Re: [OpenLDAP] backend multipli
Caro Marco Esatto anche questo. Vedo che anche nell'esempio che citi sotto non indichi mai la direttiva "database meta". Il meta, nonostante sia "virtuale", e' pur sempre un database di OpenLDAP e quindi deve essere dichiarato come tale. Le direttive "uri" devono stare sotto/dopo la direttiva "database meta". Cosa intendi per direttiva "database meta"., nel mio caso come dovrebbe essere dichiarata? Ti ho perso quando dici "saranno sincronizzati a due server remoti". Chiarisci se stai dicendo che faranno da producer (master) o da consumer (slave). In pratica presso la sede del polo didattico mi trovo uno o due server che si sincronizzano con i server in remoto e utilizzo questi server che si trovano presso la sede del polo didattico per l'autenticazione. funziona cosi: server remoto---syncrepl su server locale ---datababe ldap in locale usato come backend dallo stesso server locale per l'autenticazione in PDC di samba Spero di essere stato chiaro e scusate ancora, non sono esperto su ldap. Ciao Luigi Marco Pizzoli ha scritto: 2011/3/25 Luigi Augello lauge...@unipa.it Vediamo se ho capito inserendo suffix "dc=unipa,dc=it" uri"ldap://xx.xx/ou=Studenti,dc=unipa,dc=it" "ldap://y.yyy/ou=Utenti,dc=unipa,dc=it" Qualora dovessi fare un'interrogazione di uno studente "proxa" sul server xx.xx, mentre se faccio un interrogazione di un utente, allora "proxa" sul server y.yyy. Detta cosi' e' un po' troppo semplice... Con back_meta ottieni una fusione logica degli oggetti, quindi ottieni un database virtuale che presenta sotto un unico suffix tutti gli oggetti reperiti da fonti "esterne". Tu devi definire la regola su come viene effettuata la conversione tra il dit sorgente e quello virtuale presentato al client. Venendo al tuo esempio, tu stai creando una radice chiamata "dc=unipa,dc=it" e sotto questa radice stai inserendo tutti gli oggetti che sugli altri server si trovano sotto "ou=Studenti,dc=unipa,dc=it" (nel primo) e "ou=Utenti,dc=unipa,dc=it" (nel secondo). Quindi: dc=unipa,dc=it |- cn: studente1 |- cn: utente1 |- cn: utente2 |- cn: studente2 |- ecc... il fatto che un utente venga trovato sul server degli studenti o quello degli utenti e' diretta conseguenza di come il client ha fatto la ricerca, o meglio di quale condizione di filtro ha impostato nella search. Chiaritemi ancora dei dubbi - Su server back_meta fisicamente noni risiede nessun database? Esatto - Se così fosse e volessi invece che o entrambi i database o uno solamente risieda sul mio server allora dovrei fare uri"ldap://127.0.0.1/ou=Studenti,dc=unipa,dc=it" "ldap://y.yyy/ou=Utenti,dc=unipa,dc=it" giusto? Esatto anche questo. Vedo che anche nell'esempio che citi sotto non indichi mai la direttiva "database meta". Il meta, nonostante sia "virtuale", e' pur sempre un database di OpenLDAP e quindi deve essere dichiarato come tale. Le direttive "uri" devono stare sotto/dopo la direttiva "database meta". - nella mia attuale configurazione utilizzo la clausola syncrepl per replicare un database remoto e la clausola subordinate come artificio per poter aggiungere degli utenti in locale. Di seguito la configurazione ## include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/samba.schema allow bind_v2 #referral ldap://root.openldap.org pidfile /var/run/slapd/slapd.pid argsfile/var/run/slapd/slapd.args # modulepath/usr/sbin/openldap # moduleloadback_bdb.la # moduleloadback_ldap.la # moduleloadback_ldbm.la # moduleloadback_passwd.la # moduleloadback_shell.la # TLSCACertificateFile /usr/share/ssl/certs/ca-bundle.crt # TLSCertificateFile /usr/share/ssl/certs/slapd.pem # TLSCertificateKeyFile /usr/share/ssl/certs/slapd.pem # security ssf=1 update_ssf=112 simple_bind=64 databasehdb suffix "ou=Studenti,dc=unipa,dc=it" directory /home/dati/studenti rootdn "cn=,ou=Studenti,dc=unipa,dc=it" rootpw xxx subordinate ## con questa direttiva dico che "ou=Studenti,dc=unipa,dc=it" ## è subordinata a dc=unipa,dc=it e in questo modo in ## dc=unipa,dc=it posso aggiungere degli utenti locali index objectClass eq index uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial index sambaSid eq index sambaPrimaryGroupSID eq index sambaDomainName eq index entryUUID eq
