Re: [OpenLDAP] codice fiscale o social security number.

[Mauro]

2012/1/2 Michele Codutti :
> Potresti usare 'employeeNumber' dallo schema inetorgperson (che sicuramente
> sarà incluso nella tua configurazione).
> Non è proprio ortodosso (neanche troppo divergente dal suo scopo originale)
> ma non richiede inclusioni di altri schemi.

Uso gia' employeeNumber per la matricola del dipendente.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] codice fiscale o social security number.

[Mauro]

Ho necessita' di memorizzare il codice fiscale di una persona.
Cercavo uno schema che avesse un attributo tipo social security number.
Sapete se c'e' qualcosa in giro per non dovermi creare un attributo ad hoc?
Grazie.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] Il perchè di cn=config...

[Mauro]

2011/11/4 Michele Codutti :
> Mi associo.
> Io uso FAI ed utilizzare cn=config non è una soluzione semplice e pratica.
> Vi prego non rendete obsoleto il caro e vecchio ma soprattutto
> funzionale slapd.conf.
> Inoltre la configurazione di un software, secondo me, deve puntare
> alla massima leggibilità e comprensione e mi sembra che cn=config non
> soddisfi questo mio requisito (che magari è solo mio). E' pratico da
> utilizzare solo per un software non per un essere umano.
>
> Quoting "Giuseppe \\"Gippa\\" Paternó" :
>
>> No, anch'io la penso cosí.
>> Soprattutto in un'ottica di gestione tramite puppet o altri tool e i
>> backup, il cn=config (per me) è veramente pessimo.
>> Ho sudato non poco per configurare cosí... Imho non è tanto un
>> problema di riuscirci o no, ma di praticità..
>> My eur 0.02 :)

Allora non sono soltanto io ad aver trovato pessima l'idea di
stravolgere il modo di configurare slapd.
Se puo' essere utile ho fatto un semplice how to, lo trovate qui:

http://www.miamammausalinux.org/2011/02/openldap-migrazione-dalla-configurazione-classica-alla-nuova-cnconfig/

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] findbase failed! 32.

[Mauro]

2011/2/17  :
>> 2011/2/17 Marco Pizzoli :
>>> A prima vista sembra che il provider non stia pubblicando la basedn,
>>> cioé la
>>> radice per la quale il consumer é configurato per fare il download.
>>>
>>> Verifica lo stato di salute del tuo provider
>>
>> Ho un provider e un consumer, il provider funziona e il database del
>> conmsumer viene aggionrato regolarmante, il rid e' 001.
>> Tale consumer fa anche da proxy verso un altro server, per provider
>> intendi lo stesso consumer? Visto che dovrebbe essere provider di se
>> stesso.
>
> Se il consumer deve fare da proxy deve essere configurato anche come
> provider per i consumer a cui deve fare da provider, no?

infatti e' cosi', ho risolto una parte del problema grazie a Marco,
mancavano delle olcAccess che ho aggiunto:

olcAccess: {1}to dn.base=""  by * read
olcAccess: {2}to *  by dn.base="cn=admin,dc=example,dc=com" write by
  * read

Ora il messaggio e' diverso:

null_callback : error code 0x13
Feb 17 17:12:31 proxy2 slapd[6704]: syncrepl_entry: rid=002 be_add
dc=example,dc=com failed (19)

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] findbase failed! 32.

[Mauro]

2011/2/17 Marco Pizzoli :
> A prima vista sembra che il provider non stia pubblicando la basedn, cioé la
> radice per la quale il consumer é configurato per fare il download.
>
> Verifica lo stato di salute del tuo provider

Ho un provider e un consumer, il provider funziona e il database del
conmsumer viene aggionrato regolarmante, il rid e' 001.
Tale consumer fa anche da proxy verso un altro server, per provider
intendi lo stesso consumer? Visto che dovrebbe essere provider di se
stesso.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] findbase failed! 32.

[Mauro]

Cosa sta a significare quell'errore?
Ho configurato una macchina per fungere da consumer/proxy.
In un primo momento andava tutto bene poi ho riinstallato slapd 2.4 ho
ripetuto esattamente le stesse operazione per riconfiguralo ma nel
database ldap, appunto il proxy ho questi errori:

Feb 17 16:42:15 proxy2 slapd[6615]: findbase failed! 32
Feb 17 16:42:15 proxy2 slapd[6615]: do_syncrep2: rid=002 LDAP_RES_SEARCH_RESULT
Feb 17 16:42:15 proxy2 slapd[6615]: do_syncrep2: rid=002
LDAP_RES_SEARCH_RESULT (32) No such object
Feb 17 16:42:15 proxy2 slapd[6615]: do_syncrep2: rid=002 (32) No such object
Feb 17 16:42:15 proxy2 slapd[6615]: do_syncrepl: rid=002 rc -2
retrying (9 retries left)
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] un aiuto per configurare un consumer proxy con cn=config.

[Mauro]

2011/2/8 Mauro :
> 2011/2/8 Francesco Malvezzi :
>> [...]
>> La configurazione col vecchio formato, slapd.conf, era:
>>>
>>> database        ldap
>>> # ignore conflicts with other databases, as we need to push out to same
>>> suffix
>>> hidden          on
>>> suffix          "dc=comune,dc=cagliari,dc=it"
>>> rootdn          "cn=admin,dc=comune,dc=cagliari,dc=it"
>>> uri             ldap://192.168.4.5
>>>
>>> lastmod         on
>>>
>>> # we don't need any access to this DSA
>>> restrict        all
>>>
>>> acl-bind        bindmethod=simple
>>>                 binddn="cn=replicant,dc=comune,dc=cagliari,dc=it"
>>>                 credentials=40M12SEN
>>>
>>> syncrepl        rid=002
>>>                 provider=ldap://localhost:389
>>>                 type=refreshAndPersist
>>>                 retry="60 10 300 +"
>>>                 searchbase="dc=comune,dc=cagliari,dc=it"
>>>                 searchbase="dc=comune,dc=cagliari,dc=it"
>>>                 bindmethod=simple
>>>                 binddn="cn=replicant,dc=comune,dc=cagliari,dc=it"
>>>                 credentials=40M12SEN
>>>
>>> overlay         syncprov
>>>
>>> Non riesco a riportarla nel formato cn=config.
>>
>> proverei con il trucco dello slaptest.
>>
>> Scrivi lo slapd.conf che desideri in una qualche cartella, poi lanci:
>> sudo slaptest -f ./slapd.conf -F ./slapd.d
>>
>> slaptest ti trasforma lo slapd.conf alla vecchia maniera in uno slapd.d. Da
>> li' prendi ispirazione per scrivere gli ldif da inserire,
>
> Si e' quello che sto facendo, ci avrei potuto pensare prima ma sono
> entrato in panico visto che il database non funzionava dopo che mi e'
> stata cambiata la configurazione da sotto i piedi, ora piano piano le
> cose si stanno chiarendo per fortuna :-)

Ho risolto, magari potrei mettere un how to da qualche parte se puo'
essere utile.
>

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] un aiuto per configurare un consumer proxy con cn=config.

[Mauro]

2011/2/8 Francesco Malvezzi :
> [...]
> La configurazione col vecchio formato, slapd.conf, era:
>>
>> database        ldap
>> # ignore conflicts with other databases, as we need to push out to same
>> suffix
>> hidden          on
>> suffix          "dc=comune,dc=cagliari,dc=it"
>> rootdn          "cn=admin,dc=comune,dc=cagliari,dc=it"
>> uri             ldap://192.168.4.5
>>
>> lastmod         on
>>
>> # we don't need any access to this DSA
>> restrict        all
>>
>> acl-bind        bindmethod=simple
>>                 binddn="cn=replicant,dc=comune,dc=cagliari,dc=it"
>>                 credentials=40M12SEN
>>
>> syncrepl        rid=002
>>                 provider=ldap://localhost:389
>>                 type=refreshAndPersist
>>                 retry="60 10 300 +"
>>                 searchbase="dc=comune,dc=cagliari,dc=it"
>>                 searchbase="dc=comune,dc=cagliari,dc=it"
>>                 bindmethod=simple
>>                 binddn="cn=replicant,dc=comune,dc=cagliari,dc=it"
>>                 credentials=40M12SEN
>>
>> overlay         syncprov
>>
>> Non riesco a riportarla nel formato cn=config.
>
> proverei con il trucco dello slaptest.
>
> Scrivi lo slapd.conf che desideri in una qualche cartella, poi lanci:
> sudo slaptest -f ./slapd.conf -F ./slapd.d
>
> slaptest ti trasforma lo slapd.conf alla vecchia maniera in uno slapd.d. Da
> li' prendi ispirazione per scrivere gli ldif da inserire,

Si e' quello che sto facendo, ci avrei potuto pensare prima ma sono
entrato in panico visto che il database non funzionava dopo che mi e'
stata cambiata la configurazione da sotto i piedi, ora piano piano le
cose si stanno chiarendo per fortuna :-)

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] quale modulo devo indicare?

[Mauro]

Devo caricare i moduli syncprov e back_ldap.
Nella directory dove sono contenuti i vari moduli vedo:

back_ldap-2.4.so.2
back_ldap-2.4.so.2.5.6
back_ldap.la
back_ldap.so

syncprov-2.4.so.2
syncprov-2.4.so.2.5.6
syncprov.la
syncprov.so

io ho semplicemente indicato:

dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: syncprov
-
add: olcModuleLoad
olcModuleLoad: back_ldap

e' corretto o devo indicare anche l'estensione e se devo indicare
l'estensione e' .so o .la?
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] quale modulo devo indicare?

[Mauro]

2011/2/8 Marco Pizzoli :
> Ciao,
> Dai un occhiata al ".la". Dovresti notare che e' un file di testo che
> contiene tutte le info sugli altri file ".so".
> Usando la conf "vecchio stile" io caricavo sempre solo il .la e quindi mi
> aspetto che sia analogo anche con il nuovo stile.
>
Grazie, piano piano e con fatica sto cercando di riportare la vecchia
configurazione nella nuova cn=config.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] un aiuto per configurare un consumer proxy con cn=config.

[Mauro]

So di essere pedante ma avrei bisogno di aiuto per far funzionare un
consumer che fa da proxy, sto cercando di trovare info in rete ma non
c'e' molto su come fare utilizzando la nuova configurazione di
openLDAP 2.4 e ho necessita' di far funzionare il proxy in tempi brevi
purtroppo.
Ho 3 server, due in lan e uno in dmz.
I due in lan sono un provider, 192.168.4.7 e un consumer, 192.168.4.248.
Grazie al vostro aiuto sono riuscito a far funzionare la replica
utilizzando la nuova configuazione cn=config.
C'e' un terzo server in dmz che, ovviamente non puo' aprire una
connessione verso un server in lan, cosi' ho pensato di far funzionare
da proxy il consumer 102.168.4.248, in modo da mandare gli
aggiornamenti al server in dmz.
La configurazione col vecchio formato, slapd.conf, era:

databaseldap
# ignore conflicts with other databases, as we need to push out to same suffix
hidden  on
suffix  "dc=comune,dc=cagliari,dc=it"
rootdn  "cn=admin,dc=comune,dc=cagliari,dc=it"
uri ldap://192.168.4.5

lastmod on

# we don't need any access to this DSA
restrictall

acl-bindbindmethod=simple
binddn="cn=replicant,dc=comune,dc=cagliari,dc=it"
credentials=40M12SEN

syncreplrid=002
provider=ldap://localhost:389
type=refreshAndPersist
retry="60 10 300 +"
searchbase="dc=comune,dc=cagliari,dc=it"
searchbase="dc=comune,dc=cagliari,dc=it"
bindmethod=simple
binddn="cn=replicant,dc=comune,dc=cagliari,dc=it"
credentials=40M12SEN

overlay syncprov

Non riesco a riportarla nel formato cn=config.
Finora l'unica cosa che sono riuscto a fare e' aggiungere il modulo back_ldap.
Ho creato un file modulo.ldif nel quale ho messo:

dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: {0}back_ldap

e ho lanciato ldapadd -Y external -H ldapi:/// -f module.ldif.
Questa e' l'unica cosa che mi e' riuscita ma mi manca tutto il resto.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] insufficien access ma perche'?

