Nu, Active Directory sa faca managementul domeniului local, iar OpenLDAP serviciile mail si ce-o mai fi (web, news) ; doar ca prin serviciul respectiv cand un user isi schimba parola pe windows, acesta o trimite la linux ( acum schimba "shadow password"), asa ca o poate schimba si in LDAP. Slackware nu are nativ suport de pam, de asta am mers pe calea directa ( de fapt initial am pus suport de pam, am vazut ca im trunchia parolele la 8 caractere, dupa multa vreme am aflat si de ce , dar intre timp renuntasem deja la pam si nu m-am mai intors).... Problema e ca am o infrastructura deja functionala ( sa fie ceva vreme) , si nu vreau sa fac modificarile de-o data ... si ca domeniul masinii (olm.ro) nu e identic cu cel folosit in principal (cg-gc.ro) asa ca am useri virtuali, ce vrei, istoria e o povara pentru toti ... Cristian Mitrana wrote:
>Mihai Badici wrote: > > >>Analiza mea e corecta pentru ca e de fapt un comentariu din cod :) >>: >>/* Some infos : >> * This is an anonymous bind to LDAP server. >> * The first connection return the mailRoutingAddress for user. >> * This *must* be the username of the user. If not, this is not >> * a local mailbox. Then, after lookup for the username (userid), >> * we made another bind, with the user supplied cred / pasword. >> * If this bind is done, then user is identified. >>Nu am cine stie ce experienta cu LDAP, de asta ma gandesc si la >>eficienta ( mail-ul meu merge foarte bine si fara, dar vine o zi in >>viata unui admin cand vrea o schimbare :) ) >>Ma gandeam eu ca o sa ai ceva de spus, am vazut niste contrib-uri de ale >>tale pe aceasta tema ( eu deocamdata doar ma documentez) >>Roadmap-ul meu ar fi urmatorul: >>1. sa adaug in SFU o functie care sa schimbe parola de LDAP ( >>deocamdata l-am modificat in asa fel incat exista o functie >>"change_pass(user, parola)" ; deocamdata acolo exista doar schimbarea de >>shadow password, dar aducand-o la aceasta forma pot adauga functii care >>sa le schimbe ce vreau eu . Inca mai stau in dubiu daca nu ar fi cel mai >>simplu sa pun direct un apel la ldappasswd, mai ales ca aici chiar nu >>conteaza eficienta. >> >> > > Nu asta ar fi solutia LDAP corecta, exista un 'control' LDAP special >care face treaba asta, schimba parola si o stocheaza coresunzator >in formatul lui. E un fel de 'passwd' direct in LDAP. AFAIK >exista pam_ldap care stie sa foloseasca direct aceasta facilitate si >sa schimbe parola doar 'vorbind' cu serverul. > > > >>2. Sa mut autentificarea pop3 de la shadow la ldap ( nu folosesc teapop, >>dar pot lua codul aproape direct) >> >> >Poti folosi courier-imap (care stie si pop3) are suport nativ de LDAP. >Ruta ocolitoare ar fi via pam->pam_ldap, cu avantajul ca poti folosi >pam si se integreaza mai simplu cu alte aplicatii (smtp-auth, imap, login). > > >>3. Sa folosesc lookuptables LDAP la postfix ( asta exista, doar trebuie >>sa ma joc cu ele) >> >> >Merg de minune, dar in functie de numarul de useri/trafic trebuie sa >vezi ce incarcare o sa ai pe serverul LDAP. > > > >>4. Sa produc doua utilitare ( m-am gandit ca s-ar putea numi clientadd >>si clientdel) care sa adauge, recte sa stearga userii virtuali ( asta in >>cazul in care mai trebuie facut si altceva decat sa adaug useri in >>LDAP, altfel pot folosi ldapadd). >> >> >Vezi jamm.sf.net daca vrei sa folosesti openldap, nu stiu daca suporta >si serverul LDAP din AD; poti folosi ideile de acolo pentru >setup-ul postfix/courier-imap cu LDAP. > > > >>Si asa voi fi mai fericit avand un server de mail cu clienti "perfect >>virtuali" ale caror parole se schimba direct din statiile lor de windows >>legate la Active Directory :) >> >> >> > > Sa inteleg din cele de mai sus ca vrei sa folosesti direct serverul >LDAP Windows pentru toata treaba asta ? > > >mitu > >--- >Detalii despre listele noastre de mail: http://www.lug.ro/ > > > > >. > > > --- Detalii despre listele noastre de mail: http://www.lug.ro/
