Re: [Gutl-l] Sobre resticciones nacionales e internacionales contra Active Directory

Arian Molina Aguilera Wed, 11 Nov 2015 17:16:32 -0800

El 11/11/15 a las 15:22, Yadiel Pérez Villazón escribió:

Buenas lista, quiero hacerles una consulta a ver si alguien me puede ayudar con 
este problema que ya no se que hacer, la cuestión es que estoy trabajando en 
una empresa y le estoy configurando la clásica restricción 
nacional/internacional contra un grupo del Active Directory de Windows y me 
esta dando un problema a la hora de obtener a que grupos pertenece un usuario 
(el atributo memberOf) esto es lo que estoy haciendo:


Con algunos usuarios me funciona pero con otros no , no se si hay que 
configurar en el AD algo para publicar la información de los usuarios o algo de 
eso porque, por ejemplo tengo el usuario X en el AD y cuando ejecuto lo 
siguiente:

ldapsearch -D "cn=******,ou=****,ou=******,ou=******,dc=diveppr,dc=co,dc=cu" -w **** -p 389 -h ****** 
-b "ou=*****,dc=diveppr,dc=co,dc=cu" -s sub 
"(&(objectclass=user)(Userprincipalname=x...@diveppr.co.cu))"

Me muestra lo siguiente:

=======================================================================================================================

# extended LDIF
#
# LDAPv3
# base <ou=*****,dc=diveppr,dc=co,dc=cu> with scope subtree
# filter: (&(objectclass=user)(Userprincipalname=x...@diveppr.co.cu))
# requesting: ALL
#

# ************, Administradores DivepPR, Diveppr, Divep
  pr.co.cu
dn:: Q049QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXosT1U9QWRtaW5pc3RyYWRvcmVzIERpdmVwU
  FIsT1U9RGl2ZXBwcixEQz1EaXZlcHByLERDPWNvLERDPWN1
memberOf: CN=pfSense_admins,OU=pfsense,OU=services,OU=Diveppr,DC=Diveppr,DC=co
  ,DC=cu
memberOf: CN=usuariosconcorreointernacional,OU=UsuariosConCorreoInternacional,
  OU=Diveppr,DC=Diveppr,DC=co,DC=cu
memberOf: CN=KLAdmins,CN=Users,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Grupo Administradores DIVEPPR,OU=Administradores DivepPR,OU=Divep
  pr,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Grupo Diveppr,OU=Diveppr,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Group Policy Creator Owners,CN=Users,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Domain Admins,CN=Users,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Enterprise Admins,CN=Users,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Schema Admins,CN=Users,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Administrators,CN=Builtin,DC=Diveppr,DC=co,DC=cu
accountExpires: 9223372036854775807
adminCount: 1
badPasswordTime: 130916643980781250
badPwdCount: 0
codePage: 0
cn:: QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXo=
countryCode: 0
displayName:: QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXo=
dSCorePropagationData: 20151103200938.0Z
dSCorePropagationData: 20110601160107.0Z
dSCorePropagationData: 20101123185731.0Z
dSCorePropagationData: 16010102123306.0Z
givenName: **********
instanceType: 4
lastLogoff: 0
lastLogon: 130917293099531250
logonCount: 23410
distinguishedName:: Q049QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXosT1U9QWRtaW5pc3RyYW
  RvcmVzIERpdmVwUFIsT1U9RGl2ZXBwcixEQz1EaXZlcHByLERDPWNvLERDPWN1
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=Diveppr,DC=co,DC=cu
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectGUID:: x1TtgD6eWEyG/STU98nZGg==
objectSid:: AQUAAAAAAAUVAAAAa9ZiBCDdczlDFwoyagUAAA==
primaryGroupID: 513
pwdLastSet: 130259993802500000
name:: QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXo=
sAMAccountName: *****
sAMAccountType: 805306368
scriptPath: mapeoJ.bat
servicePrincipalName: MSSQLSvc/aplications.Diveppr.co.cu:1433
servicePrincipalName: MSSQLSvc/***.Diveppr.co.cu:1433
servicePrincipalName: MSSQLSvc/vivian.Diveppr.co.cu:1433
sn:: SGVybsOhbmRleiBIZXJuw6FuZGV6
userAccountControl: 66048
userPrincipalName: ***@Diveppr.co.cu
uSNChanged: 8404927
uSNCreated: 6910110
whenChanged: 20140312164356.0Z
whenCreated: 20100519224139.0Z