[Mauro]

2011/2/8 Francesco Malvezzi :
>>
>> La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif:
>
> La puoi aggiungere a mano (magari fai una copia del file), mi raccomando
> a slapd fermo.
>
>>
>> dn: olcDatabase={0}config
>> objectClass: olcDatabaseConfig
>> olcDatabase: {0}config
>> olcAccess: {0}to * by 
>> dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
>>  ,cn=auth manage by * break
>
> Hai visto che togo? Sembra che un utente con autenticazione external con
> uidnumber=0 (cioe' root) abbia manage (che e' piu' di write, mi sembra).
>
> Ecco spiegato perche' ha funzionato lo ldapadd degli schemi con lo
> switch -Y (che vuol dire autenticazione external): eri forse root quando
> lo hai lanciato?
>
Si l'ho lanciato da root.

> Forse non ha bisogno di aggiungere la olcRootPW, allora, ma usare lo
> stesso comando,

Si infatti la olcRootPW non l'aggiungo, lascio tutto com'e'.
>
> ciao,
>
> Francesco
>

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] insufficien access ma perche'?

[Mauro]

2011/2/8 Mauro :
> 2011/2/8 Francesco Malvezzi :
>>> faccio un ldapmodify -x -D cn=admin,dc=example,dc=com -f file.ldif -W
>>>
>>> e mi dice insufficient access.
>>> Beh visto che il primo ldapadd funziona non dovrebbe essere un
>>> problema di password ne di utente admin.
>>> Perche' mi dice allora che i privilegi non sono sufficenti nel secondo caso?
>>
>> e' super semplice.
>>
>> Ci sono (almeno) due database:
>> cn=config
>> dc=test,dc=it (o quel che e' il tuo db)
>>
>> Ogni amministratore deve risiedere nello scope del suo db. Ad esempio:
>>
>> cn=admin,dc=test,dc=it e' un amministratore valido per il secondo
>> database ma non per il primo.
>>
>> cn=admin,dc=prova,dc=it non e' valido ne' per il primo ne' per il secondo.
>>
>> Per convenzione nella documentazione l'amministratore del db cn=config
>> si chiama cn=config (chissa' perche'?).
>>
>> Lo ldif che ti avevo mandato deve essere inserito nel db cn=config,
>> perche' modifica una configurazione. Quindi devi usare come principal
>> quello del cn=config. Come si chiami lo vedi dal file:
>> slapd.d/cn=config/olcDatabase={0}config.ldif
>>
>> Se non sai quale password abbia (spero che nessuno mi senta mento dico
>> questa porcata), fermi slapd, editi a mano con vim il file
>> slapd.d/cn=config/olcDatabase={0}config.ldif e metti in olcRootPW la tua
>> password calcolata con slappasswd (anche non in base64).
>
> La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif:
>
> dn: olcDatabase={0}config
> objectClass: olcDatabaseConfig
> olcDatabase: {0}config
> olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
>  ,cn=auth manage by * break
> olcRootDN: cn=admin,cn=config
> structuralObjectClass: olcDatabaseConfig
> entryUUID: 77f34cc4-c750-102f-9352-c5ef794c3d63
> creatorsName: cn=config
> createTimestamp: 20110207215340Z
> entryCSN: 20110207215340.414543Z#00#000#00
> modifiersName: cn=config
> modifyTimestamp: 20110207215340Z

Ho usato il seguente comando :

ldapadd -Y external -H ldapi:/// -f syncrepl.ldif

ed ho risolto.
Adesso sono riuscito a configurare il consumer.
In lan ho un provider, 192.168.4.7 ed un consumer, 192.168.4.248, la
replica sembra funzionare.
C'e' un ulteriore passo da fare.
Devo replicare anche verso server che si trova in dmz.
Cosi' come funziona synrepl non e' piu il master che manda le
informazione verso lo slave ma e' lo slave che contatta il master per
avere notizie su eventuali aggiornamenti, scusate se l'ho detto il
parole molto elementari.
Essendo il terzo pc in dmz non vorrei aprire un passaggio da dmz verso
la lan cosi' avevo deciso di simulare il comportamento di slurpd
facendo il modo che il consumer in lan mandi gli aggiornamenti al
server in dmz.
Tale consumer deve essere quindi anche un proxy e lo avevo configurato
in questo modo:

# Consumer Proxy that pulls in data via Syncrepl and pushes out via
# slapd-ldap
##

databaseldap
# ignore conflicts with other databases, as we need to push out to same suffix
hidden  on
suffix  "dc=comune,dc=example,dc=com"
rootdn  "cn=admin,dc=example,dc=com"
uri ldap://172.16.4.5

lastmod on

restrictall

acl-bindbindmethod=simple
binddn="cn=replicant,dc=example,dc=com"
credentials=xxx

syncreplrid=002
provider=ldap://localhost:389
type=refreshAndPersist
retry="60 10 300 +"
searchbase="ddc=example,dc=com"
searchbase="dc=example,dc=com"
bindmethod=simple
binddn="cn=replicant,dc=example,dc=com"
credentials=xxx

overlay syncprov

Avevo quindi configurato un secondo database replica del primo, sullo
stesso server slapd da utilizzare per mandare gli aggiornamenti al
server in dmz.
Intanto non sono sicuro che sia effettivamente necessario configurare
questo secondo database.
Ma in base alla nuova configurazione di slapd come riporto tutto questo?
Il file olcDatabase={1}hdb,cn=config credo si riferisca ad un
database, devo ricrearne uno identico con indice 2?

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] insufficien access ma perche'?

[Mauro]

2011/2/8 Francesco Malvezzi :
>> faccio un ldapmodify -x -D cn=admin,dc=example,dc=com -f file.ldif -W
>>
>> e mi dice insufficient access.
>> Beh visto che il primo ldapadd funziona non dovrebbe essere un
>> problema di password ne di utente admin.
>> Perche' mi dice allora che i privilegi non sono sufficenti nel secondo caso?
>
> e' super semplice.
>
> Ci sono (almeno) due database:
> cn=config
> dc=test,dc=it (o quel che e' il tuo db)
>
> Ogni amministratore deve risiedere nello scope del suo db. Ad esempio:
>
> cn=admin,dc=test,dc=it e' un amministratore valido per il secondo
> database ma non per il primo.
>
> cn=admin,dc=prova,dc=it non e' valido ne' per il primo ne' per il secondo.
>
> Per convenzione nella documentazione l'amministratore del db cn=config
> si chiama cn=config (chissa' perche'?).
>
> Lo ldif che ti avevo mandato deve essere inserito nel db cn=config,
> perche' modifica una configurazione. Quindi devi usare come principal
> quello del cn=config. Come si chiami lo vedi dal file:
> slapd.d/cn=config/olcDatabase={0}config.ldif
>
> Se non sai quale password abbia (spero che nessuno mi senta mento dico
> questa porcata), fermi slapd, editi a mano con vim il file
> slapd.d/cn=config/olcDatabase={0}config.ldif e metti in olcRootPW la tua
> password calcolata con slappasswd (anche non in base64).

La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif:

dn: olcDatabase={0}config
objectClass: olcDatabaseConfig
olcDatabase: {0}config
olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
 ,cn=auth manage by * break
olcRootDN: cn=admin,cn=config
structuralObjectClass: olcDatabaseConfig
entryUUID: 77f34cc4-c750-102f-9352-c5ef794c3d63
creatorsName: cn=config
createTimestamp: 20110207215340Z
entryCSN: 20110207215340.414543Z#00#000#00
modifiersName: cn=config
modifyTimestamp: 20110207215340Z
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] insufficien access ma perche'?

[Mauro]

2011/2/8 Francesco Malvezzi :
>> faccio un ldapmodify -x -D cn=admin,dc=example,dc=com -f file.ldif -W
>>
>> e mi dice insufficient access.
>> Beh visto che il primo ldapadd funziona non dovrebbe essere un
>> problema di password ne di utente admin.
>> Perche' mi dice allora che i privilegi non sono sufficenti nel secondo caso?
>
> e' super semplice.
>
> Ci sono (almeno) due database:
> cn=config
> dc=test,dc=it (o quel che e' il tuo db)
>
> Ogni amministratore deve risiedere nello scope del suo db. Ad esempio:
>
> cn=admin,dc=test,dc=it e' un amministratore valido per il secondo
> database ma non per il primo.
>
> cn=admin,dc=prova,dc=it non e' valido ne' per il primo ne' per il secondo.
>
> Per convenzione nella documentazione l'amministratore del db cn=config
> si chiama cn=config (chissa' perche'?).
>
> Lo ldif che ti avevo mandato deve essere inserito nel db cn=config,
> perche' modifica una configurazione. Quindi devi usare come principal
> quello del cn=config. Come si chiami lo vedi dal file:
> slapd.d/cn=config/olcDatabase={0}config.ldif
>
> Se non sai quale password abbia (spero che nessuno mi senta mento dico
> questa porcata), fermi slapd, editi a mano con vim il file
> slapd.d/cn=config/olcDatabase={0}config.ldif e metti in olcRootPW la tua
> password calcolata con slappasswd (anche non in base64).

Grazie provo subito, mi scuso per la banalita' delle domande ma questo
stravolgimento cosi' drastico nella configurazione di slapd mi ha
proprio incasinato.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] insufficien access ma perche'?

[Mauro]

ho un file ldif con delle entries del tipo:


dn: uid=,ou=People,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: VirtualMailAccount
objectClass: VirtualForward
objectClass: Vacation
mail: x...@example.com
uid: 
cn: 
sn: 
uidNumber: 1004
gidNumber: 1004

ecc.

faccio un ldapadd -D cn=admin,dc=example,dc=com -f file.ldif -x -W
inserisco la passwd, viene accettata e le entries vengono inserite nel database.
Ho un altro file ldif dove su suggerimento in questa lista ho:

dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001 provider=ldap://192.168.4.7
 binddn="cn=replicant,dc=example,dc=com"
 bindmethod=simple credentials=""
 searchbase="dc=example,dc=com"
 type=refreshAndPersist
 retry="60 10 300 +"
 schemachecking=on

faccio un ldapmodify -x -D cn=admin,dc=example,dc=com -f file.ldif -W

e mi dice insufficient access.
Beh visto che il primo ldapadd funziona non dovrebbe essere un
problema di password ne di utente admin.
Perche' mi dice allora che i privilegi non sono sufficenti nel secondo caso?
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] replica con la nuova configurazione di slapd.

[Mauro]

2011/2/7 Mauro :
> 2011/2/7 Francesco Malvezzi :
>> Il 07/02/2011 13:12, Mauro ha scritto:
>>> Salve.
>>> Come forse qualcuno sa e' stata rilasciata la nuova debian stable.
>>> Ho fatto l'upgrade del sistema e mi ritrovo con la configurazione del
>>> nuovo slapd completamente differente da quella che era prima.
>>
>> scusa, ci puoi dire che versione di openldap c'e' in squeeze (debian
>> 6.0) e se usa slapd.conf o slapd.d?
>>
>> Se nel secondo caso ti mando un esempio ldif
>>
>> dn: olcDatabase={1}hdb,cn=config
>> changetype: modify
>> replace: olcSyncRepl
>> olcSyncRepl: rid=003 provider=ldap://ldap2.test.it
>>  binddn="cn=domainz,dc=test,dc=it"  bindmethod=simple credentials="segreto"
>>  searchbase="ou=people,dc=test,dc=it" type=refreshAndPersist
>>  interval=00:00:01:00 retry="5 5 30 +" timeout=1 scope=sub
>> schemachecking=on
>>  sizelimit=5 timelimit=7200 starttls=yes
>>  filter="ou=dipendenti"
>
> ldapadd -D cn=admin,dc=example,dc=com -f syncrepl.ldif -x -W
>
> nel file syncrepl.ldif sono contenute le intruzioni che mi hai
> indicato ovviamente modificate.
> Mi dice:
>
> invalid format (line 5) entry: "olcDatabase={1}hdb,cn=config"

Scusa errore mio, non ho identato le linee a partire da binddn.
Pero' ho un altro problema, nonostante abbia dato una password al
cn=admin in fase di configurazione quando il comando
ldapadd -D cn=admin,dc=example,dc=com -f syncrepl.ldif -x -W mi chiede
la password, che inserisco correttamente, mi risponde con un
"Insufficient access (50)".
Ricordo tempo fa che avevo gia' avuto lo stesso problema dovendo
inserire dei nuovi schema
Avevo risolto facendo:
ldapadd -Y EXTERNAL -H ldapi:/// -f
ldif_out/cn\=config/cn\=schema/cn\=\{4\}phamm.ldif preso da qualche
documento che avevo visto in rete che ho copiato cosi' come l'ho
trovato e di cui non conosco il significato dei parametri -Y EXTERNAL
e -H ldapi.
Non capisco perche' non mi vengono accettate le credenziali come cn=admin.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] replica con la nuova configurazione di slapd.

[Mauro]

2011/2/7 Francesco Malvezzi :
> Il 07/02/2011 13:12, Mauro ha scritto:
>> Salve.
>> Come forse qualcuno sa e' stata rilasciata la nuova debian stable.
>> Ho fatto l'upgrade del sistema e mi ritrovo con la configurazione del
>> nuovo slapd completamente differente da quella che era prima.
>
> scusa, ci puoi dire che versione di openldap c'e' in squeeze (debian
> 6.0) e se usa slapd.conf o slapd.d?
>
> Se nel secondo caso ti mando un esempio ldif
>
> dn: olcDatabase={1}hdb,cn=config
> changetype: modify
> replace: olcSyncRepl
> olcSyncRepl: rid=003 provider=ldap://ldap2.test.it
>  binddn="cn=domainz,dc=test,dc=it"  bindmethod=simple credentials="segreto"
>  searchbase="ou=people,dc=test,dc=it" type=refreshAndPersist
>  interval=00:00:01:00 retry="5 5 30 +" timeout=1 scope=sub
> schemachecking=on
>  sizelimit=5 timelimit=7200 starttls=yes
>  filter="ou=dipendenti"

ldapadd -D cn=admin,dc=example,dc=com -f syncrepl.ldif -x -W

nel file syncrepl.ldif sono contenute le intruzioni che mi hai
indicato ovviamente modificate.
Mi dice:

invalid format (line 5) entry: "olcDatabase={1}hdb,cn=config"

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] replica con la nuova configurazione di slapd.

[Mauro]

2011/2/7 Mirko ML :
> Il 07/02/2011 13:12, Mauro ha scritto:
>> Salve.
>> Come forse qualcuno sa e' stata rilasciata la nuova debian stable.
>> Ho fatto l'upgrade del sistema e mi ritrovo con la configurazione del
>> nuovo slapd completamente differente da quella che era prima.
>> Con non poche difficolta' sono riuscito ad importare gli schema files
>> che usavo ma adesso non riesco a configurarlo per usarlo con replica
>> cosi' come funzionava prima.
>> Nel vecchio slapd.conf avevo:
> Di fatto puoi decidere di usare il vecchio modo del file slapd.conf,
> basta modificare il file /etc/default/slapd alla riga
> SLAPD_CONF="/etc/ldap/slapd.conf"

Posso aggettivare come pessima questa scelta di cambiare in modo cosi'
drastico la configurazione?
Non ci capisco niente, trovavo enormemente piu' semplice avere un solo
slapd.conf.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] replica con la nuova configurazione di slapd.

[Mauro]

2011/2/7 Mirko ML :
> Il 07/02/2011 13:12, Mauro ha scritto:
>> Salve.
>> Come forse qualcuno sa e' stata rilasciata la nuova debian stable.
>> Ho fatto l'upgrade del sistema e mi ritrovo con la configurazione del
>> nuovo slapd completamente differente da quella che era prima.
>> Con non poche difficolta' sono riuscito ad importare gli schema files
>> che usavo ma adesso non riesco a configurarlo per usarlo con replica
>> cosi' come funzionava prima.
>> Nel vecchio slapd.conf avevo:
> Di fatto puoi decidere di usare il vecchio modo del file slapd.conf,
> basta modificare il file /etc/default/slapd alla riga
> SLAPD_CONF="/etc/ldap/slapd.conf"

Magari prima o poi diventera' deprecata e non piu supportata la
vecchia configurazione, tantovale abituarmici subito alla nuova.
>
> --
> Ciao
> Mirko
>
> ___
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap
>
>
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] replica con la nuova configurazione di slapd.

[Mauro]

2011/2/7 Francesco Malvezzi :
> Il 07/02/2011 13:12, Mauro ha scritto:
>> Salve.
>> Come forse qualcuno sa e' stata rilasciata la nuova debian stable.
>> Ho fatto l'upgrade del sistema e mi ritrovo con la configurazione del
>> nuovo slapd completamente differente da quella che era prima.
>
> scusa, ci puoi dire che versione di openldap c'e' in squeeze (debian
> 6.0) e se usa slapd.conf o slapd.d?

versione 2.4.23, usa slapd.d

>
> Se nel secondo caso ti mando un esempio ldif
>
> dn: olcDatabase={1}hdb,cn=config
> changetype: modify
> replace: olcSyncRepl
> olcSyncRepl: rid=003 provider=ldap://ldap2.test.it
>  binddn="cn=domainz,dc=test,dc=it"  bindmethod=simple credentials="segreto"
>  searchbase="ou=people,dc=test,dc=it" type=refreshAndPersist
>  interval=00:00:01:00 retry="5 5 30 +" timeout=1 scope=sub
> schemachecking=on
>  sizelimit=5 timelimit=7200 starttls=yes
>  filter="ou=dipendenti"
>
> che dovrai aggiungere al db di replica con un ldapmodify che ha come
> binddn un amministratore per il db cn=config

Provo, speriamo di riuscire, certo che debian poteva mettere della
documentazione visto che la nuova configurazione di slapd e'
completamente diversa.
Grazie.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] replica con la nuova configurazione di slapd.

[Mauro]

Salve.
Come forse qualcuno sa e' stata rilasciata la nuova debian stable.
Ho fatto l'upgrade del sistema e mi ritrovo con la configurazione del
nuovo slapd completamente differente da quella che era prima.
Con non poche difficolta' sono riuscito ad importare gli schema files
che usavo ma adesso non riesco a configurarlo per usarlo con replica
cosi' come funzionava prima.
Nel vecchio slapd.conf avevo:

index   objectClass,entryCSN,entryUUID eq

overlay syncprov
syncprov-checkpoint 100 10
syncprov-sessionlog 100

syncreplrid=001
provider=ldap://192.168.4.7:389
type=refreshAndPersist
retry="60 10 300 +"
searchbase="dc=example,dc=com"
bindmethod=simple
binddn="cn=replicant,dc=example,dc=com"
credentials=xx

non so come riportarle nella nuova configurazione di slapd.
Nelle doc non riesco a trovare niente di utile.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] slapd 2.4 cambio totale della configurazione.

[Mauro]

2010/10/4 Luca Scamoni :
> La configurazione non è stata affatto stravolta. Funziona esattamente come
> prima.
> Quello a cui ti riferisci è la possibilità di usare una configurazione ldif
> based che non è però obbligatoria
> basta fare un man slapd per scoprirlo

Allora il mio man o e' obsoleto o e' insufficente poiche' non riporta
niente al riguardo.
Comunque se volessi aggiungere un .ldiff, derivato dalla conversione di .schema?

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] slapd 2.4 cambio totale della configurazione.

[Mauro]

2010/10/4 Francesco Malvezzi :
> Il 04/10/2010 12:02, Mauro ha scritto:
>> 2010/10/4 Luca Scamoni :
>>> La configurazione non è stata affatto stravolta. Funziona esattamente come
>>> prima.
>>> Quello a cui ti riferisci è la possibilità di usare una configurazione ldif
>>> based che non è però obbligatoria
>>> basta fare un man slapd per scoprirlo
>>
>> Allora il mio man o e' obsoleto o e' insufficente poiche' non riporta
>> niente al riguardo.
>> Comunque se volessi aggiungere un .ldiff, derivato dalla conversione di 
>> .schema?
>
> se la domanda e' come fare a creare lo ldif per un certo schema la
> risposta e' a:
>
> http://help.ubuntu-it.org/9.04/ubuntu/serverguide/it/openldap-server.html

Si lo avevo gia' trovato, il fatto e' che per -D cn=admin,cn=config
non accetta la password che ho dato in fase di configurazione.
Posso entrare con -D cn=admin,dc=mydomani,dc=it ma in questo caso non
mi permette di fare nessuna modifica.
>
> al paragrafo che inizia per "Aggiungere schemas aggiuntivi a slapd"
>
> Se invece la domanda e' come fare ad aggiungerlo, Luca ha gia' risposto.
>
> Ciao,
>
> Francesco
>
> ___
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap
>
>

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] slapd 2.4 cambio totale della configurazione.

[Mauro]

Sto usando openLDAP, sotto linux il server e' slapd e l'ultima
versione e' la 2.4.x.
Ho visto che la configurazione e' stata completamente stravolta con
mio grande piacere.
Adesso devo perdere un po di tempo, come se ne avessi da buttare, per
capire come funziona il tutto.
Tanto per cominciare ho capito che devo convertire tutti gli .schema
files in .ldif.
Ci sono degli esempi spero di riuscire ma, una volta effettuata la
conversione in che modo vanno aggiunti ulteriori .schema, ovvero
.ldiff, files?
Questo ancora non l'ho capito.
Va usato ldapmodify o basta aggiungerli a mano all'interno del file cn\=schema?
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

On 23/05/2010, Luca Scamoni  wrote:
> Il 23/05/2010 12:20, Mauro ha scritto:
>> On 21/05/2010, Mirko ML  wrote:
>>
>>> Il 21/05/2010 12:31, Mauro ha scritto:
>>> [...]
>>>
>>>> e invece non funziona:
>>>> ldapmodify -x -e manageDIT -D cn=admin,dc=miodominio,dc=it -x -W -f
>>>> virtual
>>>>
>>>>
>>>> modifying entry "uid=xxx,ou=People,dc=miodominio,dc=it"
>>>> ldap_modify: Cannot modify object class (69)
>>>> additional info: structural object class modification from
>>>> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>>>>
>>>> Credo che non mi resti altro da fare che cancellare tutti gli account
>>>> e riinserirli ex-novo con le objectClass aggiuntive.
>>>> Bella roba :-(
>>>>
>>> direi che se necessiti di una mano dire semplicemente non funziona non
>>> aiuta nessuno.
>>> Se avessi dei log non sarebbe male..
>>>
>> Nel log risulta l'errore che ho indicato, nient'altro.
>>
> Questo non è il log di slapd. E' l'output del client. Forse per capire
> cosa succede sarebbe meglio mettere il log di slapd ad almeno stats +acl

ldapmodify -x -e manageDIT -D cn=admin,dc=miodominio,dc=it -x -W -f virtual


slapd[8806]: conn=35 fd=29 ACCEPT from IP=127.0.0.1:38521 (IP=0.0.0.0:389)
May 24 09:56:32 proxy slapd[8806]: conn=35 op=0 BIND
dn="cn=admin,dc=miodominio,dc=it" method=128
May 24 09:56:32 proxy slapd[8806]: conn=35 op=0 BIND
dn="cn=admin,dc=miodominio,dc=it" mech=SIMPLE ssf=0
May 24 09:56:32 proxy slapd[8806]: conn=35 op=0 RESULT tag=97 err=0 text=
May 24 09:56:32 proxy slapd[8806]: conn=35 op=1 MOD
dn="uid=xxx,ou=People,dc=miodominio,dc=it"
May 24 09:56:32 proxy slapd[8806]: conn=35 op=1 MOD attr=objectClass
objectClass objectClass vdHome mailbox accountActive delete lastChange
forwardActive vacationActive
May 24 09:56:32 proxy slapd[8806]: entry failed schema check:
structural object class modification from 'inetOrgPerson' to
'VirtualMailAccount' not allowed
May 24 09:56:32 proxy slapd[8806]: conn=35 op=1 RESULT tag=103 err=69
text=structural object class modification from 'inetOrgPerson' to
'VirtualMailAccount' not allowed
May 24 09:56:32 proxy slapd[8806]: conn=35 op=2 UNBIND
May 24 09:56:32 proxy slapd[8806]: conn=35 fd=29 closed

