LINUX.ORG.RU
ФорумAdmin

openldap + outlook2003 + sambaPDC + групповые политики


0

0 

Поднял openldap 2.2 + samba 3.13 в качестве PDC.
(руководствовался, в основном, этой докой http://samba.idealx.org/smbldap-howto.en.html)

Все бы замечательно, но захотелось емейлы пользователей так же хранить в ldap-базе.
Пользователи - на outlook 2003 сидят.
Нашел вот этот документ http://www.yo-linux.com/TUTORIALS/LinuxTutorialLDAP-GILSchemaExtension.html
Там рассказывается, что нужно добавить в схемы ldap, что бы outlook видел емейлы.

Да, он их конечно видит (после подключения адресной книги в LDAP-хранилище), 
но не сразу, а только если в адресной книге нажать поиск, после чего ввести
пробел и ентер (звездочка в русском Outlook-е не срабатывает).
Да, еще в slapd.conf надо было прописать
access to dn.exact="" filter="(supportedControl=1.2.840.113556.1.4.319)"
(согласно http://www.openldap.org/lists/openldap-software/200408/msg00321.html)
Ибо в противном случае outlook ругается на "unavailable critical extension" и ничего не ищет.
Правда у меня openldap-2.2.24 при такой строке (первой в конфиге access-ов) вываливается 
с "segmentation fault".
Но вот такая строка
access to dn.exact="" attrs=supportedControl
ему нравится гораздо больше (надеюсь, она нигде больше не помешает).


Вопрос - можно ли как то заставить Outlook сразу при нажатии на значек адресной книги видеть всех
пользователей с емейлами в ldap-базе?


Идем дальше.
Я нашел две возможности администрировать PDC домен на самбе
1. С помощью ms-овской утилиты usrmgr.exe (от winnt)
2. С помощью IMC вебинтерфейса от idealx. http://www.idealx.org/prj/imc/about.html

Второй способ мне понравился значительно больше (даже не мне, а тем людям, кто этим доменом управляет,
в смысле заводят новых/стирает старых пользователей).
Но в обоих случаях есть минус - невозможно завести в домене пользователя и сразу указать там же его
емейл-адрес.

Да, при добавлении через .ldif файлы можно указать что угодно, но существуют ли какие либо веб-интерфейсы
с подобной функциональностью? Или может в IMC как то можно добавить такую возможность?
Я не нашел, как.


И последний вопрос. Не подскажите ли хорошую доку, как можно под samba PDC доменом организовать аналог
групповых политик (как в домене под windows2000). Понятно, что полного аналога не получится, 
но хотя бы нечто близкое :)


p.s. вопрос по одновременному заданию емейлов пользователям (вместе с созданием новых аккаунтов) для
меня наиболее важен.


> Вопрос - можно ли как то заставить Outlook сразу при нажатии на 
> значек адресной книги видеть всех пользователей с емейлами в ldap-базе?

нельзя, либо переписать outlook и доработать обработчик нажатия на
кнопку адресной книги.
используй thunderbird ;)
он синхронизирует кеш в файл.

anonymous2 ★★★★★
() 

> Не подскажите ли хорошую доку, как можно под samba PDC доменом организовать 
> аналог групповых политик (как в домене под windows2000).

а ACL здесь не помогают ?

anonymous2 ★★★★★
()
Ответ на: комментарий от anonymous2 

>>а ACL здесь не помогают 

так они же только на файловую систему со стороны samba-сервера.

А всякие там разграничения прав досупа на клиентской машине, настройки рабочего стола и тд - это как раз основная часть GPO, причем работающих на стороне клиента.


Насчет интерфейса управления sambaPDC + email-ы.
Мне подсказали посмотреть в сторону замечательного интерфейса Gosa https://gosa.gonicus.de/

Gosa оказалась именно той системой, что мне не хватало :)
И как я ее пропустил, когда искал веб-интерфейсы управления...

Осталось лишь разобраться, как на основе всего этого сделать групповые рассылки, 
т.е. посылаем письмо (пусть на определенный адрес), а его получает 
группа получателей в свои почтовые ящики.

Может я чего то не понял, но вроде как Gosa это делать не позволяет - 
там можно задать группу (testgroup), назначить ей емейл (testgroup@test.ru), 
добавить в группу нужных пользователей (у которых есть свои емейлы). 

Но как потом объяснить postfix-у, что сообщения, приходящие на 
testgroup@test.ru пересылать членам этой группы, я не понял.

Никто с этим не разбирался?


Чуть подробнее.
ldap запись тестовой группы с емейлом (лишние поля вырезаны)

dn: cn=testgroup,ou=groups,dc=test,dc=ru
structuralObjectClass: posixGroup
cn: testgroup
gidNumber: 1001
memberUid: user1
memberUid: user2
memberUid: user3
mail: testgroup@test.ru
gosaMailServer: imap://10.0.0.221
gosaMailDeliveryMode: [L]
gosaSharedFolderTarget: share+testgroup1
objectClass: gosaMailAccount
objectClass: top
objectClass: posixGroup


user1,user2,user3 - члены группы testgroup. Все они являются 
пользователями домена и имеют свои емейлы. 
Как рассказать postfix-у, что почту, приходящую на testgroup@test.ru, 
надо перенаправить на емейлы пользователей user1,user2,user3 (user1@test.ru,user2@test.ru,user3@test.ru) ?


Точнее говоря, одна возможность есть, но через "жо".
В интерфейсе Gosa, в настройках группы, раздел емейл, можно указать 
список емейлов в пункте "Пересылать сообщения не членам группы". 
Тогда вышеприведенная ldap-запись модифицируется следующим образом:


dn: cn=testgroup,ou=groups,dc=test,dc=ru
structuralObjectClass: posixGroup
cn: testgroup
gidNumber: 1001
memberUid: user1
memberUid: user2
memberUid: user3
mail: testgroup@test.ru
gosaMailServer: imap://10.0.0.221
gosaMailDeliveryMode: [L]
gosaMailForwardingAddress: otheruser1@test.ru
gosaMailForwardingAddress: otheruser1@test.ru
gosaSharedFolderTarget: share+testgroup1
objectClass: gosaMailAccount
objectClass: top
objectClass: posixGroup


т.е. появились поля
gosaMailForwardingAddress: otheruser1@test.ru
gosaMailForwardingAddress: otheruser1@test.ru

на эти емейлы, вероятно, сообщения уйдут. Но можно ли сделать более прямо, 
т.е. пересылать сообщения пользователям группы?

eightn
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin