[OpenLDAP] Replica da OpenLDAP a Sun Java System Directory Server

[Riccardo Minet]

Buongiorno a tutti,
 avendo l'esigenza di replicare un ramo del nostro Master OpenLDAP 
verso un cliente che utilizza un directory server di Sun (ormai Oracle),

 mi chiedevo se qualcuno ha fatto esperienze in merito.
 Si può fare o è necessario affiancare un Server di Sun (che ovviamente 
andrà alimentato in modo da creare una replica locale del ramo 
interessato) su cui attivare l'accordo di replica verso lo slave esterno?

 (OpenLdap versione 2.4 , Sun 5.2)

Grazie,
 Riccardo Minet
 Area Sviluppo
 ACTALIS S.p.A.
 http://www.actalis.it

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[simo]

On Fri, 2010-05-14 at 14:16 +0200, Mauro wrote:
> 
> Puoi parlare piu' terra a terra?
> Le due objectClass le posso utilizzare assieme oppure no? Senza
> estensioni.
> Noto che entrambe definiscono l'attributo mail, che da me risulta
> valorizzato.
> E' questo il problema?
> Perdona la mia ignoranza. 

Siccome una deriva dall'altra si possono usare sullo stesso oggetto
(visto che una *implica* l'altra), ma solo su oggetti nuovi.

Normalmente openLdap non permette di aggiungere classi strutturali ad
oggetti esistenti, indipendentemente dal fatto che siano compatibili o
meno. Per cui per modificare gli oggetti esistenti devi usare il
controllo manageDSAit che "rilassa" questa restrizione e ti permette di
aggiungere la classe strutturale.

Simo.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Luca Scamoni]

Il 14/05/2010 14:16, Mauro ha scritto:
> 2010/5/14 Luca Scamoni :
>   
>> Il 14/05/2010 13:39, Mirko ML ha scritto:
>>
>> Il 14/05/2010 13:32, Mauro ha scritto:
>> [...]
>>
>>
>> Appunto, allora perche' quell'errore?
>> Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
>> esserci per poter utilizzare VirtualMailAccount.
>> Sbaglio?
>>
>>
>> nella dichiarazione del dn non serve che metti come objectclass
>> Inetorgperson, ma solo VirtualMailAccount
>> un ldapsearch deve tornarti una cosa simile a quella dell'esempio della
>> mail precedente e che trovi anche negli esempi di phamm
>>
>>
>>
>> L'errore non nasce dalla definizione dell'objectclass nello schema ma dal
>> suo uso
>> Nello schema posso mettere quante objectclass strutturali voglio ma per il
>> directory importano solo quelle che effettivamente adopero
>> Qui il problema è che nel directory esistono già degli oggetti con
>> objectclass strutturale inetOrgPerson a cui si vuole aggiungere una nuova
>> objectclass strutturale da essa derivata.
>> Il problema non ce l'hai con gli oggeti creati ex-novo ma con quelli
>> esistenti che vai a modificare. In questo caso l'operazione di ldapmodify
>> fallisce perchè si cerca di modificare l'attributo structuralObjectClass e
>> questo NON è permesso se non utilizzando l'estensione manageDSAit
>> 
> Puoi parlare piu' terra a terra?
> Le due objectClass le posso utilizzare assieme oppure no? Senza estensioni.
> Noto che entrambe definiscono l'attributo mail, che da me risulta valorizzato.
> E' questo il problema?
> Perdona la mia ignoranza.
>
>   
Confesso che più terra terra di così ho dei problemi...
Dunque...
nella definizione degli oggetti occorre UNA e UNA SOLA objectclass
strutturale e un qualsivoglia numero di objectclass ausiliarie.
Per la proprietà di ereditarietà un oggetto definito da una objectclass
strutturale eredita tutte le caratteristiche delle objectclass padre.
Ricordate che una objectclass strutturale "derivata" da un'altra può
solo "aumentare" la objectclass padre.
Virtualmailaccount è di per sè sufficiente a definire un oggetto perchè
in realtà porta con se tutta la definizione dei suoi genitori.
Se tu crei un oggetto nuovo e dici che la sua objectclass è
virtualmailaccount non ci sono problemi.
Se tu cerchi di modificare un oggetto esistente aggiungendo
l'objectclass virtualmailaccount il DSA deve intervenire modificando
l'attributo operazionale structuralobjectclass e questo NON è permesso,
normalmente, per motivi di sicurezza. Per fargli accettare la modifica
DEVI aggiungere all'operazione di ldapmodify l'estensione manageDSAit.
 

