LINUX.ORG.RU
решено ФорумAdmin

SuiteCRM и LDAP-аутентификация через группу

 , ,


0

1

Есть настроенный openLDAP, пользователи вида uid=user в ou=People, группы вида cn=group в ou=Group.

Пользователи входят в группу посредством memberOf, т.е. в группе есть member'ы и они перечислены списком.

У каждого пользователя только в скрытых атрибутах (смотрю через phpldapadmin) можно найти атрибут memberOf и в нем перечислены все группы, member'ом которых он является.

Такая архитектура групповой аутентификации работает в Redmine и на других сервисах. Пароли верные, группы одинаковые. Пользователи в группах есть.

По suiteCRM.

Благодаря вот этой теме, настроила аутентификацию через LDAP.

Не могу настроить авторизацию только пользователей и разрешенной группы

Настройки работающей LDAP-аутентификации (без групп) выглядят так:

Включить LDAP-аутентификацию - Включено
Сервер: ldap.domen.ru
Порт: 389
DN пользователя: dc=domen,dc=ru
Параметры: пусто
Bind-атрибут: dn
Login-атрибут:uid
Членство в группе: Отключено
Аутентификация: Включена
Имя пользователя: uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru
Пароль: пароль_от_пользователя
Автоматическое создание пользователей: Включено
С такими настройками аутентификация проходит на ура.

Когда включаю галочку Членство в группе, и заполняю поля:

DN группы: ou=Group,dc=domen,dc=ru
Название группы: cn=suitecrm,ou=Group,dc=domen,dc=ru
Атрибут пользователя: uid (пробовала dn)
Атрибут группы: member (пробовала memberOf)
Добавить DN пользователя - Включено

авторизоваться в Suite невозможно.

Подскажите, где не так что прописала

Посмотри в логе openldap, какие запросы приходят, и исправь в соответствии.

Ivan_qrt ★★★★★ ()

Так:

Атрибут группы: cn
Атрибут пользователя: member

Что такое «Добавить DN пользователя - Включено» я хз, переключите на английский интерфейс и покажите как это на нормальном языке обозначено, должно быть быть что-то вроде аттрибут пользователя в виде DN.

zgen ★★★★★ ()

Добавить DN пользователя - Включено

Вас не смущает, что там речь о ШугарЦРМ, а тут речь о СьютЦРМ? O_o

zgen ★★★★★ ()
Ответ на: комментарий от zgen

Sugar и Suite - не смущает. По Suite мало инфы.

В английском интерфейсе:

Group Membership: Галочка (вкл)
Group DN: ou=Group,dc=domen,dc=ru
Group Name: cn=suitecrm,ou=Group,dc=domen,dc=ru
User Attribute: исправила на member
Group Attribute: исправила на cn
With User DN: (Вот эта галочка, которая в русском интерфейсе	называется Добавить DN пользователя)

Не авторизуется пользователь из группы, ни с галочкой, ни без.

В логах апача по последней попытке подключения:

 [Fri Jun 02 21:41:47.587022 2017] [:error] [pid 2715] [client 192.168.1.180:47064] PHP Warning: 
in_array() expects parameter 2 to be array, string given in 
/var/www/crm.domen.ru/modules/Users/authentication/LDAPAuthenticate/LDAPAuthenticateUser.php on line 124, referer: 
http://crm.domen.ru/index.php?
module=Users&action=Login&login_language=en_us&login_module=Home&login_action=index

По указанному адресу в 124-126 строке прописано:

         if (!in_array($attrs, $GLOBALS['ldap_config']->settings['ldap_group_user_attr'])) {
                    $attrs[] = $GLOBALS['ldap_config']->settings['ldap_group_user_attr'];
                }

