 02 68 82 01 07 04 17
>>75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C 64 30 81 EB
>>30
>>55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74 6F 70 04 06 70 65 72
>>73
>>6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E 61 6C 50
>>17:40:29.35 1 LDAP-00002([127.0.0.1]) failed to add 'uid=petya,cn=domain.tld'.
>>Error Code=you do not have the required access right
>>17:40:29.35 1 LDAP-00002([127.0.0.1]) insert failed. Error=you do not have the
>>required access right
>>17:40:29.35 5 LDAP-00002([127.0.0.1]) out: 30 35 02 01 02 69 30 0A 01 01 04 00
>>04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68 65 20 72 65 71 75
>>69
>>72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>>17:40:29.35 5 LDAP-00002([127.0.0.1]) inp: SEQ(5) 02 01 03 42 00
>>17:40:29.35 4 LDAP-00002([127.0.0.1]) disconnecting
>>17:40:29.35 2 LDAP-00002([127.0.0.1]) 'headlong@domain.tld' disconnected
>>([127.0.0.1:33078])
>>17:40:29.35 4 ACCOUNT(headlong@domain.tld) placed in cache
>>17:40:29.35 4 LDAP-00002([127.0.0.1]) closing connection
>>17:40:29.35 4 LDAP-00002([127.0.0.1]) releasing stream
>>17:40:44.01 5 LDAP stream thread finished
>>
>>Давайте сравнимся? Как выглядят у вас directory access rights, права
>>пользователя?
>>
>>
>>>
>>>
>>>>Где-то с год назад у нас похожая ситуация была с админом виртуального домена
>>>>при
>>>>работе через CLI. М.б., правда, там с установленными правами было не все ок.
>>>>Насколько я знаю, сейчас (4.2.7) админ виртуального домена через CLI
>>>>эккаунтом
>>>>управлять может. Проверяли.
>>>>Есть мысль попытаться синхронизировать два сервера в разных местах - чтобы
>>>>содержимое домена на них совпадало. Проблема в том, что сервер с той стороны
>>>>-
>>>>не Communigate. Но умеет LDAP. Вот такая предыстория...
>>>>
>>>>Alexander Serkin wrote:
>>>>
>>>>
>>>>>И опять не помогло:
>>>>>getaccountrights headlong@domain.tld
>>>>>200 data follow
>>>>>(Domain, BasicSettings, CanCreateAccounts)
>>>>>
>>>>>16:05:11.73 4 LDAP-00008([127.0.0.1]) got connection on [127.0.0.1:389]
>>>>>16:05:11.73 5 LDAP-00008([127.0.0.1]) inp: SEQ(37) 02 01 01 60 20 02 01
>>>>>03 04 13 68 65 61 64 6C 6F 6E 67 40 64 6F 6D 61 69 6E 2E 74 6C 64 80 06
>>>>>78 78 31 32 33 34
>>>>>16:05:11.73 4 LDAP-00008([127.0.0.1]) BINDing as 'headlong@domain.tld'
>>>>>16:05:11.73 2 LDAP-00008([127.0.0.1]) 'headlong@domain.tld' connected
>>>>>from [127.0.0.1:33291]
>>>>>16:05:11.73 4 LDAP-00008([127.0.0.1]) Logged in as
>>>>>uid=headlong,cn=domain.tld. authType=0
>>>>>16:05:11.73 5 LDAP-00008([127.0.0.1]) out: 30 0C 02 01 01 61 07 0A 01 00
>>>>>04 00 04 00
>>>>>16:05:11.73 5 LDAP-00008([127.0.0.1]) inp: SEQ(286) 02 01 02 68 82 01 17
>>>>>04 17 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C
>>>>>64 30 81 FB 30 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74
>>>>>6F 70 04 06 70 65 72 73 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E
>>>>>61 6C 50
>>>>>16:05:11.73 1 LDAP-00008([127.0.0.1]) failed to add
>>>>>'uid=petya,cn=domain.tld'. Error Code=you do not have the required
>>>>>access right
>>>>>16:05:11.73 1 LDAP-00008([127.0.0.1]) insert failed. Error=you do not
>>>>>have the required access right
>>>>>16:05:11.73 5 LDAP-00008([127.0.0.1]) out: 30 35 02 01 02 69 30 0A 01 01
>>>>>04 00 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68 65 20
>>>>>72 65 71 75 69 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>>>>>16:05:11.74 5 LDAP-00008([127.0.0.1]) inp: SEQ(5) 02 01 03 42 00
>>>>>16:05:11.74 4 LDAP-00008([127.0.0.1]) disconnecting
>>>>>16:05:11.74 2 LDAP-00008([127.0.0.1]) 'headlong@domain.tld' disconnected
>>>>>([127.0.0.1:33291])
>>>>>16:05:11.74 4 LDAP-00008([127.0.0.1]) closing connection
>>>>>16:05:11.74 4 LDAP-00008([127.0.0.1]) releasing stream
>>>>>16:05:26.00 5 LDAP stream thread finished
>>>>>16:05:32.34 2 PWD-00001([127.0.0.1]) 'postmaster@customer.stalker.com'
>>>>>connected from [127.0.0.1:33292]
>>>>>
>>>>>вообще я уже пытался поставить ВСЕ галки в настройках прав этого
>>>>>эккаунта - безуспешно.
>>>>>
>>>>>--
>>>>>SY,
>>>>>Alexander
>>>>>
>>>>>Dmitry Akindinov wrote:
>>>>>
>>>>>
>>>>>
>>>>>>Hello,
>>>>>>
>>>>>>on 06.12.2004 15:36, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>>Dmitry Akindinov wrote:
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>>Hello,
>>>>>>>>
>>>>>>>>Пара вопросов:
>>>>>>>>
>>>>>>>>1. LDAP-based account provisioning - включен? Если да - тщ может ли
>>>>>>>>этот же
>>>>>>>>пользователь добавлять аккаунты через WebAdmin?
>>>>>>>
>>>>>>>
>>>>>>>ldap direct provisioning включен и пользователь через web-admin
>>>>>>>работает -
>>>>>>>эккаунты создает/удаляет.
>>>>>>
>>>>>>
>>>>>>
>>>>>>Но пароль и настройки для вновь созданных аккаунтов поменять не может,
>>>>>>так
>>>>>>ведь?
>>>>>>
>>>>>>Дайте аккаунту еще и право на BasicSettings. Должно заработать.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>>В общем так:
>>>>>>>
>>>>>>>getdirectoryintegration
>>>>>>>200 data follow
>>>>>>>{
>>>>>>>BaseObject = "";
>>>>>>>ComposeMailAttr = YES;
>>>>>>>CustomAttributes = (telephoneNumber);
>>>>>>>DirectoryDomains = NO;
>>>>>>>DomainClass = CommuniGateDomain;
>>>>>>>DomainRDN = cn;
>>>>>>>LDAPProvisioning = YES;
>>>>>>>PublicInfoAttributes = ();
>>>>>>>RenameAttributes = { Password = userPassword; RealName = cn;};
>>>>>>>StorePassword = NO;
>>>>>>>StoreStandard = NO;
>>>>>>>SubstituteMailAttr = YES;
>>>>>>>Subtree = "";
>>>>>>>}
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>>2. Много ли других правил для доступа через LDAP. Если их несколько -
>>>>>>>>попробуйте поднять ваше правило повыше в списке.
>>>>>>>
>>>>>>>
>>>>>>>правило в списке первое сверху.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>>on 06.12.2004 14:43, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>>Dmitry Akindinov wrote:
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>>Hello, on 06.12.2004 14:03, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>>День добрый.
>>>>>>>>>>>Подскажите пож-ста, как (и где) правильно дать администратору
>>>>>>>>>>>виртуального
>>>>>>>>>>>домена на CGP (не основного) право управлять эккаунтами по LDAP?
>>>>>>>>>>>
>>>>>>>>>>>Есть пользователь:
>>>>>>>>>>>GetAccountRights headlong@domain.ru
>>>>>>>>>>>200 data follow
>>>>>>>>>>>(Domain, CanCreateAccounts)
>>>>>>>>>>>
>>>>>>>>>>>directory access rights:
>>>>>>>>>>>
>>>>>>>>>>>Name= SkyAdmin
>>>>>>>>>>>Target= cn=domain.ru
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>попробуйте заменить на
>>>>>>>>>>Target= *cn=domain.ru
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>не помогло. Ошибка та же.
>>>>>>>>>
>>>>>>>>>14:41:03.39 4 LDAP-00094([212.119.96.248]) got connection on
>>>>>>>>>[212.119.96.28:389]
>>>>>>>>>14:41:03.39 5 LDAP-00094([212.119.96.248]) inp: SEQ(37) 02 01 01 60
>>>>>>>>>20 02 01
>>>>>>>>>03 04 13 68 65 61 64 6C 6F 6E 67 40 73 6B 79 6C 69 6E 6B 2E 72 75
>>>>>>>>>80 06 78 78
>>>>>>>>>31
>>>>>>>>>32 33 34
>>>>>>>>>14:41:03.40 4 LDAP-00094([212.119.96.248]) BINDing as
>>>>>>>>>'headlong@domain.ru'
>>>>>>>>>14:41:03.40 2 LDAP-00094([212.119.96.248]) 'headlong@domain.ru'
>>>>>>>>>connected
>>>>>>>>>from
>>>>>>>>>[212.119.96.248:33062]
>>>>>>>>>14:41:03.40 4 LDAP-00094([212.119.96.248]) Logged in as
>>>>>>>>>uid=headlong,cn=domain.ru. authType=0
>>>>>>>>>14:41:03.40 5 LDAP-00094([212.119.96.248]) out: 30 0C 02 01 01 61
>>>>>>>>>07 0A 01
>>>>>>>>>00
>>>>>>>>>04 00 04 00
>>>>>>>>>14:41:03.40 5 LDAP-00094([212.119.96.248]) inp: SEQ(280) 02 01 02
>>>>>>>>>68 82 01
>>>>>>>>>11
>>>>>>>>>04 17 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 73 6B 79 6C 69 6E 6B
>>>>>>>>>2E 72 75 30
>>>>>>>>>81
>>>>>>>>>F5 30 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74 6F
>>>>>>>>>70 04 06 70
>>>>>>>>>65
>>>>>>>>>72 73 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E 61 6C
>>>>>>>>>14:41:03.40 1 LDAP-00094([212.119.96.248]) failed to add
>>>>>>>>>'uid=petya,cn=domain.ru'. Error Code=you do not have the required
>>>>>>>>>access
>>>>>>>>>right
>>>>>>>>>14:41:03.40 1 LDAP-00094([212.119.96.248]) insert failed. Error=you
>>>>>>>>>do not
>>>>>>>>>have the required access right
>>>>>>>>>14:41:03.40 5 LDAP-00094([212.119.96.248]) out: 30 35 02 01 02 69
>>>>>>>>>30 0A 01
>>>>>>>>>01
>>>>>>>>>04 00 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68
>>>>>>>>>65 20 72 65
>>>>>>>>>71
>>>>>>>>>75 69 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>>>>>>>>>14:41:03.40 5 LDAP-00094([212.119.96.248]) inp: SEQ(5) 02 01 03 42 00
>>>>>>>>>14:41:03.40 4 LDAP-00094([212.119.96.248]) disconnecting
>>>>>>>>>14:41:03.40 2 LDAP-00094([212.119.96.248]) 'headlong@domain.ru'
>>>>>>>>>disconnected
>>>>>>>>>([212.119.96.248:33062])
>>>
>>>
>

-- 
Sincerely Yours,
Alexander Serkin,
Skylink, Moscow,
ph. +7(095)7952089
fa. +7(095)7952084

Получено Tue Dec 07 14:58:28 2004