Re: [OpenLDAP] backend multipli
2011/3/25 Luigi Augello lauge...@unipa.it Vediamo se ho capito inserendo suffix dc=unipa,dc=it urildap://xx.xx/*ou=Studenti,dc=unipa,dc=it*; ldap://y.yyy/*ou=Utenti,dc=unipa,dc=it*; Qualora dovessi fare un'interrogazione di uno studente proxa sul server xx.xx, mentre se faccio un interrogazione di un utente, allora proxa sul server y.yyy. Detta cosi' e' un po' troppo semplice... Con back_meta ottieni una fusione logica degli oggetti, quindi ottieni un database virtuale che presenta sotto un unico suffix tutti gli oggetti reperiti da fonti esterne. Tu devi definire la regola su come viene effettuata la conversione tra il dit sorgente e quello virtuale presentato al client. Venendo al tuo esempio, tu stai creando una radice chiamata dc=unipa,dc=it e sotto questa radice stai inserendo tutti gli oggetti che sugli altri server si trovano sotto ou=Studenti,dc=unipa,dc=it (nel primo) e ou=Utenti,dc=unipa,dc=it (nel secondo). Quindi: dc=unipa,dc=it |- cn: studente1 |- cn: utente1 |- cn: utente2 |- cn: studente2 |- ecc... il fatto che un utente venga trovato sul server degli studenti o quello degli utenti e' diretta conseguenza di come il client ha fatto la ricerca, o meglio di quale condizione di filtro ha impostato nella search. Chiaritemi ancora dei dubbi - Su server back_meta fisicamente noni risiede nessun database? Esatto - Se così fosse e volessi invece che o entrambi i database o uno solamente risieda sul mio server allora dovrei fare urildap://127.0.0.1/*ou=Studenti,dc=unipa,dc=it*; ldap://y.yyy/*ou=Utenti,dc=unipa,dc=it*; giusto? Esatto anche questo. Vedo che anche nell'esempio che citi sotto non indichi mai la direttiva database meta. Il meta, nonostante sia virtuale, e' pur sempre un database di OpenLDAP e quindi deve essere dichiarato come tale. Le direttive uri devono stare sotto/dopo la direttiva database meta. - nella mia attuale configurazione utilizzo la clausola syncrepl per replicare un database remoto e la clausola subordinate come artificio per poter aggiungere degli utenti in locale. Di seguito la configurazione ## include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/samba.schema allow bind_v2 #referral ldap://root.openldap.org pidfile /var/run/slapd/slapd.pid argsfile/var/run/slapd/slapd.args # modulepath/usr/sbin/openldap # moduleloadback_bdb.la # moduleloadback_ldap.la # moduleloadback_ldbm.la # moduleloadback_passwd.la # moduleloadback_shell.la # TLSCACertificateFile /usr/share/ssl/certs/ca-bundle.crt # TLSCertificateFile /usr/share/ssl/certs/slapd.pem # TLSCertificateKeyFile /usr/share/ssl/certs/slapd.pem # security ssf=1 update_ssf=112 simple_bind=64 databasehdb suffix ou=Studenti,dc=unipa,dc=it directory /home/dati/studenti rootdn cn=,ou=Studenti,dc=unipa,dc=it rootpw xxx subordinate ## con questa direttiva dico che ou=Studenti,dc=unipa,dc=it ## è subordinata a dc=unipa,dc=it e in questo modo in ## dc=unipa,dc=it posso aggiungere degli utenti locali index objectClass eq index uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial index sambaSid eq index sambaPrimaryGroupSID eq index sambaDomainName eq index entryUUID eq syncrepl rid=1 provider=ldaps://xxx.xxx.it type=refreshAndPersist interval=00:00:00:30 searchbase=ou=Studenti,dc=unipa,dc=it