OpenLDAP proxy, адресная книга в AD

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
neyro
сержант
Сообщения: 187
Зарегистрирован: 2008-03-07 20:24:25
Контактная информация:

OpenLDAP proxy, адресная книга в AD

Непрочитанное сообщение neyro » 2009-01-04 23:32:06

Итак..имем openldap24-server.
АД на 2003 винде.
Задача в следующем-сделать адресную книгу для пользователей Mozilla ThunderBird. Но идея такова, что все данные из АД в целях безопасност и т.д. брать нельзя(т.к. книга будет доступна всем без пароля) т.е нужно отфильтровывать значения которые выводятся. Основная задача - показать только юзеров которые состоят в группе mail. Угрохав пол дня удалось заставить работать опенлдап просто в режиме прокси и отдавать все данные всем желющим (опенлдап сервер авторизуется в АД под своей учеткой). Теперь задача отфильтровать поля выдаваемые. Далее конфиг который работает без фильтрации.

Код: Выделить всё

include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
loglevel         -1
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args
modulepath      /usr/local/libexec/openldap
moduleload      back_ldap
database ldap
lastmod   off
chase-referrals no
suffix "dc=xxx"
uri ldap://10.0.0.1
idassert-bind bindmethod=simple binddn="cn=xx,cn=users,dc=xxx" credentials="xxx" mode=none
idassert-authzFrom "dn.regex:.*"

access to *
        by * read
А это кусок кода который в теории должен делать базовую фильтрацию (но не по группе mail) - взят с иностранного форума
overlay rwm
rwm-map objectclass account user
rwm-map attribute cn name
rwm-map attribute sn sn
rwm-map attribute mail mail
rwm-map attribute entry entry
rwm-map attribute *
В данном ремапе сервер должен отдавать пользователям только переменные описанные выше, а все остальное фильтровать (последняя строка), но как раз с этой строкой он не отдает вобще ничего.
Может кто-нибудь делал что-то подобное ? Помогите пожалуйста советом.
Опережая вопросы-нет мануал и гугл не рулят

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Volkoff
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-04-22 10:44:55
Откуда: СПб

Re: OpenLDAP proxy, адресная книга в AD

Непрочитанное сообщение Volkoff » 2009-01-11 12:37:25

Зачем использовать ОпенЛдап как посредника?, можно в конфиге ТБ прописать AD в качестве лдап сервера и использовать фильтр при опросе лдап, обращаться к АД от имени текущего пользователя- соответственно ему свой пароль надо будет вводить.

neyro
сержант
Сообщения: 187
Зарегистрирован: 2008-03-07 20:24:25
Контактная информация:

Re: OpenLDAP proxy, адресная книга в AD

Непрочитанное сообщение neyro » 2009-01-12 19:08:14

Я же вроде бы сказал-из соображений безопасности, раскладывать по полочкам нет желания (кому нужно тот знает, что имеется ввиду).
По поводу темы-нашел решение, на днях напишу статью на эту тему.

Аватара пользователя
kolesya
сержант
Сообщения: 191
Зарегистрирован: 2006-10-17 15:54:01
Откуда: Украина, Киев

Re: OpenLDAP proxy, адресная книга в AD

Непрочитанное сообщение kolesya » 2009-01-12 20:56:34

neyro писал(а):Я же вроде бы сказал-из соображений безопасности, раскладывать по полочкам нет желания (кому нужно тот знает, что имеется ввиду).
По поводу темы-нашел решение, на днях напишу статью на эту тему.
По поводу безопасности - 100% правда.
To камрад Volkoff:
1. ничто не помешает продвинутому юзеру поменять фильтр в TB и получить данные которые ему "ненужны" ....
2. доступ к адресной книге - открытый для всех в режиме READ
3. если реализовывать напрямую из AD, то на контроллере домена открывается глобальный каталог (по дефолту) порт 3268, те 99% АДешки в RO.
4. зачем пользователю показывать то, что ему никогда не потребуется.
5. снижение нагрузки на серваки AD.
6. теоретический ddos кривонаписаным запросом
7. ....
...

Volkoff
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-04-22 10:44:55
Откуда: СПб

Re: OpenLDAP proxy, адресная книга в AD

Непрочитанное сообщение Volkoff » 2009-01-13 9:54:34

Да понял уже, вы в АД храните конф. информацию. Кстати не обязательно 3268, через 389 тоже работает.