|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Victor Sudakov 2:5020/400 29 Apr 2004 11:53:29
To : Alexander Lunyov
Subject : Re: LDAP filters
--------------------------------------------------------------------------------
Alexander Lunyov wrote:
>
>>>> Возможно ли написать фильтр, который проверит принадлежность объекта к
>>>> группе (группа типа groupOfUniqueNames) ?
>>> Что-то вроде:
>>> (&(objectClass=GroupOfUniqueNames)(uniquemember=${user_dn}))
>>> Пойдет?
>
>> Hе могу сообразить, как этот фильтр использовать с squid_ldap_auth.
>> Допустим, имеем squid_ldap_auth -b "dc=my,dc=domain" -f "uid=%s"
>> ldap.my.domain
>
>> Что дописать в "-f" ?
>
> Упс. Так не выйдет. Hадо два запроса - один чтобы узнать dn пользователя, а
> другой - чтобы проверить его принадлежность группе. Может, тебе лучше ввести
> какой-нить атрибут, что-то вроде proxyAccess, и добавлять его в entry тех
> пользователей, которым можно. И тогда после -f надо будет добавить
> "(&(uid=%s)(proxyAccess=1))".
Это придется для пользователей AUXILIARY objectclass заводить, а в нем
proxyAccess, shellAccess, dialinAccess и прочая и прочая. Hе хотел я
такое городить, некрасиво это IMHO. Тем более что, например,
апачевский модуль auth_ldap-1.6.0_4 умеет проверять членство в
GroupOfUniqueNames. И pam_ldap может, если верить документации.
> А в одном запросе (у тебе же тут получается один
> запрос) так не сделаешь вроде.
Мне тут мылом подсказали вариант через squid_ldap_group с
external_acl, буду пробовать.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/149@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5.3
* Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