-- 

/Luca Scamoni
/
*Gruppo Partners Associates*
Tel. Milano +39 02 67380435* *- Udine +39 0432 689815 - Roma +39 06 54832300
Fax Milano +39 02 67386214 - Udine +39 0432 570120 - Roma +39 06 91659273
Cell. +39 348 0471710
Email: luca.scam...@gruppopa.it 
Sito: _www.GruppoPA.it_  


Prima di stampare, pensa all'ambiente ** Think about the environment
before printing

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/14 Luca Scamoni :
> Il 14/05/2010 13:39, Mirko ML ha scritto:
>
> Il 14/05/2010 13:32, Mauro ha scritto:
> [...]
>
>
> Appunto, allora perche' quell'errore?
> Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
> esserci per poter utilizzare VirtualMailAccount.
> Sbaglio?
>
>
> nella dichiarazione del dn non serve che metti come objectclass
> Inetorgperson, ma solo VirtualMailAccount
> un ldapsearch deve tornarti una cosa simile a quella dell'esempio della
> mail precedente e che trovi anche negli esempi di phamm
>
>
>
> L'errore non nasce dalla definizione dell'objectclass nello schema ma dal
> suo uso
> Nello schema posso mettere quante objectclass strutturali voglio ma per il
> directory importano solo quelle che effettivamente adopero
> Qui il problema è che nel directory esistono già degli oggetti con
> objectclass strutturale inetOrgPerson a cui si vuole aggiungere una nuova
> objectclass strutturale da essa derivata.
> Il problema non ce l'hai con gli oggeti creati ex-novo ma con quelli
> esistenti che vai a modificare. In questo caso l'operazione di ldapmodify
> fallisce perchè si cerca di modificare l'attributo structuralObjectClass e
> questo NON è permesso se non utilizzando l'estensione manageDSAit

Puoi parlare piu' terra a terra?
Le due objectClass le posso utilizzare assieme oppure no? Senza estensioni.
Noto che entrambe definiscono l'attributo mail, che da me risulta valorizzato.
E' questo il problema?
Perdona la mia ignoranza.

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Luca Scamoni]

Il 14/05/2010 13:39, Mirko ML ha scritto:
> Il 14/05/2010 13:32, Mauro ha scritto:
> [...]
>   
>> Appunto, allora perche' quell'errore?
>> Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
>> esserci per poter utilizzare VirtualMailAccount.
>> Sbaglio?
>> 
> nella dichiarazione del dn non serve che metti come objectclass
> Inetorgperson, ma solo VirtualMailAccount
> un ldapsearch deve tornarti una cosa simile a quella dell'esempio della
> mail precedente e che trovi anche negli esempi di phamm
>
>   
L'errore non nasce dalla definizione dell'objectclass nello schema ma
dal suo uso
Nello schema posso mettere quante objectclass strutturali voglio ma per
il directory importano solo quelle che effettivamente adopero
Qui il problema è che nel directory esistono già degli oggetti con
objectclass strutturale inetOrgPerson a cui si vuole aggiungere una
nuova objectclass strutturale da essa derivata.
Il problema non ce l'hai con gli oggeti creati ex-novo ma con quelli
esistenti che vai a modificare. In questo caso l'operazione di
ldapmodify fallisce perchè si cerca di modificare l'attributo
structuralObjectClass e questo NON è permesso se non utilizzando
l'estensione manageDSAit


-- 

/Luca Scamoni
/
*Gruppo Partners Associates*
Tel. Milano +39 02 67380435* *- Udine +39 0432 689815 - Roma +39 06 54832300
Fax Milano +39 02 67386214 - Udine +39 0432 570120 - Roma +39 06 91659273
Cell. +39 348 0471710
Email: luca.scam...@gruppopa.it 
Sito: _www.GruppoPA.it_  