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1


========================================================================================================================

O sea un grupo de información incluyendo el atributo memberOf que lo necesito 
en la configuración de esa restricción, pero en el AD existen otros usuario que 
cuando los agrego a ese grupo (usuariosconcorreointernacional) por el AD, como 
por ejemplo el usuario y.

Y les muestro la consulta que hice:

  ldapsearch -D "cn=*****,ou=*****,ou=******,ou=******,dc=diveppr,dc=co,dc=cu" -w ******** -p 389 -h 
******** -b "ou=*****,dc=diveppr,dc=co,dc=cu" -s sub 
"(&(objectclass=user)(Userprincipalname=y...@diveppr.co.cu))"

Y mira lo que me muestra:

=====================================================================================================================

# extended LDIF
#
# LDAPv3
# base <ou=diveppr,dc=diveppr,dc=co,dc=cu> with scope subtree
# filter: (&(objectclass=user)(Userprincipalname=ale...@diveppr.co.cu))
# requesting: ALL
#

# ******, auditoria y control, Usuarios Empresa DivepPR, Diveppr, Dive
  ppr.co.cu
dn: CN=*******,OU=auditoria y control,OU=Usuarios Empresa DivepPR,OU=Div
  eppr,DC=Diveppr,DC=co,DC=cu
codePage: 0
cn: Aleida Peraza
countryCode: 0
displayName: ********
givenName: ***********
distinguishedName: CN=********,OU=auditoria y control,OU=Usuarios Empresa
   DivepPR,OU=Diveppr,DC=Diveppr,DC=co,DC=cu
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=Diveppr,DC=co,DC=cu
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectGUID:: PzrPqSBRikugeUmmIRnbLQ==
objectSid:: AQUAAAAAAAUVAAAAa9ZiBCDdczlDFwoymQQAAA==
primaryGroupID: 513
name: ***********
sAMAccountName: ***********
sAMAccountType: 805306368
userPrincipalName: *********@Diveppr.co.cu

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

=================================================================================================================

Si comparan el resultado de esta información con el del usuario anterior, se 
darán cuenta de que no se muestra la misma información aunque yo quiero que me 
muestre el memberof que es con lo cual yo hago el filtro para que me devuelva 
el grupo. Y no me lo muestra.

Resumiendo y mi pregunta, porque si y agrego ese usuario al grupo y hago esa 
consulta no me devuelve el memberof de los grupos ??, Creen que haya que hacer 
algo en el AD para publicar toda la información de un usuario ??.

Es es muy impostante porque si esa información del usuario no se puede ejecutar 
lo de las restricciones porque tengo puesto este filtro:

query_filter     = 
(&(objectclass=person)(userPrincipalName=%s)(memberOf=CN=usuariosconcorreointernacional,OU=UsuariosConCorreoInternacional,OU=Diveppr,DC=Diveppr,DC=co,DC=cu))

El usuario que me muestra la información pertenece una OU que tiene ciertas 
políticas y el resto de los usuarios están organizados por OU según sus 
departamentos.

Saludos ...

esto es completamente funcionar, solo tienes que decirle a postfix quelea los grupos desde un ldap (active directory). si no sabes mañana tepaso el tic, pero recomiendo para esto y mucho más potente usarcbpolicyd. Salu2.


--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Nodo Central ARTex S.A. La Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@jabber.artex.cu
Linux Usuario Registrado #392892





______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Sobre resticciones nacionales e internacionales contra Active Directory

Responder a