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

On 21/05/2010, Luca Scamoni  wrote:
> Il 21/05/2010 12:31, Mauro ha scritto:
>> 2010/5/20 Luca Scamoni :
>>
>>> Il 19/05/2010 16:24, Mauro ha scritto:
>>>
>>> 2010/5/18 Mauro :
>>>
>>>
>>> On 18 May 2010 14:08, Luca Scamoni  wrote:
>>>
>>>
>>> Il 18/05/2010 13:52, Mauro ha scritto:
>>>
>>> 2010/5/18 Luca Scamoni :
>>>
>>>
>>> Si ma quello che non capisco e':
>>> se per usare VirtualMailAccount e' richiesta anche inetOrgPerson
>>> altrimenti mi dice "missing superior class" perche' mi da errore.
>>> Perche' non me lo fa fare se lui stesso richiede inetOrgPerson.
>>>
>>>
>>> Allora:
>>> ldapmodify -M -D cn=admin,dc=miodominioi,dc=it -x -W -f virtual
>>>
>>> l'opzione -M abilita il manage DSAit control.
>>> Il file virtual e':
>>> dn: uid=xxx,ou=People,dc=miodominio,dc=it
>>> changetype: modify
>>> add: objectClass
>>> objectClass: VirtualMailAccount
>>> -
>>> add: objectClass
>>> objectClass: VirtualForward
>>> -
>>> add: vdHome
>>> vdHome: /var/vmail/xxx
>>> -
>>> add: mailbox
>>> mailbox: /var/vmail/xxx/Maildir
>>> -
>>> add: accountActive
>>> accountActive: TRUE
>>> -
>>> add: delete
>>> delete: FALSE
>>> -
>>> add: lastChange
>>> lastChange: 1274173200
>>> -
>>> add: forwardActive
>>> forwardActive: FALSE
>>>
>>> questa volta ho abilitato il manage DSAit con l'opzione -M ma:
>>>
>>> ldap_modify: Cannot modify object class (69)
>>> additional info: structural object class modification from
>>> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>>>
>>> boh :-(
>>>
>>>
>>>
>>> ldapmodify -x -e manageDIT -D cn=admin,dc=miodominioi,dc=it -x -W -f
>>> virtual
>>>
>>> e funziona
>>>
>> e invece non funziona:
>> ldapmodify -x -e manageDIT -D cn=admin,dc=miodominio,dc=it -x -W -f
>> virtual
>>
>>
>> modifying entry "uid=xxx,ou=People,dc=miodominio,dc=it"
>> ldap_modify: Cannot modify object class (69)
>> additional info: structural object class modification from
>> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>>
>> Credo che non mi resti altro da fare che cancellare tutti gli account
>> e riinserirli ex-novo con le objectClass aggiuntive.
>> Bella roba :-(
>>
> A questo punto non so che dire. Io ho fatto la prova con openldap 2.4.17
> (la più vecchia versione che ho) e funziona perfettamente se usi il
> rootdn per fare l'operazione

Io uso slapd 2.4.11, distribuito con debian stable, e' probabile che
questa versione non supporti l'estensione?

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

On 21/05/2010, Mirko ML  wrote:
> Il 21/05/2010 12:31, Mauro ha scritto:
> [...]
>> e invece non funziona:
>> ldapmodify -x -e manageDIT -D cn=admin,dc=miodominio,dc=it -x -W -f
>> virtual
>>
>>
>> modifying entry "uid=xxx,ou=People,dc=miodominio,dc=it"
>> ldap_modify: Cannot modify object class (69)
>> additional info: structural object class modification from
>> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>>
>> Credo che non mi resti altro da fare che cancellare tutti gli account
>> e riinserirli ex-novo con le objectClass aggiuntive.
>> Bella roba :-(
> direi che se necessiti di una mano dire semplicemente non funziona non
> aiuta nessuno.
> Se avessi dei log non sarebbe male..

Nel log risulta l'errore che ho indicato, nient'altro.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/20 Luca Scamoni :
> Il 19/05/2010 16:24, Mauro ha scritto:
>
> 2010/5/18 Mauro :
>
>
> On 18 May 2010 14:08, Luca Scamoni  wrote:
>
>
> Il 18/05/2010 13:52, Mauro ha scritto:
>
> 2010/5/18 Luca Scamoni :
>
>
> Si ma quello che non capisco e':
> se per usare VirtualMailAccount e' richiesta anche inetOrgPerson
> altrimenti mi dice "missing superior class" perche' mi da errore.
> Perche' non me lo fa fare se lui stesso richiede inetOrgPerson.
>
>
> Allora:
> ldapmodify -M -D cn=admin,dc=miodominioi,dc=it -x -W -f virtual
>
> l'opzione -M abilita il manage DSAit control.
> Il file virtual e':
> dn: uid=xxx,ou=People,dc=miodominio,dc=it
> changetype: modify
> add: objectClass
> objectClass: VirtualMailAccount
> -
> add: objectClass
> objectClass: VirtualForward
> -
> add: vdHome
> vdHome: /var/vmail/xxx
> -
> add: mailbox
> mailbox: /var/vmail/xxx/Maildir
> -
> add: accountActive
> accountActive: TRUE
> -
> add: delete
> delete: FALSE
> -
> add: lastChange
> lastChange: 1274173200
> -
> add: forwardActive
> forwardActive: FALSE
>
> questa volta ho abilitato il manage DSAit con l'opzione -M ma:
>
> ldap_modify: Cannot modify object class (69)
>   additional info: structural object class modification from
> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>
> boh :-(
>
>
>
> ldapmodify -x -e manageDIT -D cn=admin,dc=miodominioi,dc=it -x -W -f virtual
>
> e funziona

e invece non funziona:
ldapmodify -x -e manageDIT -D cn=admin,dc=miodominio,dc=it -x -W -f virtual


modifying entry "uid=xxx,ou=People,dc=miodominio,dc=it"
ldap_modify: Cannot modify object class (69)
additional info: structural object class modification from
'inetOrgPerson' to 'VirtualMailAccount' not allowed

Credo che non mi resti altro da fare che cancellare tutti gli account
e riinserirli ex-novo con le objectClass aggiuntive.
Bella roba :-(
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/18 Mauro :
> On 18 May 2010 14:08, Luca Scamoni  wrote:
>> Il 18/05/2010 13:52, Mauro ha scritto:
>>
>> 2010/5/18 Luca Scamoni :
>>
>>
>> Si ma quello che non capisco e':
>> se per usare VirtualMailAccount e' richiesta anche inetOrgPerson
>> altrimenti mi dice "missing superior class" perche' mi da errore.
>> Perche' non me lo fa fare se lui stesso richiede inetOrgPerson.

Allora:
ldapmodify -M -D cn=admin,dc=miodominioi,dc=it -x -W -f virtual

l'opzione -M abilita il manage DSAit control.
Il file virtual e':
dn: uid=xxx,ou=People,dc=miodominio,dc=it
changetype: modify
add: objectClass
objectClass: VirtualMailAccount
-
add: objectClass
objectClass: VirtualForward
-
add: vdHome
vdHome: /var/vmail/xxx
-
add: mailbox
mailbox: /var/vmail/xxx/Maildir
-
add: accountActive
accountActive: TRUE
-
add: delete
delete: FALSE
-
add: lastChange
lastChange: 1274173200
-
add: forwardActive
forwardActive: FALSE

questa volta ho abilitato il manage DSAit con l'opzione -M ma:

ldap_modify: Cannot modify object class (69)
additional info: structural object class modification from
'inetOrgPerson' to 'VirtualMailAccount' not allowed

boh :-(
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/18 Mauro :
> On 18 May 2010 14:08, Luca Scamoni  wrote:
>> Il 18/05/2010 13:52, Mauro ha scritto:
>>
>> 2010/5/18 Luca Scamoni :
>>
>>
>> Si ma quello che non capisco e':
>> se per usare VirtualMailAccount e' richiesta anche inetOrgPerson
>> altrimenti mi dice "missing superior class" perche' mi da errore.
>> Perche' non me lo fa fare se lui stesso richiede inetOrgPerson.
>>
>>
>>
>> ??
>>
>>
>> Questo e' ldif:
>>
>> dn: uid=xxx,ou=People,dc=miodominio,dc=it
>> gidNumber: 1004
>> cn: xxx
>> homeDirectory: /var/vmail/xxx
>> employeeNumber: 111
>> uid: mauro.test
>> mail: x...@miodominio.it
>> sn: xxx
>> description: prova
>> uidNumber: 1004
>> objectClass: top
>> objectClass: person
>> objectClass: organizationalPerson
>> objectClass: inetOrgPerson
>> objectClass: posixAccount
>> employeeType: prova
>>
>> Se tento di aggiungere la objectClass VirtualMailAccount mi dice:
>>
>> ldap_modify: Cannot modify object class (69)
>>       additional info: structural object class modification from
>> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>>
>>
>>
>> Mi sembra che ci sia una bella differenza tra il messaggio qui sopra e
>> quello che hai scritto prima.
>> Non vedo nessun "missing superior class" in questo errore...
>
> Nel senso che come ulteriore prova ho cercato di sostituire
> inetOrgPerson con VirtualMailAccount ed e' saltato fuori l'errore:
> "missing superior class".
> Che trovo giusto poiche' nel file schema leggo:
>
> objectclass ( 1.3.6.1.4.1.22339.1.2.1 NAME 'VirtualMailAccount'
>        SUP inetOrgPerson STRUCTURAL

continuo a sbagliare io? continuo a non capire?

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

On 18 May 2010 14:08, Luca Scamoni  wrote:
> Il 18/05/2010 13:52, Mauro ha scritto:
>
> 2010/5/18 Luca Scamoni :
>
>
> Si ma quello che non capisco e':
> se per usare VirtualMailAccount e' richiesta anche inetOrgPerson
> altrimenti mi dice "missing superior class" perche' mi da errore.
> Perche' non me lo fa fare se lui stesso richiede inetOrgPerson.
>
>
>
> ??
>
>
> Questo e' ldif:
>
> dn: uid=xxx,ou=People,dc=miodominio,dc=it
> gidNumber: 1004
> cn: xxx
> homeDirectory: /var/vmail/xxx
> employeeNumber: 111
> uid: mauro.test
> mail: x...@miodominio.it
> sn: xxx
> description: prova
> uidNumber: 1004
> objectClass: top
> objectClass: person
> objectClass: organizationalPerson
> objectClass: inetOrgPerson
> objectClass: posixAccount
> employeeType: prova
>
> Se tento di aggiungere la objectClass VirtualMailAccount mi dice:
>
> ldap_modify: Cannot modify object class (69)
>   additional info: structural object class modification from
> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>
>
>
> Mi sembra che ci sia una bella differenza tra il messaggio qui sopra e
> quello che hai scritto prima.
> Non vedo nessun "missing superior class" in questo errore...

