Телеграмм чат группы clickhouse

а как вы DN пользователя вернете?

>

# returns DN of a user
ldapsearch -H "ldap://ldapserver:389" -D 'PW\firstname.lastname' -w 'password' -b 'OU=USERS,DC=DOMAIN,DC=LOCAL' '(&(objectClass=person)(samAccountName=firstname.lastname))' dn

будет как аттрибут?

19:05пожаловаться #1

DG

ну наверно да, если DN от DOMAIN\{user_name} будет реальный DN который мы сегодня так и не увидели 🙂

только у вас там CN достаточно

19:05пожаловаться #2

D

>

# returns DN of a user
ldapsearch -H "ldap://ldapserver:389" -D 'PW\firstname.lastname' -w 'password' -b 'OU=USERS,DC=DOMAIN,DC=LOCAL' '(&(objectClass=person)(samAccountName=firstname.lastname))' dn

будет как аттрибут?

а как вы узнали что надо писать samAccountName в фильтр? =)

19:05пожаловаться #3

DG

а это уже задача админа

19:06пожаловаться #4

D

Denis Glazachev in ClickHouse не тормозит

а это уже задача админа

и где в вашем конфиге это писать?
https://t.me/clickhouse_ru/203653

несовсем:

<bind_dn>DOMAIN\{user_name}</bind_dn>

….

<base_dn>dc=domain,dc=tld</base_dn>
<search_filter>(&(objectClass=groupOfNames)(member=CN={bind_dn:CN}))<search_filter>

19:06пожаловаться #5

DG

Denis Glazachev in ClickHouse не тормозит

Dj

и где в вашем конфиге это писать?
https://t.me/clickhouse_ru/203653

несовсем:

<bind_dn>DOMAIN\{user_name}</bind_dn>

….

<base_dn>dc=domain,dc=tld</base_dn>
<search_filter>(&(objectClass=groupOfNames)(member=CN={bind_dn:CN}))<search_filter>

например, вместо member=CN= написать member=samAccountName=

Alexey Shcherbakov in ClickHouse не тормозит

19:07пожаловаться #6

AS

ну наверно да, если DN от DOMAIN\{user_name} будет реальный DN который мы сегодня так и не увидели 🙂

надеюсь, главное иметь возможность достать атрибут )

Alexey Shcherbakov in ClickHouse не тормозит

19:07пожаловаться #7

AS

например, вместо member=CN= написать member=samAccountName=

а так разве работает, там же вроде требуется именно dn?

19:08пожаловаться #8

DG

Alexey Shcherbakov

надеюсь, главное иметь возможность достать атрибут )

я все еще думаю, что для вашего случая может и текущего функционала хватить.
Есть ли запись uid=s.v.petrov,OU=users_l0.2,OU=users_l0,DC=domain,DC=tld у вас?

19:08пожаловаться #9

D

【D】【J】 in ClickHouse не тормозит

например, вместо member=CN= написать member=samAccountName=

не втупил, можете полноценный конфиг написать на это?
https://t.me/clickhouse_ru/203621

можете пример фильтра?
userdn: CN=FirstName LastName,OU=RU-Users,OU=USERS,OU=DOMAIN,DC=LOCAL
имя пользователя: firstname.lastname (from samAccountName of user)

GroupDN: CN=DevelopmentOnTestServers,OU=GROUPS,OU=DOMAIN,DC=LOCAL
member: CN=FirstName LastName,OU=RU-Users,OU=USERS,OU=DOMAIN,DC=LOCAL

Alexey Shcherbakov in ClickHouse не тормозит

19:09пожаловаться #10

AS

я все еще думаю, что для вашего случая может и текущего функционала хватить.
Есть ли запись uid=s.v.petrov,OU=users_l0.2,OU=users_l0,DC=domain,DC=tld у вас?

в списке атрибутов uid нету

19:11пожаловаться #11

DG

【D】【J】 in ClickHouse не тормозит

Dj

не втупил, можете полноценный конфиг написать на это?
https://t.me/clickhouse_ru/203621

можете пример фильтра?
userdn: CN=FirstName LastName,OU=RU-Users,OU=USERS,OU=DOMAIN,DC=LOCAL
имя пользователя: firstname.lastname (from samAccountName of user)

GroupDN: CN=DevelopmentOnTestServers,OU=GROUPS,OU=DOMAIN,DC=LOCAL
member: CN=FirstName LastName,OU=RU-Users,OU=USERS,OU=DOMAIN,DC=LOCAL

<bind_dn>samAccountName={user_name},OU=RU-Users,OU=USERS,OU=DOMAIN,DC=LOCAL</bind_dn>

<base_dn>OU=GROUPS,OU=DOMAIN,DC=LOCAL</base_dn>
<attribute>CN</attribute>
<scope>subtree</scope>
<search_filter>(&(objectClass=group)(member=CN={bind_dn:CN},OU=RU-Users,OU=USERS,OU=DOMAIN,DC=LOCAL))</search_filter>

19:12пожаловаться #12

DG

Alexey Shcherbakov

в списке атрибутов uid нету

можно весь список аттрибутов?

19:13пожаловаться #13

DG

точнее

19:13пожаловаться #14

DG

те, у которых значение равно s.v.petrov

19:13пожаловаться #15

D

<bind_dn>samAccountName={user_name},OU=RU-Users,OU=USERS,OU=DOMAIN,DC=LOCAL</bind_dn>

<base_dn>OU=GROUPS,OU=DOMAIN,DC=LOCAL</base_dn>
<attribute>CN</attribute>
<scope>subtree</scope>
<search_filter>(&(objectClass=group)(member=CN={bind_dn:CN},OU=RU-Users,OU=USERS,OU=DOMAIN,DC=LOCAL))</search_filter>

<bind_dn>samAccountName={user_name},OU=RU-Users,OU=USERS,OU=DOMAIN,DC=LOCAL</bind_dn>

так нельзя. он не залогинится/не забиндится.

19:15пожаловаться #16

DG

тогда uid или то, куда должно пойти user_name и чтоб забиндилось

19:16пожаловаться #17

DG

у нас в наличии только user_name

19:16пожаловаться #18

D

у нас в наличии только user_name

смотрите:
в КХ - firstname.lastname
в LDAPbind надо отправить DOMAIN\firstname.lastname
в группах надо искать по user-DN

19:17пожаловаться #19

DG

ок, если байндюсь к DOMAIN\firstname.lastname и могу получить DN оттуда реальный, то bind_dn:DN будет ссылаться именно на него