В логе suitecrm.log старые записи и новых не повилось

 Fri Jun  2 18:41:47 2017 [2715][-none-][FATAL] ldapauth: member not found for user u01 cannot authenticate against an LDAP group
Fri Jun  2 18:41:47 2017 [2715][-none-][FATAL] SECURITY: User authentication for u01 failed
Fri Jun  2 18:41:47 2017 [2715][-none-][FATAL] SECURITY: User authentication for u01 failed
Fri Jun  2 18:41:47 2017 [2715][-none-][FATAL] FAILED LOGIN:attempts[1] - u01
т.е. теперь user аутентификацию прошел...

manik207 ()
Ответ на: Sugar и Suite - не смущает. По Suite мало инфы. от manik207

Дебаг запросов в LDAP включите и покажите лог при попытке входа пользователя обозначеного в группе.

В Group Name оставьте только suitecrm, учитвая что groupdn и groupattr даны, не имеет смысла в Group Name указывать полный dn группы - только имя. Все остальные настройки оставьте как я рекомендовал, включая последний параметр про DN и выкладывайте лог LDAP.

zgen ★★★★★ ()
Последнее исправление: zgen (всего исправлений: 3)
Ответ на: комментарий от zgen

В настройках crm оставила cn=suitecrm вместо полного пути, галочку With User DN.

Дебаг запросов - это какой уровень? Запустила с 2 уровнем, потом с 4. Выкладываю четвертый.

59325063 connection_get(15)
=> ldap_bv2dn(uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru,0)
<= ldap_bv2dn(uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(uid=suitecrm,ou=system,ou=people,dc=domen,dc=ru)=0
59325063 ==> hdb_bind: dn: uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru
59325063 send_ldap_result: err=0 matched="" text=""
59325063 connection_get(15)
=> ldap_bv2dn(dc=domen,dc=ru,0)
<= ldap_bv2dn(dc=domen,dc=ru)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(dc=domen,dc=ru)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(dc=domen,dc=ru)=0
59325063 SRCH "dc=domen,dc=ru" 2 059325063     0 0 0
59325063     filter: (uid=u01)
59325063     attrs:59325063  dn59325063  dn59325063
59325063 bdb_idl_fetch_key: [b49d1940]
59325063 <= bdb_equality_candidates: (uid) not indexed
59325063 send_ldap_result: err=0 matched="" text=""
59325063 connection_get(15)
59325063 connection_get(15)
=> ldap_bv2dn(uid=u01,ou=People,dc=domen,dc=ru,0)
<= ldap_bv2dn(uid=u01,ou=People,dc=domen,dc=ru)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(uid=u01,ou=People,dc=domen,dc=ru)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(uid=u01,ou=people,dc=domen,dc=ru)=0
59325063 ==> hdb_bind: dn: uid=u01,ou=People,dc=domen,dc=ru
59325063 send_ldap_result: err=0 matched="" text=""
59325063 connection_get(15)
=> ldap_bv2dn(dc=domen,dc=ru,0)
<= ldap_bv2dn(dc=domen,dc=ru)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(dc=domen,dc=ru)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(dc=domen,dc=ru)=0
59325063 SRCH "dc=domen,dc=ru" 2 059325063     0 0 0
59325063     filter: (uid=u01)
59325063     attrs:59325063  givenName59325063  sn59325063  mail59325063  telephoneNumber59325063  facsimileTelephoneNumber59325063  mobile59325063  street59325063  l59325063  st59325063  postalCode59325063  c59325063  member59325063
59325063 bdb_idl_fetch_key: [b49d1940]
59325063 <= bdb_equality_candidates: (uid) not indexed
59325063 send_ldap_result: err=0 matched="" text=""
59325063 connection_get(15)
Дебаг второго уровня - выглядит покоцанным, но это полная версия
ldap_read: want=8, got=8
  0000:  30 46 02 01 01 60 41 02                            0F...`A.
ldap_read: want=64, got=64
  0000:  01 03 04 31 75 69 64 3d  73 75 69 74 65 63 72 6d   ...1uid=suitecrm
  0010:  2c 6f 75 3d 53 79 73 74  65 6d 2c 6f 75 3d 50 65   ,ou=System,ou=Pe
  0020:  6f 70 6c 65 2c 64 63 3d  73 74 75 64 69 6b 73 2c   ople,dc=domen,
  0030:  64 63 3d 72 75 80 09 32  36 31 38 30 35 38 35 37   dc=ru..261805857
ldap_read: want=8 error=Resource temporarily unavailable
ldap_write: want=14, written=14
  0000:  30 0c 02 01 01 61 07 0a  01 00 04 00 04 00         0....a........
ldap_read: want=8, got=8
  0000:  30 3c 02 01 02 63 37 04                            0<...c7.
ldap_read: want=54, got=54
  0000:  10 64 63 3d 73 74 75 64  69 6b 73 2c 64 63 3d 72   .dc=domen,dc=r
  0010:  75 0a 01 02 0a 01 00 02  01 00 02 01 00 01 01 00   u...............
  0020:  a3 0a 04 03 75 69 64 04  03 75 30 31 30 08 04 02   ....uid..u010...
  0030:  64 6e 04 02 64 6e                                  dn..dn
ldap_read: want=8 error=Resource temporarily unavailable
5932532d <= bdb_equality_candidates: (uid) not indexed
ldap_write: want=45, written=45
  0000:  30 2b 02 01 02 64 26 04  22 75 69 64 3d 75 30 31   0+...d&."uid=u01
  0010:  2c 6f 75 3d 50 65 6f 70  6c 65 2c 64 63 3d 73 74   ,ou=People,dc=do
  0020:  75 64 69 6b 73 2c 64 63  3d 72 75 30 00            men,dc=ru0.
ldap_write: want=14, written=14
  0000:  30 0c 02 01 02 65 07 0a  01 00 04 00 04 00         0....e........
ldap_read: want=8, got=7
  0000:  30 05 02 01 03 42 00                               0....B.
ldap_read: want=8, got=0

ldap_read: want=8, got=8
  0000:  30 37 02 01 01 60 32 02                            07...`2.
ldap_read: want=49, got=49
  0000:  01 03 04 22 75 69 64 3d  75 30 31 2c 6f 75 3d 50   ..."uid=u01,ou=P
  0010:  65 6f 70 6c 65 2c 64 63  3d 73 74 75 64 69 6b 73   eople,dc=domen
  0020:  2c 64 63 3d 72 75 80 09  32 33 39 36 32 32 36 37   ,dc=ru..23962267
  0030:  36                                                 6
ldap_read: want=8 error=Resource temporarily unavailable
ldap_write: want=14, written=14
  0000:  30 0c 02 01 01 61 07 0a  01 00 04 00 04 00         0....a........
ldap_read: want=8, got=8
  0000:  30 81 a3 02 01 02 63 81                            0.....c.
ldap_read: want=158, got=158
  0000:  9d 04 10 64 63 3d 73 74  75 64 69 6b 73 2c 64 63   ...dc=domen,dc
  0010:  3d 72 75 0a 01 02 0a 01  00 02 01 00 02 01 00 01   =ru.............
  0020:  01 00 a3 0a 04 03 75 69  64 04 03 75 30 31 30 6e   ......uid..u010n
  0030:  04 09 67 69 76 65 6e 4e  61 6d 65 04 02 73 6e 04   ..givenName..sn.
  0040:  04 6d 61 69 6c 04 0f 74  65 6c 65 70 68 6f 6e 65   .mail..telephone
  0050:  4e 75 6d 62 65 72 04 18  66 61 63 73 69 6d 69 6c   Number..facsimil
  0060:  65 54 65 6c 65 70 68 6f  6e 65 4e 75 6d 62 65 72   eTelephoneNumber
  0070:  04 06 6d 6f 62 69 6c 65  04 06 73 74 72 65 65 74   ..mobile..street
  0080:  04 01 6c 04 02 73 74 04  0a 70 6f 73 74 61 6c 43   ..l..st..postalC
  0090:  6f 64 65 04 01 63 04 06  6d 65 6d 62 65 72         ode..c..member
ldap_read: want=8 error=Resource temporarily unavailable
5932532d <= bdb_equality_candidates: (uid) not indexed
ldap_write: want=124, written=124
  0000:  30 7a 02 01 02 64 75 04  22 75 69 64 3d 75 30 31   0z...du."uid=u01
  0010:  2c 6f 75 3d 50 65 6f 70  6c 65 2c 64 63 3d 73 74   ,ou=People,dc=do
  0020:  75 64 69 6b 73 2c 64 63  3d 72 75 30 4f 30 1b 04   men,dc=ru0O0..
  0030:  09 67 69 76 65 6e 4e 61  6d 65 31 0e 04 0c d0 9c   .givenName1.....
  0040:  d0 b8 d1 85 d0 b0 d0 b8  d0 bb 30 18 04 04 6d 61   ..........0...ma
  0050:  69 6c 31 10 04 0e 75 30  31 40 73 74 75 64 69 6b   il1...u01@dome
  0060:  73 2e 72 75 30 16 04 02  73 6e 31 10 04 0e d0 92   s.ru0...sn1.....
  0070:  d0 b0 d0 b2 d0 b8 d0 bb  d0 be d0 b2               ............
ldap_write: want=14, written=14
  0000:  30 0c 02 01 02 65 07 0a  01 00 04 00 04 00         0....e........
ldap_read: want=8, got=7
  0000:  30 05 02 01 03 42 00                               0....B.
ldap_read: want=8, got=0

