Re: [Lug-bg] ldap question
Doncho N. Gunchev wrote: On Saturday 2007-04-21 20:09:27 Danail Petrov wrote: Здравейте група, имам следното питане. Може ли да се направи следното нещо с LDAP: - Да се организира Address Book, в който всички потребители които използват Directory-то , да си имат собствено местенце, където да си синхронизират контактите? Ето как ги виждам аз нещата: примерно имаме: dn: dc=domani,dc=com ... dn: ou=addressbook,dc=domain,dc=com ... dn: cn=user1,ou=addressbook,dc=domain,dc=com ... dn: cn=user2,ou=addressbook,dc=domain,dc=com ... По тази логика, user1 да има свой собствен: dn: [EMAIL PROTECTED],cn=user1,ou=addressbook,dc=domain,dc=com ... Мислех да правя нещо подобно и мисля че при IBM срешнах идеята да имаш нещо от сорта на addressbook, user, domain, tld за лични и addressbook, domain, tld за споделена адресна книга (те така го и бяха направили в domino-то ако не бъркам). До споделената имат достъп само определени хора (човек). Трябва само да си оформиш правилно правилата за достъп. На пощенските клиенти им се задават по две адресни книги - една за четене/запис и още една само за четене (Kmail го прави без проблем, но мисля че и Mozilla и OutLook имаха поддръжка). Схема за адресната книга, която да работи и с Mozilla и с OutLook, имаше нейде из bug-report-ите на mozilla. Ако го направиш - похвали се, още не съм се отказал да го правя, просто имам по-важни задачки от този експеримент. I did it :-) Ето малко информация за това как точно съм го реализирал: + dc=domain,dc=com .+ ou=users,dc=domain,dc=com ..+ ou=user1,ou=users,dc=domain,dc=com ...+ cn=addressbook,ou=user1,ou=users,dc=domain,dc=com + [EMAIL PROTECTED] + [EMAIL PROTECTED] ..+ ou=user2,ou=users,dc=domain,dc=com ...+ cn=addressbook,ou=user2,ou=users,dc=domain,dc=com + [EMAIL PROTECTED] + [EMAIL PROTECTED] .+cn=sharedbook ..+ [EMAIL PROTECTED] ..+ [EMAIL PROTECTED] Надявам се да разберете псевдо таблицата която се опитах да създам, а ето каква е и логиката: В корена на дървото е domain.com, след което създаваме друга директория users,където попадат потребителските акаунти, едно ниво по-навътре имаме и съответнo потребителски имена, който си имат свойте атрибути в зависимост от необходимата схема. В йерархията на дървото, всеки потребител разполага със собствена адресна книга, в която може да добавя свойте контакти. Освен личната си адресна книга, всеки потребител разполага с достъп до общата такава (cn=sharedbook,dc=domain,dc=com). Сега малко по-интересната част, и как съм реализирал достъпа до различните директории: (При мен политиките вече са доста по-сложни, но тук ще опиша най-простия промер с който нещата работят) access to dn.regex=cn=addressbook,cn=(.*),ou=users,dc=domain,dc=com$$ by dn.regex=^cn=$1,ou=users,dc=domain,dc=com$$ write by dn=cn=admin,dc=domain,dc=com write by * none Малко разяснение: access to dn.regex=cn=addressbook,cn=(.*),ou=users,dc=domain,dc=com$$ /дефинираме ACL, който да бъде приложен при поискване до директорията addressbook на определен потребител. Тук интересната врътка е regex възможността , която дава възможност да се прилагат такъв тип филтри. Или иначе казано, дефинираме cn=(.*), с помоща на което получаваме потребителското име. Пример: Потребител user1 се опитва да отвори директорията cn=addressbook,cn=user1,ou=users,dc=domain,dc=com, поради по-горното правило, access-listata ще се активира, и ще позволи достъп за писане на потребител user1 в неговата addressbook директория. (by dn.regex=^cn=$1,ou=users,dc=domain,dc=com$$ write). Или иначе казано, cn=(.*) се взима като регулярен израз $1, което позволява динамичното му използване по-надолу в листата. Та на базата на ето такива листи могат да се правят чудеса :-) Освен потребителя, user admin също има достъп до тази директория. Правилото by * none е ясно :-) Ами това е в най-общи линии. Надявам се този feedback да помогне някому някой ден :) Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] ldap question
Danail Petrov wrote: Doncho N. Gunchev wrote: On Saturday 2007-04-21 20:09:27 Danail Petrov wrote: Здравейте група, имам следното питане. Може ли да се направи следното нещо с LDAP: - Да се организира Address Book, в който всички потребители които използват Directory-то , да си имат собствено местенце, където да си синхронизират контактите? Ето как ги виждам аз нещата: примерно имаме: dn: dc=domani,dc=com ... dn: ou=addressbook,dc=domain,dc=com ... dn: cn=user1,ou=addressbook,dc=domain,dc=com ... dn: cn=user2,ou=addressbook,dc=domain,dc=com ... По тази логика, user1 да има свой собствен: dn: [EMAIL PROTECTED],cn=user1,ou=addressbook,dc=domain,dc=com ... Мислех да правя нещо подобно и мисля че при IBM срешнах идеята да имаш нещо от сорта на addressbook, user, domain, tld за лични и addressbook, domain, tld за споделена адресна книга (те така го и бяха направили в domino-то ако не бъркам). До споделената имат достъп само определени хора (човек). Трябва само да си оформиш правилно правилата за достъп. На пощенските клиенти им се задават по две адресни книги - една за четене/запис и още една само за четене (Kmail го прави без проблем, но мисля че и Mozilla и OutLook имаха поддръжка). Схема за адресната книга, която да работи и с Mozilla и с OutLook, имаше нейде из bug-report-ите на mozilla. Ако го направиш - похвали се, още не съм се отказал да го правя, просто имам по-важни задачки от този експеримент. I did it :-) Ето малко информация за това как точно съм го реализирал: + dc=domain,dc=com .