filter=(objectClass=*) attrs=*,+ scope=sub schemachecking=off retry=60 + bindmethod=simple binddn=uid=xxx,ou=Studenti,dc=unipa,dc=it credentials=XXX databasehdb suffix dc=unipa,dc=it directory /var/lib/ldap/unipa rootdn cn=,dc=unipa,dc=it rootpw sizelimit -1 cachesize 1 # A me in due altri server occorre realizzare - il primo server dovrà avere un database che chiameremo utenti locali che potrebbe essere con questo suffix suffix ou=UtentiLocali,dc=unipa,dc=it e due proxati quindi non residenti sul server locale che saranno ou=Utenti,dc=unipa,dc=it ou=Studenti,dc=unipa,dc=it e quì se non ho capito
Re: [OpenLDAP] backend multipli
Ciao, premetto che non ho esperienza diretta di samba con questa configurazione, ma in scenari analoghi questa configurazione ti garantisce soltanto il fail-over tra ldapserver multipli. Ergo, se il primo elencato non risponde allora viene contattato il secondo. Ma se il primo risponde, (sia che il dato esista sia che non esista) il secondo non verra' mai contattato. Gli altri sistemi client configurati per puntare a piu' server ldap, di solito, lavorano cosi'. Marco 2011/3/25 Luigi Augello lauge...@unipa.it Salve Ho necessità che il mio server samba utilizzi più backend, in pratica se non trova l'utente in un database ldap , interrogi il successivo, se non ho capito male in samba doverei inserire la seguente direttiva passdb backend = ldapsam:ldap://192.168.1.60/ ldap://192.168.1.61/ldap://192.168.1.62/; Non ho modo di provarlo, qundi mi cheidevo se qualcuno può darmi conferma. Grazie LUigi Augello -- ___ Augello Luigi Amministratore di Sistema Poli didattici di Agrigento, Caltanissetta e Trapani Università degli Studi di Palermo tel 093420928 VoIP 09123865802 ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap -- _ Non è forte chi non cade, ma chi cadendo ha la forza di rialzarsi. Jim Morrison ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] backend multipli
Title: Scamoni Luca La risposta di Marco corretta. Per fare quello che vuoi dovresti configurare un back-meta... ciao Il 25/03/2011 15:18, Marco Pizzoli ha scritto: Ciao, premetto che non ho esperienza diretta di samba con questa configurazione, ma in scenari analoghi questa configurazione ti garantisce soltanto il fail-over tra ldapserver multipli. Ergo, se il primo elencato non risponde allora viene contattato il secondo. Ma se il primo risponde, (sia che il dato esista sia che non esista) il secondo non verra' mai contattato. Gli altri sistemi client configurati per puntare a piu' server ldap, di solito, lavorano cosi'. Marco 2011/3/25 Luigi Augello lauge...@unipa.it Salve Ho necessit che il mio server samba utilizzi pi backend, in pratica se non trova l'utente in un database ldap , interrogi il successivo, se non ho capito male in samba doverei inserire la seguente direttiva passdb backend = "ldapsam:ldap://192.168.1.60/ ldap://192.168.1.61/ ldap://192.168.1.62/" Non ho modo di provarlo, qundi mi cheidevo se qualcuno pu darmi conferma. Grazie LUigi Augello -- ___ Augello Luigi Amministratore di Sistema Poli didattici di Agrigento, Caltanissetta e Trapani Universit degli Studi di Palermo tel 093420928 VoIP 09123865802 ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap -- _ Non forte chi non cade, ma chi cadendo ha la forza di rialzarsi. Jim Morrison ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap -- Luca Scamoni Gruppo Partners Associates Via Timavo, 12 - 20124 Milano Tel. +39 02 67380435 - Fax +39 02 67386214 Cell. +39 348 0471710 luca.scam...@gruppopa.it www.GruppoPA.it Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo Partners Associates ed destinato unicamente ai destinatari. La divulgazione o copia, anche parziale e non autorizzata, proibita. Gruppo Partners Associates non responsabile se questo messaggio viene modificato o falsificato. Se non siete i designati riceventi di questo messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il mittente dell'errore dell'indirizzo di consegna e della cancellazione del messaggio. This e-mail contains confidential information belonging to Gruppo Partners Associates and it is intended solely for the address. The unauthorised disclosure or copying either whole or partial of this e-mail, is prohibited. Gruppo Partners Associates shall not be liable for this e-mail if modified or falsified. If you are not the intended recipient of this e-mail, please delete it immediately from your system and notify the sender of the wrong delivery and the mail deletion. ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] backend multipli
Title: Scamoni Luca Il 25/03/2011 15.38, Luca Scamoni ha scritto: La risposta di Marco corretta. Per fare quello che vuoi dovresti configurare un back-meta... Scusa la mia ignoranza, che significa back-meta...? Grazie Luigi ciao Il 25/03/2011 15:18, Marco Pizzoli ha scritto: Ciao, premetto che non ho esperienza diretta di samba con questa configurazione, ma in scenari analoghi questa configurazione ti garantisce soltanto il fail-over tra ldapserver multipli. Ergo, se il primo elencato non risponde allora viene contattato il secondo. Ma se il primo risponde, (sia che il dato esista sia che non esista) il secondo non verra' mai contattato. Gli altri sistemi client configurati per puntare a piu' server ldap, di solito, lavorano cosi'. Marco 2011/3/25 Luigi Augello lauge...@unipa.it Salve Ho necessit che il mio server samba utilizzi pi backend, in pratica se non trova l'utente in un database ldap , interrogi il successivo, se non ho capito male in samba doverei inserire la seguente direttiva passdb backend = "ldapsam:ldap://192.168.1.60/ ldap://192.168.1.61/ ldap://192.168.1.62/" Non ho modo di provarlo, qundi mi cheidevo se qualcuno pu darmi conferma. Grazie LUigi Augello -- ___ Augello Luigi Amministratore di Sistema Poli didattici di Agrigento, Caltanissetta e Trapani Universit degli Studi di Palermo tel 093420928 VoIP 09123865802 ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap -- _ Non forte chi non cade, ma chi cadendo ha la forza di rialzarsi. Jim Morrison ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap -- Luca Scamoni Gruppo Partners Associates Via Timavo, 12 - 20124 Milano Tel. +39 02 67380435 - Fax +39 02 67386214 Cell. +39 348 0471710 luca.scam...@gruppopa.it www.GruppoPA.it Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo Partners Associates ed destinato unicamente ai destinatari. La divulgazione o copia, anche parziale e non autorizzata, proibita. Gruppo Partners Associates non responsabile se questo messaggio viene modificato o falsificato. Se non siete i designati riceventi di questo messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il mittente dell'errore dell'indirizzo di consegna e della cancellazione del messaggio. This e-mail contains confidential information belonging to Gruppo Partners Associates and it is intended solely for the address. The unauthorised disclosure or copying either whole or partial of this e-mail, is prohibited. Gruppo Partners Associates shall not be liable for this e-mail if modified or falsified. If you are not the intended recipient of this e-mail, please delete it immediately from your system and notify the sender of the wrong delivery and the mail deletion. ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap -- Augello Luigi Amministratore di Sistema Poli didattici di Agrigento, Caltanissetta e Trapani Universit degli Studi di Palermo tel 093420928 VoIP 09123865802 ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] backend multipli
Vediamo se ho capito inserendo suffix "dc=unipa,dc=it" uri"ldap://xx.xx/ou=Studenti,dc=unipa,dc=it" "ldap://y.yyy/ou=Utenti,dc=unipa,dc=it" Qualora dovessi fare un'interrogazione di uno studente "proxa" sul server xx.xx, mentre se faccio un interrogazione di un utente, allora "proxa" sul server y.yyy. Chiaritemi ancora dei dubbi - Su server back_meta fisicamente noni risiede nessun database? - Se cos fosse e volessi invece che o entrambi i database o uno solamente risieda sul mio server allora dovrei fare uri"ldap://127.0.0.1/ou=Studenti,dc=unipa,dc=it" "ldap://y.yyy/ou=Utenti,dc=unipa,dc=it" giusto? - nella mia attuale configurazione utilizzo la clausola syncrepl per replicare un database remoto e la clausola subordinate come artificio per poter aggiungere degli utenti in locale. Di seguito la configurazione ## include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/samba.schema allow bind_v2 #referral ldap://root.openldap.org pidfile /var/run/slapd/slapd.pid argsfile/var/run/slapd/slapd.args # modulepath/usr/sbin/openldap # moduleloadback_bdb.la # moduleloadback_ldap.la # moduleloadback_ldbm.la # moduleloadback_passwd.la # moduleloadback_shell.la # TLSCACertificateFile /usr/share/ssl/certs/ca-bundle.crt # TLSCertificateFile /usr/share/ssl/certs/slapd.pem # TLSCertificateKeyFile /usr/share/ssl/certs/slapd.pem # security ssf=1 update_ssf=112 simple_bind=64 databasehdb suffix "ou=Studenti,dc=unipa,dc=it" directory /home/dati/studenti rootdn "cn=,ou=Studenti,dc=unipa,dc=it" rootpw xxx subordinate ## con questa direttiva dico che "ou=Studenti,dc=unipa,dc=it" ## subordinata a dc=unipa,dc=it e in questo modo in ## dc=unipa,dc=it posso aggiungere degli utenti locali index objectClass eq index uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial index sambaSid eq index sambaPrimaryGroupSID eq index sambaDomainName eq index entryUUID eq syncrepl rid=1 provider=ldaps://xxx.xxx.it type=refreshAndPersist interval=00:00:00:30 searchbase="ou=Studenti,dc=unipa,dc=it" filter="(objectClass=*)" attrs="*,+" scope=sub schemachecking=off retry="60 +" bindmethod=simple binddn="uid=xxx,ou=Studenti,dc=unipa,dc=it" credentials=XXX databasehdb suffix "dc=unipa,dc=it" directory /var/lib/ldap/unipa rootdn "cn=,dc=unipa,dc=it" rootpw sizelimit -1 cachesize 1 # A me in due altri server occorre realizzare - il primo server dovr avere un database che chiameremo utenti locali che potrebbe essere con questo suffix suffix "ou=UtentiLocali,dc=unipa,dc=it" e due "proxati" quindi non residenti sul server locale che saranno "ou=Utenti,dc=unipa,dc=it" "ou=Studenti,dc=unipa,dc=it" e qu se non ho capito male la configurazione per proxare come dicevo all'inizio con in pi una direttiva subordinate per il database locale la configurazione dovrebbe essere uri"ldap://xx.xx/ou=Studenti,dc=unipa,dc=it" "ldap://y.yyy/ou=Utenti,dc=unipa,dc=it" databasehdb suffix "ou=UtentiLocali,dc=unipa,dc=it" directory /home/dati/utentiLocali rootdn "cn=,ou=UtentiLocali,dc=unipa,dc=it" rootpw xxx - sull'altro server gli stessi database "ou=UtentiLocali,dc=unipa,dc=it", "ou=Utenti,dc=unipa,dc=it" e "ou=Studenti,dc=unipa,dc=it" dovranno invece risiedere sul server e gli ultimi due, Studenti e Utenti saranno sincronizzati con la direttiva syncrepl a due server remoti in questo caso, se non ho capito male, dovrei fare un "glue" dei tre pezzi in questo modo ## databasehdb suffix "ou=Studenti,dc=unipa,dc=it" directory /home/dati/studenti rootdn "cn=,ou=Studenti,dc=unipa,dc=it" rootpw xxx subordinate index objectClass eq index uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial index sambaSid eq index sambaPrimaryGroupSID eq index sambaDomainName eq index entryUUID eq