manik207 ()
Ответ на: комментарий от zgen

Логи 32 Search filter processing

# /usr/sbin/slapd -d 32
5937c4b7 @(#) $OpenLDAP: slapd 2.4.40 (Nov  6 2016 01:21:28) $
        mockbuild@worker1.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.40/openldap-2.4.40/servers/slapd
5937c4b7 => test_filter
5937c4b7     PRESENT
5937c4b7 <= test_filter 6
5937c4b7 => test_filter
5937c4b7     PRESENT
5937c4b7 <= test_filter 6
5937c4b7 => test_filter
5937c4b7     PRESENT
5937c4b7 <= test_filter 6
< тут ~30 строк повторяются такие же блоки ...>
...
5937c4b7 slapd starting
5937c4c5 begin get_filter
5937c4c5 EQUALITY
5937c4c5 end get_filter 0
5937c4c5 => bdb_filter_candidates
5937c4c5        AND
5937c4c5 => bdb_list_candidates 0xa0
5937c4c5 => bdb_filter_candidates
5937c4c5        OR
5937c4c5 => bdb_list_candidates 0xa1
5937c4c5 => bdb_filter_candidates
5937c4c5        EQUALITY
5937c4c5 <= bdb_filter_candidates: id=0 first=0 last=0
5937c4c5 => bdb_filter_candidates
5937c4c5        EQUALITY
5937c4c5 <= bdb_equality_candidates: (uid) not indexed
5937c4c5 <= bdb_filter_candidates: id=-1 first=1 last=155
5937c4c5 <= bdb_list_candidates: id=-1 first=1 last=155
5937c4c5 <= bdb_filter_candidates: id=-1 first=1 last=155
5937c4c5 <= bdb_list_candidates: id=-1 first=1 last=155
5937c4c5 <= bdb_filter_candidates: id=-1 first=1 last=155
5937c4c5 => test_filter
5937c4c5     EQUALITY
5937c4c5 <= test_filter 5
5937c4c5 => test_filter
5937c4c5     EQUALITY
5937c4c5 <= test_filter 5
5937c4c5 => test_filter
5937c4c5     EQUALITY
< тут ~300 строк повторяются такие же блоки ...>
..
5937c4c5     EQUALITY
5937c4c5 <= test_filter 5
5937c4c5 begin get_filter
5937c4c5 EQUALITY
5937c4c5 end get_filter 0
5937c4c5 => bdb_filter_candidates
5937c4c5        AND
5937c4c5 => bdb_list_candidates 0xa0
5937c4c5 => bdb_filter_candidates
5937c4c5        OR
5937c4c5 => bdb_list_candidates 0xa1
5937c4c5 => bdb_filter_candidates
5937c4c5        EQUALITY
5937c4c5 <= bdb_filter_candidates: id=0 first=0 last=0
5937c4c5 => bdb_filter_candidates
5937c4c5        EQUALITY
5937c4c5 <= bdb_equality_candidates: (uid) not indexed
5937c4c5 <= bdb_filter_candidates: id=-1 first=1 last=155
5937c4c5 <= bdb_list_candidates: id=-1 first=1 last=155
5937c4c5 <= bdb_filter_candidates: id=-1 first=1 last=155
5937c4c5 <= bdb_list_candidates: id=-1 first=1 last=155
5937c4c5 <= bdb_filter_candidates: id=-1 first=1 last=155
5937c4c5 => test_filter
5937c4c5     EQUALITY
5937c4c5 <= test_filter 5
5937c4c5 => test_filter
5937c4c5     EQUALITY
5937c4c5 <= test_filter 5
5937c4c5 => test_filter
5937c4c5     EQUALITY
5937c4c5 <= test_filter 5
5937c4c5 => test_filter
< ~300 строк повторяются такие же блоки c 5937c4c5 => test_filter
5937c4c5     EQUALITY ...>

manik207 ()
Ответ на: комментарий от zgen

Логи 256 Statistics for connections, operations and results

 /usr/sbin/slapd -d 256
5937c564 @(#) $OpenLDAP: slapd 2.4.40 (Nov  6 2016 01:21:28) $
        mockbuild@worker1.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.40/openldap-2.4.40/servers/slapd
5937c564 slapd starting
5937c56e conn=1000 fd=15 ACCEPT from IP=XX.XX.XX.XXX:42228 (IP=0.0.0.0:389)
5937c56e conn=1000 op=0 BIND dn="uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru" method=128
5937c56e conn=1000 op=0 BIND dn="uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru" mech=SIMPLE ssf=0
5937c56e conn=1000 op=0 RESULT tag=97 err=0 text=
5937c56e conn=1000 op=1 SRCH base="dc=domen,dc=ru" scope=2 deref=0 filter="(uid=u01)"
5937c56e conn=1000 op=1 SRCH attr=dn dn
5937c56e <= bdb_equality_candidates: (uid) not indexed
5937c56e conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
5937c56e conn=1000 op=2 UNBIND
5937c56e conn=1000 fd=15 closed
5937c56e conn=1001 fd=15 ACCEPT from IP=XX.XX.XX.XXX:42230 (IP=0.0.0.0:389)
5937c56e conn=1001 op=0 BIND dn="uid=u01,ou=People,dc=domen,dc=ru" method=128
5937c56e conn=1001 op=0 BIND dn="uid=u01,ou=People,dc=domen,dc=ru" mech=SIMPLE ssf=0
5937c56e conn=1001 op=0 RESULT tag=97 err=0 text=
5937c56e conn=1001 op=1 SRCH base="dc=domen,dc=ru" scope=2 deref=0 filter="(uid=u01)"
5937c56e conn=1001 op=1 SRCH attr=givenName sn mail telephoneNumber facsimileTelephoneNumber mobile street l st postalCode c member
5937c56e <= bdb_equality_candidates: (uid) not indexed
5937c56e conn=1001 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
5937c56e conn=1001 op=2 UNBIND
5937c56e conn=1001 fd=15 closed
manik207 ()
Ответ на: Логи 256 Statistics for connections, operations and results от manik207

256 - нормально. Но тут я вижу вполне успешное подключение под пользователем u01. Видим, что пытаются достать аттрибут «member» из пользователя (а должны бы в группе, по логике).

Давайте заменим в настройках «member» на memberOf, и посмотрим какие запросы будут с этими настройками.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

member заменен на memberOf

/usr/sbin/slapd -d 256
5937d96b @(#) $OpenLDAP: slapd 2.4.40 (Nov  6 2016 01:21:28) $
        mockbuild@worker1.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.40/openldap-2.4.40/servers/slapd
5937d96b slapd starting
5937d98b conn=1000 fd=15 ACCEPT from IP=XX.XX.XX.XXX:60668 (IP=0.0.0.0:389)
5937d98b conn=1000 op=0 BIND dn="uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru" method=128
5937d98b conn=1000 op=0 BIND dn="uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru" mech=SIMPLE ssf=0
5937d98b conn=1000 op=0 RESULT tag=97 err=0 text=
5937d98b conn=1000 op=1 SRCH base="dc=domen,dc=ru" scope=2 deref=0 filter="(uid=u01)"
5937d98b conn=1000 op=1 SRCH attr=dn dn
5937d98b <= bdb_equality_candidates: (uid) not indexed
5937d98b conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
5937d98b conn=1000 op=2 UNBIND
5937d98b conn=1000 fd=15 closed
5937d98b conn=1001 fd=15 ACCEPT from IP=XX.XX.XX.XXX:60670 (IP=0.0.0.0:389)
5937d98b conn=1001 op=0 BIND dn="uid=u01,ou=People,dc=domen,dc=ru" method=128
5937d98b conn=1001 op=0 BIND dn="uid=u01,ou=People,dc=domen,dc=ru" mech=SIMPLE ssf=0
5937d98b conn=1001 op=0 RESULT tag=97 err=0 text=
5937d98b conn=1001 op=1 SRCH base="dc=domen,dc=ru" scope=2 deref=0 filter="(uid=u01)"
5937d98b conn=1001 op=1 SRCH attr=givenName sn mail telephoneNumber facsimileTelephoneNumber mobile street l st postalCode c memberOf
5937d98b <= bdb_equality_candidates: (uid) not indexed
5937d98b conn=1001 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
5937d98b conn=1001 op=2 UNBIND
5937d98b conn=1001 fd=15 closed

Проверила, может пароль неправильный у пользователя, отключила групповую аутентификацию, пользователь u01 авторизовался c вот такими логами:

5937daa4 slapd starting
5937dabb conn=1000 fd=15 ACCEPT from IP=XX.XX.XX.XXX:60894 (IP=0.0.0.0:389)
5937dabb conn=1000 op=0 BIND dn="uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru" method=128
5937dabb conn=1000 op=0 BIND dn="uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru" mech=SIMPLE ssf=0
5937dabb conn=1000 op=0 RESULT tag=97 err=0 text=
5937dabb conn=1000 op=1 SRCH base="dc=domen,dc=ru" scope=2 deref=0 filter="(uid=u01)"
5937dabb conn=1000 op=1 SRCH attr=dn dn
5937dabb <= bdb_equality_candidates: (uid) not indexed
5937dabb conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
5937dabb conn=1000 op=2 UNBIND
5937dabb conn=1000 fd=15 closed
5937dabb conn=1001 fd=15 ACCEPT from IP=XX.XX.XX.XXX:60896 (IP=0.0.0.0:389)
5937dabb conn=1001 op=0 BIND dn="uid=u01,ou=People,dc=domen,dc=ru" method=128
5937dabb conn=1001 op=0 BIND dn="uid=u01,ou=People,dc=domen,dc=ru" mech=SIMPLE ssf=0
5937dabb conn=1001 op=0 RESULT tag=97 err=0 text=
5937dabb conn=1001 op=1 SRCH base="dc=domen,dc=ru" scope=2 deref=0 filter="(uid=u01)"
5937dabb conn=1001 op=1 SRCH attr=givenName sn mail telephoneNumber facsimileTelephoneNumber mobile street l st postalCode c
5937dabb <= bdb_equality_candidates: (uid) not indexed
5937dabb conn=1001 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
5937dabb conn=1001 op=2 UNBIND
5937dabb conn=1001 fd=15 closed

manik207 ()
Ответ на: member заменен на memberOf от manik207

Не заметили? Никакой разницы за исключением того, что у пользователя не запрашивается memberof атрибут.

Никаких попыток проверить человека в группе не осуществляется. :)

zgen ★★★★★ ()
Последнее исправление: zgen (всего исправлений: 1)
Ответ на: комментарий от zgen

Т.е. группа и все настройки ее Suite'у побоку??? Тогда отключаю всю групповую аутентификацию, прописываю в User Filter - memberof=cn=suitecrm,ou=Group,dc=domen,dc=ru

И пользователь u01 авторизуется с логами:

5937e7e4 slapd starting
5937e80d conn=1000 fd=15 ACCEPT from IP=XX.XX.XX.XXX:45726 (IP=0.0.0.0:389)
5937e80d conn=1000 op=0 BIND dn="uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru" method=128
5937e80d conn=1000 op=0 BIND dn="uid=suitecrm,ou=System,ou=People,dc=domen,dc=ru" mech=SIMPLE ssf=0
5937e80d conn=1000 op=0 RESULT tag=97 err=0 text=
5937e80d conn=1000 op=1 SRCH base="dc=domen,dc=ru" scope=2 deref=0 filter="(&(uid=u01)(memberOf=cn=suitecrm,ou=group,dc=domen,dc=ru))"
5937e80d conn=1000 op=1 SRCH attr=dn dn
5937e80d <= bdb_equality_candidates: (uid) not indexed
5937e80d <= bdb_equality_candidates: (memberOf) not indexed
5937e80d conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
5937e80d conn=1000 op=2 UNBIND
5937e80d conn=1000 fd=15 closed
5937e80d conn=1001 fd=15 ACCEPT from IP=XX.XX.XX.XXX:45728 (IP=0.0.0.0:389)
5937e80d conn=1001 op=0 BIND dn="uid=u01,ou=People,dc=domen,dc=ru" method=128
5937e80d conn=1001 op=0 BIND dn="uid=u01,ou=People,dc=domen,dc=ru" mech=SIMPLE ssf=0
5937e80d conn=1001 op=0 RESULT tag=97 err=0 text=
5937e80d conn=1001 op=1 SRCH base="dc=domen,dc=ru" scope=2 deref=0 filter="(&(uid=u01)(memberOf=cn=suitecrm,ou=group,dc=domen,dc=ru))"
5937e80d conn=1001 op=1 SRCH attr=givenName sn mail telephoneNumber facsimileTelephoneNumber mobile street l st postalCode c
5937e80d <= bdb_equality_candidates: (uid) not indexed
5937e80d <= bdb_equality_candidates: (memberOf) not indexed
5937e80d conn=1001 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
5937e80d conn=1001 op=2 UNBIND
5937e80d conn=1001 fd=15 closed 

Другим пользователем, u02, который не в группе - не авторизует. Т.е. всё правильно и работает простая фильтрация?

manik207 ()
Ответ на: комментарий от zgen

Кстати, выполните сами этот запрос под пользователем uid=u01,ou=People,dc=domen,dc=ru
SRCH base=«dc=domen,dc=ru» scope=2 deref=0 filter="(uid=u01)"
Что вернет?

А это где нужно выполнить?

manik207 ()
Ответ на: комментарий от manik207

прописываю в User Filter
memberof=cn=suitecrm,ou=Group,dc=domen,dc=ru

О, так там user filter есть? Что ж вы молчали! )))

Все верно, такой фильтр отлично подходит под вашу задачу.


Вы молодец, что разобрались как дополнить фильтр, я было подумал что это для вас тёмный лес.

А это где нужно выполнить?

Учитывая вышенаписанное это уже не очень актуально.

zgen ★★★★★ ()
Последнее исправление: zgen (всего исправлений: 1)
11 июля 2017 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.