+ ou=users,dc=domain,dc=com ..+ ou=user1,ou=users,dc=domain,dc=com ...+ cn=addressbook,ou=user1,ou=users,dc=domain,dc=com + [EMAIL PROTECTED] + [EMAIL PROTECTED] ..+ ou=user2,ou=users,dc=domain,dc=com ...+ cn=addressbook,ou=user2,ou=users,dc=domain,dc=com + [EMAIL PROTECTED] + [EMAIL PROTECTED] .+cn=sharedbook ..+ [EMAIL PROTECTED] ..+ [EMAIL PROTECTED] Надявам се да разберете псевдо таблицата която се опитах да създам, а ето каква е и логиката: В корена на дървото е domain.com, след което създаваме друга директория users,където попадат потребителските акаунти, едно ниво по-навътре имаме и съответнo потребителски имена, който си имат свойте атрибути в зависимост от необходимата схема. В йерархията на дървото, всеки потребител разполага със собствена адресна книга, в която може да добавя свойте контакти. Освен личната си адресна книга, всеки потребител разполага с достъп до общата такава (cn=sharedbook,dc=domain,dc=com). Сега малко по-интересната част, и как съм реализирал достъпа до различните директории: (При мен политиките вече са доста по-сложни, но тук ще опиша най-простия промер с който нещата работят) access to dn.regex=cn=addressbook,cn=(.*),ou=users,dc=domain,dc=com$$ by dn.regex=^cn=$1,ou=users,dc=domain,dc=com$$ write by dn=cn=admin,dc=domain,dc=com write by * none Малко разяснение: access to dn.regex=cn=addressbook,cn=(.*),ou=users,dc=domain,dc=com$$ /дефинираме ACL, който да бъде приложен при поискване до директорията addressbook на определен потребител. Тук интересната врътка е regex възможността , която дава възможност да се прилагат такъв тип филтри. Или иначе казано, дефинираме cn=(.*), с помоща на което получаваме потребителското име. Пример: Потребител user1 се опитва да отвори директорията cn=addressbook,cn=user1,ou=users,dc=domain,dc=com, поради по-горното правило, access-listata ще се активира, и ще позволи достъп за писане на потребител user1 в неговата addressbook директория. (by dn.regex=^cn=$1,ou=users,dc=domain,dc=com$$ write). Или иначе казано, cn=(.*) се взима като регулярен израз $1, което позволява динамичното му използване по-надолу в листата. Та на базата на ето такива листи могат да се правят чудеса :-) Освен потребителя, user admin също има достъп до тази директория. Правилото by * none е ясно :-) Ами това е в най-общи линии. Надявам се този feedback да помогне някому някой ден :) Поздрави, Данаил Петров ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg Забравих само да добавя, че все още не съм намерил подходящ windows email клиент, който да подържа тези неща който съм направил :-) Повечето майл клиенти искат само hostname на ldap съвръра, а не позволяват дефинирането на потребителско име и парола. Още повече, че дори когато достъпа до всички директори е позволен за писане, mail клиентите немогат да създават контакти в директорията. Така че пак съм в задънена улица :) Ако някой ползва email клиент, който да дава възможност за дефиниране на потребителско име и парола за достъп до ldap съвъра, нека сподели. Поздрви, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature
Re: [Lug-bg] ldap question
On Sunday 2007-04-22 19:32:38 Danail Petrov wrote: ... Забравих само да добавя, че все още не съм намерил подходящ windows email клиент, който да подържа тези неща който съм направил :-) Повечето майл клиенти искат само hostname на ldap съвръра, а не позволяват дефинирането на потребителско име и парола. Още повече, че дори когато За Thunderbird: http://kb.wisc.edu/helpdesk/page.php?id=3462 (Bind DN) За OutLook: http://www.dpo.uab.edu/4manager/ldap-outlook.html (указател B) достъпа до всички директори е позволен за писане, mail клиентите немогат да създават контакти в директорията. Така че пак съм в задънена улица Странно, сигурен съм че като пробвах с нещо успях да създам няколко. Тогава тествах mozilla и kmail. :) Ако някой ползва email клиент, който да дава възможност за дефиниране на потребителско име и парола за достъп до ldap съвъра, нека сподели. Kmail (kaddressbook) за може да ползва и LDAP ресурси само за четене и такива за четене и запис (даже като имаш повече от един за запис пита новите къде да отидат). Поддържа LDAP 2/3, SSL/TLS... има шаблони за Netscape, Outlook, Evolution, Kolab, ръчни... но все още го няма за windows. Пробвах го, добавя. Thunderbird-а може да чете, дали може да пише... не знам. -- Regards, Doncho ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
