Только uid пользователя для аутентификации. Можно ли?

Что именно ты связываешь с LDAP?

По ssh я например логинюсь не вводя доменное имя - его подставляет pam модуль.

Есть ли хоть какой-то способ заставить

а как ты думаешь люди живут-та?

это задача в половине хаутушек описана.

Адресная книга Andoid/iOS
Там только строка адреса, логина и пароля. Вариант вводить логин в такой чудовищной форме неприемлем для пользователей :(

Кинь ссылку хоть на одну хаутушку. Честно сам гуглил целый час.

ты еще путаешь simple аутентификация (это как ты выразился «в полном Bind формате») и SASL - это логином. короче, кури RTFM. Думаешь кто-то без SASL вообще настраивает? ну может для каких-то целей и да. но не для массовой аутентификации людей, уж точно.

невозможно кинуть «одну хаутушку» на лдап. плавали, знаем. только боль, только страдание.

вот после настройки ВСЕГО по этой http://itdavid.blogspot.ca/2012/05/howto-centos-6.html я начал чего-то соображать. при этом постоянно гугля всё что нагуглится

и то сейчас по второму кругу иду и понимаю, что плохо соображал, что делал.

такие дела.

вообще SASL-механизм и так включен, а о том чтобы после введения юзером своего логина система постучалась в ЛДАП именно как надо по SASL, заботится клиентская часть - pam модуль вместе c nsswitch.

так что отдельно настраиваить в общем не надо.

Понятно. Для меня важно что есть принципиальная возможность заставить это работать. Убить целый день и ничего не сделать — за такое по голове у нас не гладят
Значит буду курить про SASL

Не лишнее, но тебе это скорее всего не нужно. На данном этапе. Тем более, если тебе надо выдать на гора «шоб работало». Вообще если не знаешь кишков систем электронных справочников, то с разбегу я не очень представляю что нужно предпринимать. Сидеть ночью в обнимку с редбуллом наверное и штудировать хауту.)

Грубо говоря, тебе нужно «всего лишь» поставить и минимально настроить лдап, импортировать туда юзверей и настроить собственно мылоклиента - он должен просто уметь обращаться к лдап. вот и всё. собственно simple bind скорее не имеется в виду как дефолтный способ аутентификации, а как раз саслевый. т.е. в плане «а чтоб можно было по логину а не вот эта колбоса» уже всё настроено. дело за малым - поднять openldap. если кратко - поставил, slapadd запилил olcrootpw, им же поменял суффикс на dc=твойдомен,dc=ru, добавил схемы (ldif файлы в федоре уже готовы, .schema нужно самому конвертить), закинул в /var/lib/ldap DB_CONFIG из поставки, включил slapd, создал контейнеры типа cn=people,dc=твойдомен,dc=ru ну и закинул туды юзверей с паролями и прочими атрибутами. вот и вся недолга.

Спасибо. Дельный совет.
Хотя потыкал в телефоне. Там галочек насчёт SASL нет вообще. А если забивать имя пользователя, slapd ругается: slapd[23095]: conn=1014 op=0 do_bind: invalid dn (user)
Так что наверное не подойдёт мне этот вариант.

Нда, с carddav пролёт (нормально с ним заработала только зимбра, всякие owncloud брали за обе щеки сразу), с лдап тоже. Видать на шару сделать корпоративную адресную книгу нифига не простая задача, каковой казалась в начале.

1) что у тебя за клиент-то?

2) как настроен твой slapd Царь его знает

3) c openldap из коробки вообще ничего не будет. это примерно как поставить *sql и ждать, что всё сразу само заработает.)

http://www.openldap.org/doc/admin24/sasl.html вот например. и подобное можешь погуглить. в частности, на предмет директивы authz-regexp

можешь показать конфиг лдапа. если он модным slapd-config настроен, то части относящиеся к конфигу собственно базы (bdb или hdb)

1) что у тебя за клиент-то?

iOS коннектится по SASL:
card slapd[934]: SASL [conn=1003] Failure: no secret in database

Android, сцобака, коннектится по бинду:
card slapd[934]: conn=1008 op=0 do_bind: invalid dn (user)

И нет никакой галочки, чтобы заставить его коннектится тоже по sasl. В очередной раз ios технологически уделывает ведроид на 10 лет вперёд

можешь показать конфиг лдапа. если он модным slapd-config настроен

там показывать нечего, было сделано только dpkg-reconfigure slapd
и поставлен phpldapadmin, где заведён один пользователь и один контакт с номером мобильника.

/me ушёл читать про сасл. Спасибо за наводку.

ping

И как оно, дело продвинулось?

http://www.openldap.org/lists/openldap-technical/200906/msg00335.html

Спасибо!

И как оно, дело продвинулось?

Сейчас отложил, решил вернуться к реализации адресной книги через carddav, потому что андроид (привет корпорация добра и 2015й год) не умеет sasl.

А даже если бы умел, остаётся проблема что LDAP контакты не отображаются в адресной книге андроида. Хотя даже в оффлайне спустя две минуты поиска они находятся, но в списке их хоть убей нет. Такая же ботва, как с Эксченж контактами :-\

А для carddav есть сторонние (не гугловские слава богу) провайдеры синхронизации, и если они отрабатывают, контакты видны в адресной книге как и положено.

N.B. С iOS, кстати, проблем вообще никаких. Кучу способов нашёл чтоб на нём всё работало. Основной головняк в том, как сделать на андроиде корпоративную адресную книгу.