Prima di stampare, pensa all'ambiente ** Think about the environment
before printing

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/14 Mirko ML :
> Il 14/05/2010 13:32, Mauro ha scritto:
> [...]
>> Appunto, allora perche' quell'errore?
>> Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
>> esserci per poter utilizzare VirtualMailAccount.
>> Sbaglio?
> nella dichiarazione del dn non serve che metti come objectclass
> Inetorgperson, ma solo VirtualMailAccount
> un ldapsearch deve tornarti una cosa simile a quella dell'esempio della
> mail precedente e che trovi anche negli esempi di phamm

Ma la inetOrgPerson contiene degli attributi che utilizzo e che
VirtualMailAccount non ha.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/14 Mirko ML :
> Il 14/05/2010 12:44, Mauro ha scritto:
>> Salve.
>> Ho vari accounts registrati su openldap, le objectClasses sono:
>>
>> top
>> person
>> organizationalPerson
>> inetOrgPerson
>>
>> alle quali ho aggiunto Vacation presa da phamm-vacation.schema.
>> Tutto funziona perfettamente.
>> Successivamente mi sono trovato nella necessita' di gestire un
>> ulteriore attributo: accountActive che ho trovato nella objectClass
>> VirtualMailAccount in phamm.schema.
>> Ho provato ad aggiungere questa objectClass, valorizzato tutti gli
>> attributi richiesti ma ottengo questo errore:
>>
>> entry failed schema check: structural object class modification from
>> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>>
>> Significa che non posso usare le objectClass inetOrgPerson e
>> VirtualMailAccount assieme?
>
> Puoi usarle senza alcun problema insieme.
>
> Considera comunque che la dichiarazione della objectclass
> VirtualMailAccount è la seguente:
>
> objectclass ( 1.3.6.1.4.1.22339.1.2.1 NAME 'VirtualMailAccount'
>        SUP inetOrgPerson STRUCTURAL
>
> che è stata pensata per "derivare" diversi attributi da Inetorgperson

Appunto, allora perche' quell'errore?
Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
esserci per poter utilizzare VirtualMailAccount.
Sbaglio?

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mauro]

2010/5/14 Luca Scamoni :
> Non so come stai cercando di aggiungere la nuova objectclass ma, se
> virtualmailaccount è  STRUCTURAL ed è nella stessa catena gerarchica di
> inetOrgPerson, potrebbe essere necessario utilizzare l'estensione
> manageDSAit per consentire la modifica
> I constraint applicati sulle recenti versioni di openldap infatti
> impediscono le modifiche che potrebbero portare a una situazione
> inconsistente

Perdona non ho capito.
Semplicemente aggiungo la objectClass virtualmailaccount all'elenco di
quelle che gia' ho.
Riporto un frammento del file .schema:

objectclass ( 1.3.6.1.4.1.22339.1.2.1 NAME 'VirtualMailAccount'
SUP inetOrgPerson STRUCTURAL
DESC 'Mail account objects'
MUST ( mail $ vdHome $ mailbox $ accountActive $ lastChange $ delete )
MAY ( quota $ otherTransport $ editAccounts $ creationDate $
createMaildir $ smtpAuth $ expireDate $ mailAutoreply $
bypassGreyListing) )

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mirko ML]

Il 14/05/2010 13:32, Mauro ha scritto:
[...]
> Appunto, allora perche' quell'errore?
> Io interpreto SUP inetOrgPerson come classe padre, che quindi deve
> esserci per poter utilizzare VirtualMailAccount.
> Sbaglio?
nella dichiarazione del dn non serve che metti come objectclass
Inetorgperson, ma solo VirtualMailAccount
un ldapsearch deve tornarti una cosa simile a quella dell'esempio della
mail precedente e che trovi anche negli esempi di phamm

-- 
Ciao
Mirko
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Mirko ML]

Il 14/05/2010 12:44, Mauro ha scritto:
> Salve.
> Ho vari accounts registrati su openldap, le objectClasses sono:
> 
> top
> person
> organizationalPerson
> inetOrgPerson
> 
> alle quali ho aggiunto Vacation presa da phamm-vacation.schema.
> Tutto funziona perfettamente.
> Successivamente mi sono trovato nella necessita' di gestire un
> ulteriore attributo: accountActive che ho trovato nella objectClass
> VirtualMailAccount in phamm.schema.
> Ho provato ad aggiungere questa objectClass, valorizzato tutti gli
> attributi richiesti ma ottengo questo errore:
> 
> entry failed schema check: structural object class modification from
> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
> 
> Significa che non posso usare le objectClass inetOrgPerson e
> VirtualMailAccount assieme?

Puoi usarle senza alcun problema insieme.

Considera comunque che la dichiarazione della objectclass
VirtualMailAccount è la seguente:

objectclass ( 1.3.6.1.4.1.22339.1.2.1 NAME 'VirtualMailAccount'
SUP inetOrgPerson STRUCTURAL

che è stata pensata per "derivare" diversi attributi da Inetorgperson

quindi otterresti questo per un dn

dn:mail=john@example.tld,vd=example.tld,o=hosting,dc=example,dc=tld
objectClass: top
objectClass: VirtualMailAccount
objectClass: Vacation
objectClass: amavisAccount
objectClass: VirtualForward
mail: john@example.tld
etc etc

mentre la objectclass Vacation ha come gerarchia TOP ed è comunque AUXILIARY

HTH


-- 
Ciao
Mirko
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Re: [OpenLDAP] cosa significa?

[Luca Scamoni]

Non so come stai cercando di aggiungere la nuova objectclass ma, se
virtualmailaccount è  STRUCTURAL ed è nella stessa catena gerarchica di
inetOrgPerson, potrebbe essere necessario utilizzare l'estensione
manageDSAit per consentire la modifica
I constraint applicati sulle recenti versioni di openldap infatti
impediscono le modifiche che potrebbero portare a una situazione
inconsistente

Il 14/05/2010 12:44, Mauro ha scritto:
> Salve.
> Ho vari accounts registrati su openldap, le objectClasses sono:
>
> top
> person
> organizationalPerson
> inetOrgPerson
>
> alle quali ho aggiunto Vacation presa da phamm-vacation.schema.
> Tutto funziona perfettamente.
> Successivamente mi sono trovato nella necessita' di gestire un
> ulteriore attributo: accountActive che ho trovato nella objectClass
> VirtualMailAccount in phamm.schema.
> Ho provato ad aggiungere questa objectClass, valorizzato tutti gli
> attributi richiesti ma ottengo questo errore:
>
> entry failed schema check: structural object class modification from
> 'inetOrgPerson' to 'VirtualMailAccount' not allowed
>
> Significa che non posso usare le objectClass inetOrgPerson e
> VirtualMailAccount assieme?
> ___
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap
>
>   


-- 

/Luca Scamoni
/
*Gruppo Partners Associates*
Tel. Milano +39 02 67380435* *- Udine +39 0432 689815 - Roma +39 06 54832300
Fax Milano +39 02 67386214 - Udine +39 0432 570120 - Roma +39 06 91659273
Cell. +39 348 0471710
Email: luca.scam...@gruppopa.it 
Sito: _www.GruppoPA.it_  


Prima di stampare, pensa all'ambiente ** Think about the environment
before printing

___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

[OpenLDAP] cosa significa?

[Mauro]

Salve.
Ho vari accounts registrati su openldap, le objectClasses sono:

top
person
organizationalPerson
inetOrgPerson

alle quali ho aggiunto Vacation presa da phamm-vacation.schema.
Tutto funziona perfettamente.
Successivamente mi sono trovato nella necessita' di gestire un
ulteriore attributo: accountActive che ho trovato nella objectClass
VirtualMailAccount in phamm.schema.
Ho provato ad aggiungere questa objectClass, valorizzato tutti gli
attributi richiesti ma ottengo questo errore:

entry failed schema check: structural object class modification from
'inetOrgPerson' to 'VirtualMailAccount' not allowed

Significa che non posso usare le objectClass inetOrgPerson e
VirtualMailAccount assieme?
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap