OpenLdap - объеденить каталоги 2х доменов.

[kharkov_max]

вообщем я всеравно не сильно понимаю такую связку а именно:
- "проксирование" лдап запросов , зачем ставить 1-3 лдап серверов которые на себе ничего не несут а только проксируют
- тк он на себе ничего не несет этот проксирующий то выходит что он выдает кучу данных не упорядоченных и много чего не нужного , опять получаетья - смысл такого ??

Одним словом еслиб у меня стояла такая задача то я делал бы както через репликацию
посм http://www.openldap.org/doc/admin24/rep ... onfiguring the different replication types
там очень много различных вариантов: возможно указать от кого работать, для какого серва
от какого "места" в данном случае для какого конкретного OU делать репликацию а не все скопом

Соотвесно в итоге можно попытаться получиться какое-то подобие каталогов где будут нужные данные

А вы ковыряли такую синхронизацию ?
Может чем подскажете...

Работает ли она с базой ldap ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kharkov_max]

Базу meta отключил, в базу ldap добавил:

Код: Выделить всё

database                ldap
# hidden                        on
suffix                  "dc=dom"
rootdn                  "cn=admin,dc=dom"
rootpw                  "secret"
# subordinate


uri                     "ldap://server1.domain1.dom:389/"
# idassert-bind         bindmethod="simple"
#                       binddn="cn=ldapreader,ou=ServiceUser,dc=domain1,dc=dom"
#                       credentials="masterkey"
#                       mode="none"
#idassert-authzFrom     "dn:*"
#chase-referrals                false

lastmod                 on
# restrict              all

syncrepl            rid=001
                        provider="ldap://server1.domain1.dom:389/"
                        binddn="cn=ldapreader,ou=ServiceUser,dc=domain1,dc=dom"
                        bindmethod="simple"
                        credentials="password"
                        searchbase="dc=mkh,dc=local"
                        filter="(&(objectClass=organizationalPerson)(objectClass=USER)(objectClass=person))"
                        attrs="cn,mail,title"
                        scope=sub
                        type=refreshOnly
                        interval=00:00:01:00

При таком конфиге тоже тянется вся инфа, а не то что должно удовлетворять условиям фильтра.
В логе такое:

Код: Выделить всё

Jun  1 16:28:40 slapd[45088]: do_syncrep2: rid=001 (12) Critical extension is unavailable
Jun  1 16:29:42 slapd[45088]: daemon: select: listen=6 active_threads=0 tvp=zero
Jun  1 16:29:42 slapd[45088]: daemon: select: listen=7 active_threads=0 tvp=zero
Jun  1 16:29:42 slapd[45088]: daemon: select: listen=8 active_threads=0 tvp=zero
Jun  1 16:29:42 slapd[45088]: =>do_syncrepl rid=001
Jun  1 16:29:42 slapd[45088]: =>do_syncrep2 rid=001
Jun  1 16:29:42 slapd[45088]: do_syncrep2: rid=001 LDAP_RES_SEARCH_RESULT (12) Critical extension is unavailable
Jun  1 16:29:42 slapd[45088]: do_syncrep2: rid=001 (12) Critical extension is unavailable

Такое впечатление что Syncrepl не отрабатывает.

[casper80]

UP. Встала такая же задача. решилось что то ?

[kharkov_max]

UP. Встала такая же задача. решилось что то ?

Конкретизируйте какая задача и для чего.
Чистого объединения не получится, но под определенные вещи может сильно помочь.

[casper8]

Задача такая есть jabber1 авторизация с AD1 и есть jabber2 c авторизацией Ad2. идея такая поднять openldap туда заливать группы и пользователей ad1 и ad2. Jabber1 и jabber2 убрать. сделать один jabber3 c авторизацией на opeldap. соответственно пользователи разных доменов будут обобщатся между собой. Проблема сейчас чтоб openldap видел пользователей из двух доменов.

[kharkov_max]

С пользователями и их авторизацией получится, с группами - нет.
Крутил данный механизм в том числе и для openfire.

Через проксирование с группами - не получится, нужно искать какой-то другой механизм.

[casper8]

С пользователями и их авторизацией получится, с группами - нет.
Крутил данный механизм в том числе и для openfire.

Через проксирование с группами - не получится, нужно искать какой-то другой механизм.

Что значит с авторизацией пользователей получится а с группами нет. т.е клиенты jabber смогут авторизироватся. но групп из других доменов видно не будет?
а другие какие механизмы искали типа частичное копирование из Ad в openldap ?

[kharkov_max]

К примеру в AD1 и AD2 вы создали по группе, пользователи из данной группы должны проходить авторизацию в openfire - из 2х AD так не будет работать.
А если вы укажете в openfire Ваш новый проксирующий лдап (из AD1 и Ad2) и не будете привязывать авторизацию к группе - то любой юзер из AD1 или AD2 сможет пройти регистрацию. Что можно сделать, как сузить список юзеров - только через OU т.е. нужных юзеров перенести в какую-то OU AD1 и AD2 и в openfire указать как корень dn эту OU суммарного Ldap.
Но данный метод не совсем приемлем - нужно как то с группами добивать.
На днях планировал вернуться к данному вопросу и его решению.

[casper8]

можете кинуть полный листинг sldap.conf c двумя доменами.