Nel senso che come ulteriore prova ho cercato di sostituire
inetOrgPerson con VirtualMailAccount ed e' saltato fuori l'errore:
"missing superior class".
Che trovo giusto poiche' nel file schema leggo:

objectclass ( 1.3.6.1.4.1.22339.1.2.1 NAME 'VirtualMailAccount'
SUP inetOrgPerson STRUCTURAL
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/18 Luca Scamoni :
> Il 18/05/2010 10:24, Mauro ha scritto:
>
> 2010/5/18 Luca Scamoni :
>
>
>
> ESATTO. DEVI utilizzare l'estensione manageDSAit. Non capisco però che
> problemi ti fai a utilizzarla.
> L'estensione è solo un modo per dire a slapd: "guarda che sto facendo una
> cosa che tu non vuoi farmi fare, ma io la faccio lo stesso perchè so quello
> che sto facendo"
>
>
> Si ma quello che non capisco e':
> se per usare VirtualMailAccount e' richiesta anche inetOrgPerson
> altrimenti mi dice "missing superior class" perche' mi da errore.
> Perche' non me lo fa fare se lui stesso richiede inetOrgPerson.
>
>
>
> ??

Questo e' ldif:

dn: uid=xxx,ou=People,dc=miodominio,dc=it
gidNumber: 1004
cn: xxx
homeDirectory: /var/vmail/xxx
employeeNumber: 111
uid: mauro.test
mail: x...@miodominio.it
sn: xxx
description: prova
uidNumber: 1004
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
employeeType: prova

Se tento di aggiungere la objectClass VirtualMailAccount mi dice:

ldap_modify: Cannot modify object class (69)
additional info: structural object class modification from
'inetOrgPerson' to 'VirtualMailAccount' not allowed

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/18 Luca Scamoni :
> Il 18/05/2010 10:24, Mauro ha scritto:
>
> 2010/5/18 Luca Scamoni :
>
>
>
> ESATTO. DEVI utilizzare l'estensione manageDSAit. Non capisco però che
> problemi ti fai a utilizzarla.
> L'estensione è solo un modo per dire a slapd: "guarda che sto facendo una
> cosa che tu non vuoi farmi fare, ma io la faccio lo stesso perchè so quello
> che sto facendo"
>
>
> Si ma quello che non capisco e':
> se per usare VirtualMailAccount e' richiesta anche inetOrgPerson
> altrimenti mi dice "missing superior class" perche' mi da errore.
> Perche' non me lo fa fare se lui stesso richiede inetOrgPerson.
>
>
>
> ??

Cosa non ti e' chiaro.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/18 Luca Scamoni :

> ESATTO. DEVI utilizzare l'estensione manageDSAit. Non capisco però che
> problemi ti fai a utilizzarla.
> L'estensione è solo un modo per dire a slapd: "guarda che sto facendo una
> cosa che tu non vuoi farmi fare, ma io la faccio lo stesso perchè so quello
> che sto facendo"

Si ma quello che non capisco e':
se per usare VirtualMailAccount e' richiesta anche inetOrgPerson
altrimenti mi dice "missing superior class" perche' mi da errore.
Perche' non me lo fa fare se lui stesso richiede inetOrgPerson.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/18 Luca Scamoni :
> Il 17/05/2010 20:37, Mauro ha scritto:
>
> 2010/5/17 Luca Scamoni :
>
>
> Il 17/05/2010 14:03, Mauro ha scritto:
>
> 2010/5/17 Luca Scamoni :
>
>
> Il 16/05/2010 21:02, Mauro ha scritto:
>
> 2010/5/16 Mirko ML :
>
>
> Il 15/05/2010 14:26, Mauro ha scritto:
>
>
> Ho pensato di utilizzare VirtualMailAccount solo per sfruttare
> l'attributo accountActive ma visto che mi comporta tutti questi
> problemi mi sa che mi faccio uno schema custom inserendo gli attributi
> che mi servono.
>
>
> Se secondo te la soluzione migliore è questa ben venga :)
>
>
> Beh non saprei che altro fare poiche' inetOrgPerson ha degli attributi
> che sto utilizzando, mentre non ha altri attributi, vedi
> accountActive, che mi servono e che ha VirtualMailAccount.
>
>
> E quindi non capisco che problema ci sia a modificare le entries aggiungendo
> VirtualMailAccount...
>
>
>
> Allora, a me serve, ad esempio l'attributo employeeNumber, che trovo
> in inetOrgPerson.
> Aggiungo inetOrgPerson ed e' ok.
> Poi mi serve anche l'attributo accountActive che trovo in
> VirtualMailAccount.
> Aggiungo VirtualMailAccount ed ottengo l'errore che avevo postato
> all'inizio di questo thread.
> Quindi o uso inetOrgPerson oppure VirtualMailAccount e in questo caso
> devo rinunciare ad utilizzare l'attributo employeeNumber oppure
> accountActive.
>
>
>
> NO
> il fatto che ti dia errore non vuol dire che devi usare uno O l'altro: vuol
> dire che devi fare l'operazione giusta.
>
>
> L'operazione giusta dovrebbe essere quella di aggiungere la
> objectClass VirtualMailAccount a tutte le altre gia' presenti
> valorizzando gli attributi che sono obbligatori.
>
>
>
> Dato che non dici come fai a fare questa operazione (ne' quale versione di
> OpenLDAP adoperi) posso solo supporre che tu stia usando un qualche inutile
> tool grafico di gestione ldap
> Utilizzando i tool da linea di comando l'operazione è banale
>
>
> Utilizzo gq, un tool grafico in ambiente linux, come server openLDAP
> utilizzo slapd versione 2.4.11.
> Quindi pensi che il problema derivi da dei capricci di gq.
> Ora provo ad aggiungere la objectClass VirtualMailAccount valorizzando
> gli attributi obbligatori con ldapmodify.
>
>
>
> L'operazione giusta è quella di aggiungere l'objectClass VirtualMailAccount.
> Tutte le altre sono "ereditate" e quindi non occorre specificarle
> GQ era un bel progetto. Peccato che non sia mai stato aggiornato. Detto
> questo, usalo per fare browsing. Per il resto del sano scripting è meglio.
> Anche perchè molte possibilità che ti danno i tool di openldap in GQ non
> sono implementate (controlli, feature estese, ecc.)
> Ti do un hint: man ldapsearch cerca manageDSAit. Non è indicato nella
> manpage di ldapmodify ma funziona anche lì

Scusami ma devo essere rintronato.
Io ho gia' inetOrgPerson, se provo a sostituire VirtualMailAccount con
inetOrgPerson mi dice che manca la classe superiore, appunto
inetOrgOPerson.
Lascio inetOrgPerson.
Se aggiungo VirtualMailAccount valorizzando gli attributi obbligatori, come qui:

dn: uid=mauro,ou=People,dc=miodominio,dc=it
changetype: modify
add: objectClass
objectClass: VirtualMailAccount
-
add: vdHome
vdHome: /var/vmail/mauro
-
add: mailbox
mailbox: /var/vmail/mauro/Maildir
-
add: accountActive
accountActive: TRUE
-
add: delete
delete: FALSE
-
add: lastChange
lastChange: 1274173200

e poi faccio un ldapmodify -D cn=admin,dc=miodominio,dc=it -x -W -f file
mi dice:
ldap_modify: Cannot modify object class (69)
additional info: structural object class modification from
'inetOrgPerson' to 'VirtualMailAccount' not allowed

Non so piu' che fare.
Insomma non posso usare VirtualMailAccount se non con l'estensione che
hai detto?

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/17 Luca Scamoni :
> Il 17/05/2010 14:03, Mauro ha scritto:
>
> 2010/5/17 Luca Scamoni :
>
>
> Il 16/05/2010 21:02, Mauro ha scritto:
>
> 2010/5/16 Mirko ML :
>
>
> Il 15/05/2010 14:26, Mauro ha scritto:
>
>
> Ho pensato di utilizzare VirtualMailAccount solo per sfruttare
> l'attributo accountActive ma visto che mi comporta tutti questi
> problemi mi sa che mi faccio uno schema custom inserendo gli attributi
> che mi servono.
>
>
> Se secondo te la soluzione migliore è questa ben venga :)
>
>
> Beh non saprei che altro fare poiche' inetOrgPerson ha degli attributi
> che sto utilizzando, mentre non ha altri attributi, vedi
> accountActive, che mi servono e che ha VirtualMailAccount.
>
>
> E quindi non capisco che problema ci sia a modificare le entries aggiungendo
> VirtualMailAccount...
>
>
>
> Allora, a me serve, ad esempio l'attributo employeeNumber, che trovo
> in inetOrgPerson.
> Aggiungo inetOrgPerson ed e' ok.
> Poi mi serve anche l'attributo accountActive che trovo in
> VirtualMailAccount.
> Aggiungo VirtualMailAccount ed ottengo l'errore che avevo postato
> all'inizio di questo thread.
> Quindi o uso inetOrgPerson oppure VirtualMailAccount e in questo caso
> devo rinunciare ad utilizzare l'attributo employeeNumber oppure
> accountActive.
>
>
>
> NO
> il fatto che ti dia errore non vuol dire che devi usare uno O l'altro: vuol
> dire che devi fare l'operazione giusta.

L'operazione giusta dovrebbe essere quella di aggiungere la
objectClass VirtualMailAccount a tutte le altre gia' presenti
valorizzando gli attributi che sono obbligatori.

> Dato che non dici come fai a fare questa operazione (ne' quale versione di
> OpenLDAP adoperi) posso solo supporre che tu stia usando un qualche inutile
> tool grafico di gestione ldap
> Utilizzando i tool da linea di comando l'operazione è banale

Utilizzo gq, un tool grafico in ambiente linux, come server openLDAP
utilizzo slapd versione 2.4.11.
Quindi pensi che il problema derivi da dei capricci di gq.
Ora provo ad aggiungere la objectClass VirtualMailAccount valorizzando
gli attributi obbligatori con ldapmodify.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/17 Luca Scamoni :
> Il 16/05/2010 21:02, Mauro ha scritto:
>
> 2010/5/16 Mirko ML :
>
>
> Il 15/05/2010 14:26, Mauro ha scritto:
>
>
> Ho pensato di utilizzare VirtualMailAccount solo per sfruttare
> l'attributo accountActive ma visto che mi comporta tutti questi
> problemi mi sa che mi faccio uno schema custom inserendo gli attributi
> che mi servono.
>
>
> Se secondo te la soluzione migliore è questa ben venga :)
>
>
> Beh non saprei che altro fare poiche' inetOrgPerson ha degli attributi
> che sto utilizzando, mentre non ha altri attributi, vedi
> accountActive, che mi servono e che ha VirtualMailAccount.
>
>
> E quindi non capisco che problema ci sia a modificare le entries aggiungendo
> VirtualMailAccount...
>
Allora, a me serve, ad esempio l'attributo employeeNumber, che trovo
in inetOrgPerson.
Aggiungo inetOrgPerson ed e' ok.
Poi mi serve anche l'attributo accountActive che trovo in VirtualMailAccount.
Aggiungo VirtualMailAccount ed ottengo l'errore che avevo postato
all'inizio di questo thread.
Quindi o uso inetOrgPerson oppure VirtualMailAccount e in questo caso
devo rinunciare ad utilizzare l'attributo employeeNumber oppure
accountActive.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/16 Mirko ML :
> Il 15/05/2010 14:26, Mauro ha scritto:
>> Ho pensato di utilizzare VirtualMailAccount solo per sfruttare
>> l'attributo accountActive ma visto che mi comporta tutti questi
>> problemi mi sa che mi faccio uno schema custom inserendo gli attributi
>> che mi servono.
>
> Se secondo te la soluzione migliore è questa ben venga :)

Beh non saprei che altro fare poiche' inetOrgPerson ha degli attributi
che sto utilizzando, mentre non ha altri attributi, vedi
accountActive, che mi servono e che ha VirtualMailAccount.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/14 Luca Scamoni :
> Il 14/05/2010 14:16, Mauro ha scritto:
>
> 2010/5/14 Luca Scamoni :
>
>
> Il 14/05/2010 13:39, Mirko ML ha scritto:
>
> Il 14/05/2010 13:32, Mauro ha scritto:
> [...]
>
>
> Appunto, allora perche' quell'errore?
> Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
> esserci per poter utilizzare VirtualMailAccount.
> Sbaglio?
>
>
> nella dichiarazione del dn non serve che metti come objectclass
> Inetorgperson, ma solo VirtualMailAccount
> un ldapsearch deve tornarti una cosa simile a quella dell'esempio della
> mail precedente e che trovi anche negli esempi di phamm
>
>
>
> L'errore non nasce dalla definizione dell'objectclass nello schema ma dal
> suo uso
> Nello schema posso mettere quante objectclass strutturali voglio ma per il
> directory importano solo quelle che effettivamente adopero
> Qui il problema è che nel directory esistono già degli oggetti con
> objectclass strutturale inetOrgPerson a cui si vuole aggiungere una nuova
> objectclass strutturale da essa derivata.
> Il problema non ce l'hai con gli oggeti creati ex-novo ma con quelli
> esistenti che vai a modificare. In questo caso l'operazione di ldapmodify
> fallisce perchè si cerca di modificare l'attributo structuralObjectClass e
> questo NON è permesso se non utilizzando l'estensione manageDSAit
>
>
> Puoi parlare piu' terra a terra?
> Le due objectClass le posso utilizzare assieme oppure no? Senza estensioni.
> Noto che entrambe definiscono l'attributo mail, che da me risulta
> valorizzato.
> E' questo il problema?
> Perdona la mia ignoranza.
>
>
>
> Confesso che più terra terra di così ho dei problemi...
> Dunque...
> nella definizione degli oggetti occorre UNA e UNA SOLA objectclass
> strutturale e un qualsivoglia numero di objectclass ausiliarie.
> Per la proprietà di ereditarietà un oggetto definito da una objectclass
> strutturale eredita tutte le caratteristiche delle objectclass padre.
> Ricordate che una objectclass strutturale "derivata" da un'altra può solo
> "aumentare" la objectclass padre.
> Virtualmailaccount è di per sè sufficiente a definire un oggetto perchè in
> realtà porta con se tutta la definizione dei suoi genitori.
> Se tu crei un oggetto nuovo e dici che la sua objectclass è
> virtualmailaccount non ci sono problemi.
> Se tu cerchi di modificare un oggetto esistente aggiungendo l'objectclass
> virtualmailaccount il DSA deve intervenire modificando l'attributo
> operazionale structuralobjectclass e questo NON è permesso, normalmente, per
> motivi di sicurezza. Per fargli accettare la modifica DEVI aggiungere
> all'operazione di ldapmodify l'estensione manageDSAit.

Ho pensato di utilizzare VirtualMailAccount solo per sfruttare
l'attributo accountActive ma visto che mi comporta tutti questi
problemi mi sa che mi faccio uno schema custom inserendo gli attributi
che mi servono.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/14 Luca Scamoni :
> Il 14/05/2010 13:39, Mirko ML ha scritto:
>
> Il 14/05/2010 13:32, Mauro ha scritto:
> [...]
>
>
> Appunto, allora perche' quell'errore?
> Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
> esserci per poter utilizzare VirtualMailAccount.
> Sbaglio?
>
>
> nella dichiarazione del dn non serve che metti come objectclass
> Inetorgperson, ma solo VirtualMailAccount
> un ldapsearch deve tornarti una cosa simile a quella dell'esempio della
> mail precedente e che trovi anche negli esempi di phamm
>
>
>
> L'errore non nasce dalla definizione dell'objectclass nello schema ma dal
> suo uso
> Nello schema posso mettere quante objectclass strutturali voglio ma per il
> directory importano solo quelle che effettivamente adopero
> Qui il problema è che nel directory esistono già degli oggetti con
> objectclass strutturale inetOrgPerson a cui si vuole aggiungere una nuova
> objectclass strutturale da essa derivata.
> Il problema non ce l'hai con gli oggeti creati ex-novo ma con quelli
> esistenti che vai a modificare. In questo caso l'operazione di ldapmodify
> fallisce perchè si cerca di modificare l'attributo structuralObjectClass e
> questo NON è permesso se non utilizzando l'estensione manageDSAit

Puoi parlare piu' terra a terra?
Le due objectClass le posso utilizzare assieme oppure no? Senza estensioni.
Noto che entrambe definiscono l'attributo mail, che da me risulta valorizzato.
E' questo il problema?
Perdona la mia ignoranza.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/14 Mirko ML :
> Il 14/05/2010 13:32, Mauro ha scritto:
> [...]
>> Appunto, allora perche' quell'errore?
>> Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
>> esserci per poter utilizzare VirtualMailAccount.
>> Sbaglio?
> nella dichiarazione del dn non serve che metti come objectclass
> Inetorgperson, ma solo VirtualMailAccount
> un ldapsearch deve tornarti una cosa simile a quella dell'esempio della
> mail precedente e che trovi anche negli esempi di phamm

Ma la inetOrgPerson contiene degli attributi che utilizzo e che
VirtualMailAccount non ha.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/14 Mirko ML :
> Il 14/05/2010 12:44, Mauro ha scritto:
>> Salve.
>> Ho vari accounts registrati su openldap, le objectClasses sono:
>>
>> top
>> person
>> organizationalPerson
>> inetOrgPerson
>>
>> alle quali ho aggiunto Vacation presa da phamm-vacation.schema.
>> Tutto funziona perfettamente.
>> Successivamente mi sono trovato nella necessita' di gestire un
>> ulteriore attributo: accountActive che ho trovato nella objectClass
>> VirtualMailAccount in phamm.schema.
>> Ho provato ad aggiungere questa objectClass, valorizzato tutti gli
>> attributi richiesti ma ottengo questo errore:
>>
>> entry failed schema check: structural object class modification from
>> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>>
>> Significa che non posso usare le objectClass inetOrgPerson e
>> VirtualMailAccount assieme?
>
> Puoi usarle senza alcun problema insieme.
>
> Considera comunque che la dichiarazione della objectclass
> VirtualMailAccount è la seguente:
>
> objectclass ( 1.3.6.1.4.1.22339.1.2.1 NAME 'VirtualMailAccount'
>        SUP inetOrgPerson STRUCTURAL
>
> che è stata pensata per "derivare" diversi attributi da Inetorgperson

Appunto, allora perche' quell'errore?
Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
esserci per poter utilizzare VirtualMailAccount.
Sbaglio?

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/14 Luca Scamoni :
> Non so come stai cercando di aggiungere la nuova objectclass ma, se
> virtualmailaccount è  STRUCTURAL ed è nella stessa catena gerarchica di
> inetOrgPerson, potrebbe essere necessario utilizzare l'estensione
> manageDSAit per consentire la modifica
> I constraint applicati sulle recenti versioni di openldap infatti
> impediscono le modifiche che potrebbero portare a una situazione
> inconsistente

Perdona non ho capito.
Semplicemente aggiungo la objectClass virtualmailaccount all'elenco di
quelle che gia' ho.
Riporto un frammento del file .schema:

objectclass ( 1.3.6.1.4.1.22339.1.2.1 NAME 'VirtualMailAccount'
SUP inetOrgPerson STRUCTURAL
DESC 'Mail account objects'
MUST ( mail $ vdHome $ mailbox $ accountActive $ lastChange $ delete )
MAY ( quota $ otherTransport $ editAccounts $ creationDate $
createMaildir $ smtpAuth $ expireDate $ mailAutoreply $
bypassGreyListing) )

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] cosa significa?

[Mauro]

Salve.
Ho vari accounts registrati su openldap, le objectClasses sono:

top
person
organizationalPerson
inetOrgPerson

alle quali ho aggiunto Vacation presa da phamm-vacation.schema.
Tutto funziona perfettamente.
Successivamente mi sono trovato nella necessita' di gestire un
ulteriore attributo: accountActive che ho trovato nella objectClass
VirtualMailAccount in phamm.schema.
Ho provato ad aggiungere questa objectClass, valorizzato tutti gli
attributi richiesti ma ottengo questo errore:

entry failed schema check: structural object class modification from
'inetOrgPerson' to 'VirtualMailAccount' not allowed

Significa che non posso usare le objectClass inetOrgPerson e
VirtualMailAccount assieme?
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] non riesco ancora a capire se.........

[Mauro Sanna]

.sia meglio usare LDAP oppure un normale dbms.
Attualmente utilizzo ldap per memorizzare gli account virtuali per un 
sistema di posta elettronica.
Se tali accounts li avessi messi in un dbms non sarebbe cambiato niente 
e, anzi, forse avrei meno difficolta' nel caso dovessi aggiungere un 
attributo, basta fare un alter table e aggiungere il campo che mi interessa.

Con ldap fare questo e' piu' complicato.
Scusate per l'ingenuita' della domanda.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] authentication aborted.

[Mauro Sanna]

Luca Scamoni wrote:

Mauro Sanna wrote:
  

Salve.
Ho un sistema di filtro siti web che gestisce le autenticazioni degli
utenti tramite ldap.
Funzionava fino a l'altro ieri, ora improvvisamente dopo un restart
del server ldap il client non riesce piu' ad autenticarsi.
Nei log l'unico messaggio d'errore che leggo e':

SASL [conn=34] Failure: realm changed: authentication aborted
Oct  8 08:50:12 proxy1 slapd[5777]: conn=34 op=5 RESULT tag=97 err=49
text=SASL(-13): authentication failure: realm changed: authentication
aborted.

cosa significa realm changed?


stai usando kerberos?

  

No niente kerberos.
Semplicemente un server ldap, per la precisione su una macchina linux 
uso slapd, e in un'altra macchina abbiamo websense che gestisce le 
autorizzazioni collegandosi al server ldap.
Ieri ho riavviato il server slapd e improvvisamente websense non si 
collega piu'.
Beninteso, potrebbe essere un problema di websense anche perche' se uso 
un client, tipo ldap browser, riesco a connettermi al server ldap e 
navigarci.



___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] authentication aborted.

[Mauro Sanna]

Salve.
Ho un sistema di filtro siti web che gestisce le autenticazioni degli 
utenti tramite ldap.
Funzionava fino a l'altro ieri, ora improvvisamente dopo un restart del 
server ldap il client non riesce piu' ad autenticarsi.

Nei log l'unico messaggio d'errore che leggo e':

SASL [conn=34] Failure: realm changed: authentication aborted
Oct  8 08:50:12 proxy1 slapd[5777]: conn=34 op=5 RESULT tag=97 err=49 
text=SASL(-13): authentication failure: realm changed: authentication 
aborted.


cosa significa realm changed?
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] syncrepl proxy.

[Mauro Sanna]

Pierangelo Masarati wrote:

Mauro Sanna wrote:


ldapwhoami -x -H ldap://localhost:9011/ \
-D "cn=replicant,dc=example,dc=com" -w 

Mi dice: ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Dai log non emergono ulteriori indicazioni :-(


Mi sembra che la risposta sia molto esplicativa: non c'e' nessuno in 
ascolto su quell'interfaccia (localhost) a quella porta (9011) su quel 
sistema.  A questo punto, dovresti mostrare come e' stato avviato lo 
slapd al quale stai cercando di collegarti (lo slave), in particolare 
l'opzione -h.
Perdona la mia ignoranza ma se per slave intendi il consumer proxy lo 
slapd e' uno.

Purtroppo nell'esempio oltre ai settaggi di slapd.conf non c'e' altro.
Cosi' ho copiato lo stesso settaggio personalizzandolo e poi ho lanciato 
l'eseguibile slapd senza nessun opzione.


___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] syncrepl proxy.

[Mauro Sanna]

Pierangelo Masarati wrote:

Mauro Sanna wrote:

La mia configurazione e' la seguente:
un master slapd, 192.168.4.7 il quale replica verso un altro server, 
192.168.4.248.
Impostando il nuovo sistema di replica con syncrepl sembra che 
funzioni tutto, le modifiche che vengono fatte sul 192.168.4.7 
vengono viste anche nel 192.168.4.248.
Dovrei replicare anche su un'altra macchina che sta in dmz e che fa 
da server per le autenticazioni di account mail.
Per risolvere il problema dmz->trust, sulla macchina 192.168.4.248 ho 
configurato, sullo stesso server slapd, un consumer proxy seguendo le 
istruzioni prese da 
<http://www.openldap.org/doc/admin24/replication.html#Syncrepl%20Proxy>, 
ovviamente personalizzando tutte le configurazioni.

Sembra non funzionare:
slap_client_connect: URI=ldap://localhost:9011/ 
DN="cn=replicant,dc=example,dc=com" ldap_sasl_bind_s failed (-1).

Suggerimenti?
Sono graditi suggerimenti anche sul tipo di configurazione tra le 
varie macchine.
Non ho considerato il mirroring e il multi master, penso che la 
semplice replicarezione possa essere sufficente.


(-1) e' un po' vago.  Forse ti conviene vedere se con un livello di 
log piu' verboso si capisce qualcosa di piu'.  In ogni caso, la prima 
operazione da fare e' verificare se ldapwhoami da quella macchina 
funziona con i parametri indicati, ovvero


ldapwhoami -x -H ldap://localhost:9011/ \
-D "cn=replicant,dc=example,dc=com" -w 

Mi dice: ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Dai log non emergono ulteriori indicazioni :-(
Io mi sono attenuto alle indicazioni fornite nel link citato.
Riporto la configurazione:

##
# Consumer Proxy that pulls in data via Syncrepl and pushes out via
# slapd-ldap
##

databaseldap
# ignore conflicts with other databases, as we need to push out to same 
suffix

hidden  on
suffix  "dc=example,dc=com"
rootdn  "cn=admin,dc=example,dc=com"
uri ldap://localhost:9012/

lastmod on

# we don't need any access to this DSA
restrictall

acl-bindbindmethod=simple
   binddn="cn=replicant,dc=example,dc=com"
   credentials=secret

syncrepl   rid=002
  provider=ldap://localhost:9011/
  bindmethod=simple
  binddn="cn=replicant,dc=example,dc=com"
  credentials=secret
  searchbase="dc=example,dc=com"
  type=refreshAndPersist
  retry="5 5 300 45"

overlaysyncprov


___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] quali sono i moduli............

[Mauro Sanna]

Pierangelo Masarati wrote:

Mauro Sanna wrote:

compilati nel server slapd?
Uso slapd su un sistema linux come server openLDAP.
Avevo postato un problema riguardo l'uso di syncrepl tra due macchine 
una in trust e una in dms.
La soluzione sembra essere quella di impostare un proxy, cosi' lo 
stavo configurando.
L'errore e' che non trova il database ldap, probabile che dipenda dal 
fatto che il modulo non e' compilato e che quindi deve essere 
caricato a mano.

A questo punto pero' vorrei sapere quali sono i moduli gia' compilati.
C'e' un modo per saperlo?


Se hai il build tree, puoi guardare in include/portable.h e vedere 
quali #define sono attivi


Oppure se hai configurato il back-monitor, puoi vedere in 
cn=Backends,cn=Monitor e in cn=Overlays,cn=Monitor quali sono 
disponibili (built-in; se non ricordo male, quelli caricati run-time 
non compaiono).


Ciao, p.

Acc parli difficile :)
Non ho il build tree, uso i pacchetti deb precompilati.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] syncrepl proxy.

[Mauro Sanna]

La mia configurazione e' la seguente:
un master slapd, 192.168.4.7 il quale replica verso un altro server, 
192.168.4.248.
Impostando il nuovo sistema di replica con syncrepl sembra che funzioni 
tutto, le modifiche che vengono fatte sul 192.168.4.7 vengono viste 
anche nel 192.168.4.248.
Dovrei replicare anche su un'altra macchina che sta in dmz e che fa da 
server per le autenticazioni di account mail.
Per risolvere il problema dmz->trust, sulla macchina 192.168.4.248 ho 
configurato, sullo stesso server slapd, un consumer proxy seguendo le 
istruzioni prese da 
, 
ovviamente personalizzando tutte le configurazioni.

Sembra non funzionare:
slap_client_connect: URI=ldap://localhost:9011/ 
DN="cn=replicant,dc=example,dc=com" ldap_sasl_bind_s failed (-1).

Suggerimenti?
Sono graditi suggerimenti anche sul tipo di configurazione tra le varie 
macchine.
Non ho considerato il mirroring e il multi master, penso che la semplice 
replicarezione possa essere sufficente.

Grazie.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] quali sono i moduli............

[Mauro Sanna]

compilati nel server slapd?
Uso slapd su un sistema linux come server openLDAP.
Avevo postato un problema riguardo l'uso di syncrepl tra due macchine 
una in trust e una in dms.
La soluzione sembra essere quella di impostare un proxy, cosi' lo stavo 
configurando.
L'errore e' che non trova il database ldap, probabile che dipenda dal 
fatto che il modulo non e' compilato e che quindi deve essere caricato a 
mano.

A questo punto pero' vorrei sapere quali sono i moduli gia' compilati.
C'e' un modo per saperlo?
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] connessione ssl

[Mauro Sanna]

Pierangelo Masarati wrote:

Mauro Sanna wrote:

Pierangelo Masarati wrote:

1) non usare certificati self-signed: sono inutile

Perche'?
Quantomeno mi consentono di impostare una connessione ssl con 
traffico cryptato e per una sincronizzazione tra due server interni 
in lan penso possa andare bene.

Diverso forse il discorso su internet.


con i certificati self-signed non e' possibile verificare l'identita' 
del peer, quindi si e' esposti ad attacchi man-in-the-middle.  L'unico 
vantaggio e' che la comunicazione e' crittata, ma se non hai garanzie 
sull'identita' di colui al quale passi informazioni riservate non puoi 
chiamarla sicurezza.


La distinzione intranet/internet mi sembra un argomento poco robusto. 
Vale solo se ti fidi ciecamente di chiunque abbia o possa avere 
accesso alla intranet (a parte dipendenti disonesti, pensa quanti 
consulenti/visitatori accedono ogni giorno alle intranet spesso 
violando ogni norma dei protocolli di sicurezza).


Tieni presente che la sicurezza basata sulla fiducia non e' sicurezza 
perche' non ti consente di tracciare chi ha fatto cosa.  Come nelle 
aziende la cui rete e' perfettamente isolata dal resto del mondo, e 
poi tutti lavorano con l'utenza di root/administrator.


Ciao, p.

Grazie per la risposta.
Non posso pero' comprare dei certificati solo per poter usare ssl su 
alcuni servizi interni.
Mi consigli di mettere su una CA fatta in casa e generare i certificati 
con quella CA?

Ciao.
Mauro



Ing. Pierangelo Masarati
OpenLDAP Core Team

SysNet s.r.l.
Gruppo Partners Associates
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
---
Office:  +39 02 23998309
Mobile:  +39 333 4963172
Fax: +39 0382 476497
Email:   a...@sys-net.it
---




___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] connessione ssl

[Mauro Sanna]

Pierangelo Masarati wrote:

1) non usare certificati self-signed: sono inutile

Perche'?
Quantomeno mi consentono di impostare una connessione ssl con traffico 
cryptato e per una sincronizzazione tra due server interni in lan penso 
possa andare bene.

Diverso forse il discorso su internet.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] replicazione con syncrepl.

[Mauro Sanna]

Nella mia lan, per quanto riguarda i server LDAP, ho un master nella 
cosidetta rete trust, con ip 192.168.x.x, e uno slave nella dmz, con ip 
172.16.x.x.

Ovviamente i server in dms non possono accedere alla rete trust.
Con slurp la replica funzionava tranquillamente perche' era il server in 
trust ad iniziare la comunicazione, ora con syncrepl le parti si sono 
invertite a quanto pare e deve essere lo slave a contattare per primo il 
master per ottenere gli aggiornamenti.

Il problema e' che non voglio aprire buchi dalla dmz alla trust.
Qualche soluzione?
Grazie.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] sincronizzare ldap con active directory.

[Mauro Sanna]

> On Mon, 2008-11-10 at 14:12 +0100, Mauro Sanna wrote:
> > Cercando in rete mi sembra che sincronizzare openLDAP con active
> > directory non sia possibile.
> > Confermate?
> 
> Dipende molto da cosa devi fare, se ne vuoi una copia identica in tutti
> i dettagli e' molto difficile, ma se ti interessa solo sincronizzare un
> subset di attributi ci sono diversi modi di sincronizzare un server ldap
> con AD.

A me serve sincronizzare, per ora, l'attributo uid e userPassword.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] sincronizzare ldap con active directory.

[Mauro Sanna]

> Secondariamente e' possibile fare in modo che le password si mantengano
> sincronizzate attraverso i servizi microsoft per unix che mettono a
> disposizione un daemon per unix/linux in grado di intercettare i cambi
> password fatti su dominio e propagare le modifiche ai file passwd/shadow
> e viceversa
> puoi cercare su internet riferimenti a ssod (il nome del daemon)
> ciao
> configurando correttamente questo daemon e il PAM e' possibile ottenere
> quello che cerchi

Mi sa che non e' quello che mi serve.
Non sono utenze di sistema ma account virtuali quelli su LDAP.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] sincronizzare ldap con active directory.

[Mauro Sanna]

Il giorno lun, 10/11/2008 alle 14.19 +0100, Luca Scamoni ha scritto:
> Mauro Sanna wrote:
> > Cercando in rete mi sembra che sincronizzare openLDAP con active
> > directory non sia possibile.
> > Confermate?
> >   
> Se intendi nativamente... si'

Come sempre devo scusarmi per l'ignoranza ma.nativamente in che
senso?
In pratica si tratta di risolvere una problematica che mi stanno creando
e di cui ne farei volentieri a meno, ma tant'e'...
Abbiamo un server LDAP con il suo bell'albero e mille utenze
configurate.
A tale server si appoggiano varie applicazioni per l'autenticazione.
Ora vogliono implementare un dominiocon samba? Macche' con windows.
I server di dominio windows si appoggiano ad active directory per quel
poco che ne so.
L'esigenza e' di tenere aggiornati gli uid e le userPassword.
Cioe' se un utente cambia la propria password in LDAP questo deve
replicare su active directory e viceversa. 






___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] sincronizzare ldap con active directory.

[Mauro Sanna]

Cercando in rete mi sembra che sincronizzare openLDAP con active
directory non sia possibile.
Confermate?





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: R: Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

> Allora scarichi i sorgenti del deb aggiungi il sorgente del modulo
> ricompili tutto e installi il modulo...
> __

Cosa che poi andrebbe fatta ad ogni aggiornamento di slapd.
Per ora tengo la soluzione proposta all'inizio.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: R: Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

> > Non ho i sorgenti di openLDAP in quanto ho installato slapd direttamente
> > da deb sotto debian.
> 
> Allora l'unica possibilita' e' che il modulo venga incluso in una 
> distribuzione di debian.  Lo puoi proporre.

Conoscendo quelli di debian non e' cosi' facile :-(





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: R: Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

Il giorno lun, 03/11/2008 alle 09.48 +0100, Pierangelo Masarati ha
scritto:
> Mauro Sanna wrote:
> > Il giorno dom, 02/11/2008 alle 20.57 +0100, Pierangelo Masarati ha
> > scritto:
> >> Pierangelo Masarati wrote:
> >>
> >>> PS: a tempo perso, pensavo di implementare la sintassi del codice
> >>> fiscale, comprese matchingRules, in un modulo dinamico, per
> >>> consentire la definizione di attributi
> >> Vedi <http://www.openldap.org/its?findid=5787>.  Il modulo dovrebbe 
> >> compilarsi bene per OpenLDAP 2.4; non ho provato con OpenLDAP 2.3.
> > 
> > Sei stato velocissimo, ti ringrazio per la disponibilita'.
> > Scusa la mia ignoranza ma.il file .c come va compilato?
> 
> Se non ci sono errori, basta (dopo aver installato) aprire il tar.gz 
> nell'albero in cui sono i sorgenti di OpenLDAP 

Non ho i sorgenti di openLDAP in quanto ho installato slapd direttamente
da deb sotto debian.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: R: Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

Il giorno dom, 02/11/2008 alle 20.57 +0100, Pierangelo Masarati ha
scritto:
> Pierangelo Masarati wrote:
> 
> > PS: a tempo perso, pensavo di implementare la sintassi del codice
> > fiscale, comprese matchingRules, in un modulo dinamico, per
> > consentire la definizione di attributi
> 
> Vedi .  Il modulo dovrebbe 
> compilarsi bene per OpenLDAP 2.4; non ho provato con OpenLDAP 2.3.

Sei stato velocissimo, ti ringrazio per la disponibilita'.
Scusa la mia ignoranza ma.il file .c come va compilato?





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

> > Non e' che ci sia molto da fare...
> > devi definire un tuo attributo (es. MyCodFisc) con opportuna sintassi e
> > matchingrule e una objectclass ausiliaria che lo contenga come attributo MAY
> > dopodiche' lo aggiungi a tutti gli utenti

Continuo a chiedermi perche' ho scelto di utilizzare LDAP e non un
semplice e piu' facilmente gestibile DBMS.
In casi come questi con un db basterebbe un semplice ALTER
TABLE...





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: R: Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

>  
> Quindi IA5String e' tutti i caratteri da 0 a 127 (quindi un subset abbastanza 
> limitato ma completo di UTF8), mentre PrintableString e' una sequenza di 
> printable characters, quindi un insieme molto limitato di ASCII.  Come al 
> solito, dipende dall'uso che ne devi fare.  PrintableString non contiene le 
> doppie virgolette, le parentesi quadre e graffe, l'asterisco ecc.

Te l'ho detto, a me serve l'attributo per inserirci il codice fiscale.
Mi pare che PrintableString sia piu' adatto. 





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

> Dipende dalle tue esigenze...
> puoi definire il tuo attributo anche solo directorystring e farti carico
> lato client che il dato che vai a inserire rispetti le caratteristiche
> di un codice fiscale...

Mi chiedevo solo quale tra le due sintassi fosse la piu' adatta, da
quanto e' indicato su
http://www.zytrax.com/books/ldap/apa/types.html#strings non colgo la
differenza.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

> E' un characterset ristretto rispetto ad ascii. diciamo solo numeri e
> lettere e qualche segno di punteggiatura.
> http://publib.boulder.ibm.com/infocenter/iseries/v5r3/index.jsp?topic=/nls/rbagscharset01169.htm

Mi pare che anche la sintassi PrintableString,
1.3.6.1.4.1.1466.115.121.1.44, sia priva di caratteri estesi, va bene
uguale no?






___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

> Per aggiungere un attributo castom basta modificare uno degli schemi
> di openldap. Io ho modificato "Inetorgperson.schema" aggiungendo alla
> fine quando segue:

Preferisco lasciare gli schemi standard cosi' come sono e farmi una
objectClass ausiliaria da aggiungere a quelle gia' esistenti nel mio
albero, come suggeritomi.
D'altronde avevo gia' richiesto un OID per la mia azienda.
L'unica cosa che non mi e' chiara e' questa sintassi IA5string.
Io ho usato la 1.3.6.1.4.1.1466.115.121.1.44{64}.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

> Diciamo che per ora la cosa migliore e' creare un attributo custom, con 
> sintassi magari IA5string, e una objectClass per contenerlo, e aggiungere il 
> utto agli utenti.

Com'e' questa sintassi IA5string, su
http://www.openldap.org/doc/admin24/schema.html#Extending%20Schema c'e'
una tabella con le sintassi piu' comuni e non c'e' la IA5string.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

> employeeNumber, anche se non e' la stessa cosa (sarebbe il "numero di 
> mtgricola).

No no quello e' gia' in uso  per la matricola appunto





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

Il giorno gio, 16/10/2008 alle 13.11 +0200, Luca Scamoni ha scritto:
> Mauro Sanna ha scritto:
> > Il giorno gio, 16/10/2008 alle 12.04 +0200, Mauro Sanna ha scritto:
> >> Salve.
> >> In azienda si e' reso necessario gestire il codice fiscale di ogni
> >> singolo dipendente.
> >> Nel mio database LDAP ho previsto le seguenti obectClasses:
> >> Top;
> >> person;
> >> organizationalPerson;
> >> inetOrgPerson;
> >> posixAccount;
> >>
> >> Tra gli attributi di tutte quete objectClasses non mi sembra ce ne sia
> >> uno adatto per potervi inserire il codice fiscale della persona.
> >> Qualcuno ha avuto lo stesso problema ed ha trovato una soluzione?
> >> Grazie.
> >>
> > 
> > Spero che qualcuno possa darmi una dritta, girando sulla rete non mi sembra 
> > sia prevista la gestione del codice 
> > fiscale con LDAP.
> Non e' che ci sia molto da fare...
> devi definire un tuo attributo (es. MyCodFisc) con opportuna sintassi e
> matchingrule e una objectclass ausiliaria che lo contenga come attributo MAY
> dopodiche' lo aggiungi a tutti gli utenti
> 

:-( possibile che non sia stato previsto in nessuno schema? 
Eppure e' un dato importante non dico di voler usare per forza un
attributo chiamato "codice fiscale" ma almeno uno con lo stesso
significato, ad esempio un attributo che possa gestire il social
security number americano che dovrebbe corrispondere al nostro codice
fiscale, ma non c'e' nemmeno quello.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

Il giorno gio, 16/10/2008 alle 12.04 +0200, Mauro Sanna ha scritto:
> Salve.
> In azienda si e' reso necessario gestire il codice fiscale di ogni
> singolo dipendente.
> Nel mio database LDAP ho previsto le seguenti obectClasses:
> Top;
> person;
> organizationalPerson;
> inetOrgPerson;
> posixAccount;
> 
> Tra gli attributi di tutte quete objectClasses non mi sembra ce ne sia
> uno adatto per potervi inserire il codice fiscale della persona.
> Qualcuno ha avuto lo stesso problema ed ha trovato una soluzione?
> Grazie.
> 

Spero che qualcuno possa darmi una dritta, girando sulla rete non mi sembra sia 
prevista la gestione del codice 
fiscale con LDAP.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] attributo per il codice fiscale.

[Mauro Sanna]

Salve.
In azienda si e' reso necessario gestire il codice fiscale di ogni
singolo dipendente.
Nel mio database LDAP ho previsto le seguenti obectClasses:
Top;
person;
organizationalPerson;
inetOrgPerson;
posixAccount;

Tra gli attributi di tutte quete objectClasses non mi sembra ce ne sia
uno adatto per potervi inserire il codice fiscale della persona.
Qualcuno ha avuto lo stesso problema ed ha trovato una soluzione?
Grazie.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] organizzazione dell'albero.

[Mauro Sanna]

Il giorno gio, 03/07/2008 alle 13.35 +0200, Mauro Sanna ha scritto:
> Salve.
> E' da un po di tempo che uso openldap per la gestione di accounts per la
> posta elettronica.
> La base del mio albero e' dc=example,dc=it all'interno della quale ho
> una sezione ou=People dove ho inserito i vari dn: uid=tizio.caio,
> ou=People,dc=example,dc=it.. e cosi' via corrispondenti a tutti i
> dipendenti dell'azienda, sono circa 1500.
> Tutti queste uid hanno delle objectClass attraverso le quali posso
> gestire attributi tipo nome e cognome, numero di telefono, insomma gli
> attributi tipici di una persona ed inoltre quelli relativi alle
> rispettive caselle di posta tipo quota, vacation, ecc.
> Mi chiedevo se fosse opportuno lasciare tutto su un unico ramo oppure
> separare le cose creando ad esempio un ramo con i dati relativi alle
> persone, un altro con i dati relativi alle mail, ecc.
> 

Niente?





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] organizzazione dell'albero.

[Mauro Sanna]

Salve.
E' da un po di tempo che uso openldap per la gestione di accounts per la
posta elettronica.
La base del mio albero e' dc=example,dc=it all'interno della quale ho
una sezione ou=People dove ho inserito i vari dn: uid=tizio.caio,
ou=People,dc=example,dc=it.. e cosi' via corrispondenti a tutti i
dipendenti dell'azienda, sono circa 1500.
Tutti queste uid hanno delle objectClass attraverso le quali posso
gestire attributi tipo nome e cognome, numero di telefono, insomma gli
attributi tipici di una persona ed inoltre quelli relativi alle
rispettive caselle di posta tipo quota, vacation, ecc.
Mi chiedevo se fosse opportuno lasciare tutto su un unico ramo oppure
separare le cose creando ad esempio un ramo con i dati relativi alle
persone, un altro con i dati relativi alle mail, ecc.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] ldapmodify.

[Mauro Sanna]

> Cosa intendi con "sola operazione"?  Un file LDIF puo' contenere insiemi 
> arbitrari di operazioni LDIF; ad esempio, aggiunta, modifica, rename, 
> cancellazione in un solo file:
> 

Intendevo questo:



dn: cn=Utente1,ou=People,dc=example,dc=com
changetype: modify
replace: userPassword
userPassword: prova1

dn: cn=Utente2,ou=People,dc=example,dc=com
changetype: modify
replace: userPassword
userPassword: prova2

dn: cn=Utente3,ou=People,dc=example,dc=com
changetype: modify
replace: userPassword
userPassword: prova3



A quanto pare non e' possibile.
O sbaglio?





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] ldapmodify.

[Mauro Sanna]

Se uso un file dal quale ldapmodify legge le modifiche da apportare,
queste le posso effettuare una ad una, nel senso che se ho diversi dn:
uid= da modificare non posso farlo in un solo colpo dovrei creare
tanti files quanti sono gli uid da modificare.
Come posso fare tutto con una sola operazione?







___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] ldap account mail virtuali e account per dominio.

[Mauro Sanna]

Salve.
Scusate la poca esperienza nel settore ma sono in stallo per un problema
stupido.
Uso ldap per la gestione di account virtuali di posta, ognuno ha il suo
uid, password e indirizzo mail.
Ho configurato il database ldap seguendo alcuni tutorial in rete.
Un tipico account ha i seguenti attributi:

dn: uid=xxx.xxx,ou=People,dc=dominio,dc=it
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
mail: [EMAIL PROTECTED]
uid: xxx.xxx
cn: xxx
sn: xxx
uidNumber: 1004
gidNumber: 1004
homeDirectory: /var/vmail/xxx.xxx
userPassword:: xx

Ora mi sto cimentando nella configurazione di un domain controller con
samba e ldap.
Da quel poco che ho capito in questo caso gli account devono essere
fisicamente configurati nel server, non posso essere account virtuali
come per la mail.
La configurazione di ldap per l'utilizzo con samba puo' essere
effettuata su linux attraverso l'utilizzo di script gia' pronti
smbldap-populate, smbldap-useradd, ecc.
Ho visto che in questo caso ad ogni utente viene assegnato un uidNumber
differente e gia' questo va in contrasto con la configurazione che avevo
per gli account mail dove tutti avevano lo stesso uidNumber.
Inoltre l'attributo homeDirectory viene settato con /home/nomeAcconut
mentre per le mail tutti avevano /var/vmail/account, homedirectory e' un
attributo che serve anche a postfix per capire dove depositare le mail. 
A questo punto sono un po confuso su come far convivere i due tipi di
configurazione.
Qualcuno usa ldap sia per la gestione account mail che per il dominio
con samba?





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] prova.

[Mauro Sanna]

scusate.





___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap