В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

ClickHouse не тормозит

4779 membersпожаловаться на группу
2021 February 10

DG

Denis Glazachev in ClickHouse не тормозит
Dj
аха, вам по любому надо отделить юзернейм, и получать DN для него отдельно

https://t.me/clickhouse_ru/203596


# returns DN of a user
ldapsearch -H "ldap://ldapserver:389" -D 'PW\firstname.lastname' -w 'password' -b 'OU=USERS,DC=DOMAIN,DC=LOCAL' '(&(objectClass=person)(samAccountName=firstname.lastname))' dn

# finds group of user
ldapsearch -H "ldap://ldapserver:389" -D 'PW\firstname.lastname' -w 'password' -b 'OU=GROUPS,DC=DOMAIN,DC=LOCAL' '(&(objectClass=group)(member=CN=Firstname Lastname,OU=RU-Users,OU=USERS,DC=DOMAIN,DC=LOCAL))' name
Telegram
【D】【J】 in ClickHouse не тормозит
не совсем, bind_dn может не совпадать с именем пользователя. имя скорее всего будет в одном из полей (userPrincipalName, samAccountName, etc), на самом деле имею ввиду такое
<bind_username>DOMAIN\{user_name}</bind_username>
or
<bind_username>user_name@mydomain.dj</bind_username>
(bind_dn КХ должен сам получить после bind)

и разрешить подобное
<search_filter>(&amp;(objectClass=groupOfNames)(member={bind_dn}))</search_filter>
or
<search_filter>(&amp;(objectClass=groupOfNames)(member={bind_username}))</search_filter>

это будет правильней + решит проблемы подобного рода как у Алексея
Ну опять таки, все сводится к поддержке подстановок с заданием аттрибута из под bind_dn
источник
18:49пожаловаться#1

D

Dj in ClickHouse не тормозит
Denis Glazachev
Ну опять таки, все сводится к поддержке подстановок с заданием аттрибута из под bind_dn
у вас сводится к тому что bind_dn можно сконструировать используя username.
это не так
источник
18:50пожаловаться#2

DG

Denis Glazachev in ClickHouse не тормозит
т.е.
либо bind_dn (как сейчас)
либо bind_dn_base + bind_dn_attribute
источник
18:51пожаловаться#3

DG

Denis Glazachev in ClickHouse не тормозит
и поддержку подстановок {bind_dn:attr}
источник
18:51пожаловаться#4

AS

Alexey Shcherbakov in ClickHouse не тормозит
Dj
у вас сводится к тому что bind_dn можно сконструировать используя username.
это не так
+1 именно в этом проблема, нет возможности его сконструировать, от слова совсем. https://github.com/ClickHouse/ClickHouse/issues/20253 вот тут собственно прописал по сути схожее с тем, что предложили тут https://t.me/clickhouse_ru/203635
GitHub
Use service account for LDAP · Issue #20253 · ClickHouse/ClickHouse
Use case In some organisations are using AD with hierarchical structure (nested organisation unit) and DN follow this structure. As result we can not use permanent build_dn for users with different...
источник
18:52пожаловаться#5

D

Dj in ClickHouse не тормозит
Denis Glazachev
Ну опять таки, все сводится к поддержке подстановок с заданием аттрибута из под bind_dn
юзер может логинится в LDAP используя
bind_dn, userPrincipalName, samAccountName, и что угодно что можно наконфигурить...
т.е.
username=ivanov3443
bind_dn =CN=IVAN IVANOVICH IVANOV, OU=USERS, DC=ALTINITY, DC=COM
источник
18:52пожаловаться#6

DG

Denis Glazachev in ClickHouse не тормозит
Alexey Shcherbakov
+1 именно в этом проблема, нет возможности его сконструировать, от слова совсем. https://github.com/ClickHouse/ClickHouse/issues/20253 вот тут собственно прописал по сути схожее с тем, что предложили тут https://t.me/clickhouse_ru/203635
GitHub
Use service account for LDAP · Issue #20253 · ClickHouse/ClickHouse
Use case In some organisations are using AD with hierarchical structure (nested organisation unit) and DN follow this structure. As result we can not use permanent build_dn for users with different...
Там другое описано.
источник
18:52пожаловаться#7

D

Dj in ClickHouse не тормозит
Denis Glazachev
и поддержку подстановок {bind_dn:attr}
поддержка подстановок не нужна уже вроде
источник
18:53пожаловаться#8

D

Dj in ClickHouse не тормозит
Denis Glazachev
т.е.
либо bind_dn (как сейчас)
либо bind_dn_base + bind_dn_attribute
достаточно отделить logonname/username от bind_dn
источник
18:53пожаловаться#9

AS

Alexey Shcherbakov in ClickHouse не тормозит
Denis Glazachev
Там другое описано.
ну да, там через сервисного юзера, если взять вариант предложеный DJ, то отпадает лишь этап проверки пароля пользователя, остальное остается
источник
18:53пожаловаться#10

DG

Denis Glazachev in ClickHouse не тормозит
Dj
поддержка подстановок не нужна уже вроде
нужна вроде, мы же хотим s.v.petrov в кликхаусе а не `Петров Сергей Владимирович`-а
источник
18:54пожаловаться#11

D

Dj in ClickHouse не тормозит
а мы в КХ же создаем пользователей, да? тогда да, нужно userNameAttribute добавить
источник
18:54пожаловаться#12

DG

Denis Glazachev in ClickHouse не тормозит
Dj
а мы в КХ же создаем пользователей, да? тогда да, нужно userNameAttribute добавить
нет, юзер нейм фиксированный, и тот, который указали при инициации сессии в кликхаусе. Менять его не надо. А вот под какое поле подставить при создании bind_dn - это да, нужно указать. Вот декомпозицию bind_dn может не стоит делать, т.е. только {bind_dn:attr} должно хватить
источник
18:56пожаловаться#13

D

Dj in ClickHouse не тормозит
Denis Glazachev
нет, юзер нейм фиксированный, и тот, который указали при инициации сессии в кликхаусе. Менять его не надо. А вот под какое поле подставить при создании bind_dn - это да, нужно указать. Вот декомпозицию bind_dn может не стоит делать, т.е. только {bind_dn:attr} должно хватить
тогда фильтр не нужен, КХ может сам генерить

<username>DOMAIN\{user_name}</username>
<usernameAttribute>samAccountName</usernameAttribute>
источник
18:57пожаловаться#14

DG

Denis Glazachev in ClickHouse не тормозит
фильтр поиска нужен по-любому
источник
18:58пожаловаться#15

D

Dj in ClickHouse не тормозит
Denis Glazachev
фильтр поиска нужен по-любому
ну если не хардкодить то:
<username>DOMAIN\{user_name}</username>
<usernameAttribute>samAccountName</usernameAttribute>
<user_filter>(&(objectClass=person)(samAccountName={user_name}))</user_filter>
источник
18:59пожаловаться#16

DG

Denis Glazachev in ClickHouse не тормозит
Dj
ну если не хардкодить то:
<username>DOMAIN\{user_name}</username>
<usernameAttribute>samAccountName</usernameAttribute>
<user_filter>(&(objectClass=person)(samAccountName={user_name}))</user_filter>
несовсем:

<bind_dn>DOMAIN\{user_name}</bind_dn>

….

<base_dn>dc=domain,dc=tld</base_dn>
<search_filter>(&amp;(objectClass=groupOfNames)(member=CN={bind_dn:CN}))<search_filter>
источник
19:02пожаловаться#17

AS

Alexey Shcherbakov in ClickHouse не тормозит
Denis Glazachev
несовсем:

<bind_dn>DOMAIN\{user_name}</bind_dn>

….

<base_dn>dc=domain,dc=tld</base_dn>
<search_filter>(&amp;(objectClass=groupOfNames)(member=CN={bind_dn:CN}))<search_filter>
<search_filter>(&amp;(objectClass=groupOfNames)(member={bind_dn:DN}))<search_filter>
тоже валидно?
источник
19:03пожаловаться#18

D

Dj in ClickHouse не тормозит
Denis Glazachev
несовсем:

<bind_dn>DOMAIN\{user_name}</bind_dn>

….

<base_dn>dc=domain,dc=tld</base_dn>
<search_filter>(&amp;(objectClass=groupOfNames)(member=CN={bind_dn:CN}))<search_filter>
а как вы DN пользователя вернете?
источник
19:03пожаловаться#19

DG

Denis Glazachev in ClickHouse не тормозит
Alexey Shcherbakov
<search_filter>(&amp;(objectClass=groupOfNames)(member={bind_dn:DN}))<search_filter>
тоже валидно?
ну наверно да, если DN от DOMAIN\{user_name} будет реальный DN который мы сегодня так и не увидели 🙂
источник
19:04пожаловаться#20