Hello, on 07.12.2004 17:58, Alexander Serkin at CGatePro@mx.ru wrote:
> > > Dmitry Akindinov wrote:
> ...
Интересно...
А если убрать и sn с givenName?
Оставьте:
uid=vasia,cn=domain.name
cn: Vasia Pupkin
userPassword: blah-blah-blah
objectClass: CommuniGateAccount
>>
>>
>>> als@stinky:/home/als/perls~> ldapadd -D "uid=headlong,cn=domain.tld" -h
>>> localhost -x -W -f new.sl.ru
>>> Enter LDAP Password:
>>> adding new entry "uid=petya,cn=domain.tld"
>>> ldap_add: Operations error
>>> additional info: you do not have the required access right
>>>
>>> ldif_record() = 1
>>>
>>> log:
>>> 17:40:29.34 5 LDAP connection request from [127.0.0.1:33078], socket=32
>>> 17:40:29.34 5 LDAP new VStream created, n=1
>>> 17:40:29.34 5 LDAP stream thread started
>>> 17:40:29.34 4 LDAP-00002([127.0.0.1]) got connection on [127.0.0.1:389]
>>> 17:40:29.34 5 LDAP-00002([127.0.0.1]) inp: SEQ(44) 02 01 01 60 27 02 01 03
>>> 04
>>> 1A
>>> 75 69 64 3D 68 65 61 64 6C 6F 6E 67 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C
>>> 64
>>> 80
>>> 06 78 78 31 32 33 34
>>> 17:40:29.34 4 LDAP-00002([127.0.0.1]) BINDing as 'headlong@domain.tld'
>>> 17:40:29.34 4 ACCOUNT(headlong@domain.tld) taken from cache
>>> 17:40:29.34 2 LDAP-00002([127.0.0.1]) 'headlong@domain.tld' connected from
>>> [127.0.0.1:33078]
>>> 17:40:29.35 4 LDAP-00002([127.0.0.1]) Logged in as
>>> uid=headlong,cn=domain.tld.
>>> authType=0
>>> 17:40:29.35 5 LDAP-00002([127.0.0.1]) out: 30 0C 02 01 01 61 07 0A 01 00 04
>>> 00
>>> 04 00
>>> 17:40:29.35 5 LDAP-00002([127.0.0.1]) inp: SEQ(270) 02 01 02 68 82 01 07 04
>>> 17
>>> 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C 64 30 81
>>> EB
>>> 30
>>> 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74 6F 70 04 06 70 65
>>> 72
>>> 73
>>> 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E 61 6C 50
>>> 17:40:29.35 1 LDAP-00002([127.0.0.1]) failed to add
>>> 'uid=petya,cn=domain.tld'.
>>> Error Code=you do not have the required access right
>>> 17:40:29.35 1 LDAP-00002([127.0.0.1]) insert failed. Error=you do not have
>>> the
>>> required access right
>>> 17:40:29.35 5 LDAP-00002([127.0.0.1]) out: 30 35 02 01 02 69 30 0A 01 01 04
>>> 00
>>> 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68 65 20 72 65 71
>>> 75
>>> 69
>>> 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>>> 17:40:29.35 5 LDAP-00002([127.0.0.1]) inp: SEQ(5) 02 01 03 42 00
>>> 17:40:29.35 4 LDAP-00002([127.0.0.1]) disconnecting
>>> 17:40:29.35 2 LDAP-00002([127.0.0.1]) 'headlong@domain.tld' disconnected
>>> ([127.0.0.1:33078])
>>> 17:40:29.35 4 ACCOUNT(headlong@domain.tld) placed in cache
>>> 17:40:29.35 4 LDAP-00002([127.0.0.1]) closing connection
>>> 17:40:29.35 4 LDAP-00002([127.0.0.1]) releasing stream
>>> 17:40:44.01 5 LDAP stream thread finished
>>>
>>> Давайте сравнимся? Как выглядят у вас directory access rights, права
>>> пользователя?
>>>
>>>
>>>>
>>>>
>>>>> Где-то с год назад у нас похожая ситуация была с админом виртуального
>>>>> домена
>>>>> при
>>>>> работе через CLI. М.б., правда, там с установленными правами было не все
>>>>> ок.
>>>>> Насколько я знаю, сейчас (4.2.7) админ виртуального домена через CLI
>>>>> эккаунтом
>>>>> управлять может. Проверяли.
>>>>> Есть мысль попытаться синхронизировать два сервера в разных местах - чтобы
>>>>> содержимое домена на них совпадало. Проблема в том, что сервер с той
>>>>> стороны
>>>>> -
>>>>> не Communigate. Но умеет LDAP. Вот такая предыстория...
>>>>>
>>>>> Alexander Serkin wrote:
>>>>>
>>>>>
>>>>>> И опять не помогло:
>>>>>> getaccountrights headlong@domain.tld
>>>>>> 200 data follow
>>>>>> (Domain, BasicSettings, CanCreateAccounts)
>>>>>>
>>>>>> 16:05:11.73 4 LDAP-00008([127.0.0.1]) got connection on [127.0.0.1:389]
>>>>>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) inp: SEQ(37) 02 01 01 60 20 02 01
>>>>>> 03 04 13 68 65 61 64 6C 6F 6E 67 40 64 6F 6D 61 69 6E 2E 74 6C 64 80 06
>>>>>> 78 78 31 32 33 34
>>>>>> 16:05:11.73 4 LDAP-00008([127.0.0.1]) BINDing as 'headlong@domain.tld'
>>>>>> 16:05:11.73 2 LDAP-00008([127.0.0.1]) 'headlong@domain.tld' connected
>>>>>> from [127.0.0.1:33291]
>>>>>> 16:05:11.73 4 LDAP-00008([127.0.0.1]) Logged in as
>>>>>> uid=headlong,cn=domain.tld. authType=0
>>>>>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) out: 30 0C 02 01 01 61 07 0A 01 00
>>>>>> 04 00 04 00
>>>>>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) inp: SEQ(286) 02 01 02 68 82 01 17
>>>>>> 04 17 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 64 6F 6D 61 69 6E 2E 74 6C
>>>>>> 64 30 81 FB 30 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74
>>>>>> 6F 70 04 06 70 65 72 73 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E
>>>>>> 61 6C 50
>>>>>> 16:05:11.73 1 LDAP-00008([127.0.0.1]) failed to add
>>>>>> 'uid=petya,cn=domain.tld'. Error Code=you do not have the required
>>>>>> access right
>>>>>> 16:05:11.73 1 LDAP-00008([127.0.0.1]) insert failed. Error=you do not
>>>>>> have the required access right
>>>>>> 16:05:11.73 5 LDAP-00008([127.0.0.1]) out: 30 35 02 01 02 69 30 0A 01 01
>>>>>> 04 00 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68 65 20
>>>>>> 72 65 71 75 69 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>>>>>> 16:05:11.74 5 LDAP-00008([127.0.0.1]) inp: SEQ(5) 02 01 03 42 00
>>>>>> 16:05:11.74 4 LDAP-00008([127.0.0.1]) disconnecting
>>>>>> 16:05:11.74 2 LDAP-00008([127.0.0.1]) 'headlong@domain.tld' disconnected
>>>>>> ([127.0.0.1:33291])
>>>>>> 16:05:11.74 4 LDAP-00008([127.0.0.1]) closing connection
>>>>>> 16:05:11.74 4 LDAP-00008([127.0.0.1]) releasing stream
>>>>>> 16:05:26.00 5 LDAP stream thread finished
>>>>>> 16:05:32.34 2 PWD-00001([127.0.0.1]) 'postmaster@customer.stalker.com'
>>>>>> connected from [127.0.0.1:33292]
>>>>>>
>>>>>> вообще я уже пытался поставить ВСЕ галки в настройках прав этого
>>>>>> эккаунта - безуспешно.
>>>>>>
>>>>>> --
>>>>>> SY,
>>>>>> Alexander
>>>>>>
>>>>>> Dmitry Akindinov wrote:
>>>>>>
>>>>>>
>>>>>>
>>>>>>> Hello,
>>>>>>>
>>>>>>> on 06.12.2004 15:36, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>> Dmitry Akindinov wrote:
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>> Hello,
>>>>>>>>>
>>>>>>>>> Пара вопросов:
>>>>>>>>>
>>>>>>>>> 1. LDAP-based account provisioning - включен? Если да - тщ может ли
>>>>>>>>> этот же
>>>>>>>>> пользователь добавлять аккаунты через WebAdmin?
>>>>>>>>
>>>>>>>>
>>>>>>>> ldap direct provisioning включен и пользователь через web-admin
>>>>>>>> работает -
>>>>>>>> эккаунты создает/удаляет.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Но пароль и настройки для вновь созданных аккаунтов поменять не может,
>>>>>>> так
>>>>>>> ведь?
>>>>>>>
>>>>>>> Дайте аккаунту еще и право на BasicSettings. Должно заработать.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>> В общем так:
>>>>>>>>
>>>>>>>> getdirectoryintegration
>>>>>>>> 200 data follow
>>>>>>>> {
>>>>>>>> BaseObject = "";
>>>>>>>> ComposeMailAttr = YES;
>>>>>>>> CustomAttributes = (telephoneNumber);
>>>>>>>> DirectoryDomains = NO;
>>>>>>>> DomainClass = CommuniGateDomain;
>>>>>>>> DomainRDN = cn;
>>>>>>>> LDAPProvisioning = YES;
>>>>>>>> PublicInfoAttributes = ();
>>>>>>>> RenameAttributes = { Password = userPassword; RealName = cn;};
>>>>>>>> StorePassword = NO;
>>>>>>>> StoreStandard = NO;
>>>>>>>> SubstituteMailAttr = YES;
>>>>>>>> Subtree = "";
>>>>>>>> }
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>> 2. Много ли других правил для доступа через LDAP. Если их несколько -
>>>>>>>>> попробуйте поднять ваше правило повыше в списке.
>>>>>>>>
>>>>>>>>
>>>>>>>> правило в списке первое сверху.
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>> on 06.12.2004 14:43, Alexander Serkin at CGatePro@mx.ru wrote:
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>> Dmitry Akindinov wrote:
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>> Hello, on 06.12.2004 14:03, Alexander Serkin at CGatePro@mx.ru
>>>>>>>>>>> wrote:
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>> День добрый.
>>>>>>>>>>>> Подскажите пож-ста, как (и где) правильно дать администратору
>>>>>>>>>>>> виртуального
>>>>>>>>>>>> домена на CGP (не основного) право управлять эккаунтами по LDAP?
>>>>>>>>>>>>
>>>>>>>>>>>> Есть пользователь:
>>>>>>>>>>>> GetAccountRights headlong@domain.ru
>>>>>>>>>>>> 200 data follow
>>>>>>>>>>>> (Domain, CanCreateAccounts)
>>>>>>>>>>>>
>>>>>>>>>>>> directory access rights:
>>>>>>>>>>>>
>>>>>>>>>>>> Name= SkyAdmin
>>>>>>>>>>>> Target= cn=domain.ru
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> попробуйте заменить на
>>>>>>>>>>> Target= *cn=domain.ru
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> не помогло. Ошибка та же.
>>>>>>>>>>
>>>>>>>>>> 14:41:03.39 4 LDAP-00094([212.119.96.248]) got connection on
>>>>>>>>>> [212.119.96.28:389]
>>>>>>>>>> 14:41:03.39 5 LDAP-00094([212.119.96.248]) inp: SEQ(37) 02 01 01 60
>>>>>>>>>> 20 02 01
>>>>>>>>>> 03 04 13 68 65 61 64 6C 6F 6E 67 40 73 6B 79 6C 69 6E 6B 2E 72 75
>>>>>>>>>> 80 06 78 78
>>>>>>>>>> 31
>>>>>>>>>> 32 33 34
>>>>>>>>>> 14:41:03.40 4 LDAP-00094([212.119.96.248]) BINDing as
>>>>>>>>>> 'headlong@domain.ru'
>>>>>>>>>> 14:41:03.40 2 LDAP-00094([212.119.96.248]) 'headlong@domain.ru'
>>>>>>>>>> connected
>>>>>>>>>> from
>>>>>>>>>> [212.119.96.248:33062]
>>>>>>>>>> 14:41:03.40 4 LDAP-00094([212.119.96.248]) Logged in as
>>>>>>>>>> uid=headlong,cn=domain.ru. authType=0
>>>>>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) out: 30 0C 02 01 01 61
>>>>>>>>>> 07 0A 01
>>>>>>>>>> 00
>>>>>>>>>> 04 00 04 00
>>>>>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) inp: SEQ(280) 02 01 02
>>>>>>>>>> 68 82 01
>>>>>>>>>> 11
>>>>>>>>>> 04 17 75 69 64 3D 70 65 74 79 61 2C 63 6E 3D 73 6B 79 6C 69 6E 6B
>>>>>>>>>> 2E 72 75 30
>>>>>>>>>> 81
>>>>>>>>>> F5 30 55 04 0B 6F 62 6A 65 63 74 63 6C 61 73 73 31 46 04 03 74 6F
>>>>>>>>>> 70 04 06 70
>>>>>>>>>> 65
>>>>>>>>>> 72 73 6F 6E 04 14 6F 72 67 61 6E 69 7A 61 74 69 6F 6E 61 6C
>>>>>>>>>> 14:41:03.40 1 LDAP-00094([212.119.96.248]) failed to add
>>>>>>>>>> 'uid=petya,cn=domain.ru'. Error Code=you do not have the required
>>>>>>>>>> access
>>>>>>>>>> right
>>>>>>>>>> 14:41:03.40 1 LDAP-00094([212.119.96.248]) insert failed. Error=you
>>>>>>>>>> do not
>>>>>>>>>> have the required access right
>>>>>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) out: 30 35 02 01 02 69
>>>>>>>>>> 30 0A 01
>>>>>>>>>> 01
>>>>>>>>>> 04 00 04 29 79 6F 75 20 64 6F 20 6E 6F 74 20 68 61 76 65 20 74 68
>>>>>>>>>> 65 20 72 65
>>>>>>>>>> 71
>>>>>>>>>> 75 69 72 65 64 20 61 63 63 65 73 73 20 72 69 67 68 74
>>>>>>>>>> 14:41:03.40 5 LDAP-00094([212.119.96.248]) inp: SEQ(5) 02 01 03 42 00
>>>>>>>>>> 14:41:03.40 4 LDAP-00094([212.119.96.248]) disconnecting
>>>>>>>>>> 14:41:03.40 2 LDAP-00094([212.119.96.248]) 'headlong@domain.ru'
>>>>>>>>>> disconnected
>>>>>>>>>> ([212.119.96.248:33062])
>>>>
>>>>
-- Best regards, Dmitry Akindinov -- Stalker LabsПолучено Tue Dec 07 15:11:03 2004
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:15:37 MSK