Re: [OpenLDAP] Attributo "delete" e crash slapd
Pierangelo Masarati wrote: > Mi sembra che il problema non sia presente nel 2.4.9 (ma non conosco i > dettagli dell'operazione che hai eseguito). Puoi verificare? Il > problema e' legato al fatto che la routine di indicizzazione > dell'attributo (e' indicizzato, vero?) viene chiamata passandogli > un'array di valori vuota, il che e' (dovrebbe essere) impossibile, da > cui l'asserzione. Siccome dalla 2.4.7 alla 2.4.9 ci sono state un > certo numero di modifiche (almeno 60 bugfixes, a occhio), puo' darsi > che la cosa sia stata nel frattempo corretta. grazie della preziosa risposta, confermo che vi sono degli indici anche se non conosco nel dettaglio quali inoltre volevo correggere nella mia mail precedente intendevo "sconsigliato" dove ho scritto "consigliato" ovvero è nostra intenzione cambiare il nome all'attributo "delete" per evitare qualsiasi problema ;-) Alessandro De Zorzi ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
[OpenLDAP] Attributo "delete" e crash slapd
Tempo fa avevo segnalato che in uno schema utilizzavo un simpatico attributo dal nome di "delete" attributetype ( 1.3.6.1.4.1.22339.1.1.13 NAME 'delete' DESC 'A boolean telling whether this item is marked for deletion' EQUALITY booleanMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE ) questo era stato consigliato ma non avendo mai dato problemi non è stato cambiato ora in una situazione con replica Syncrepl e OpenLDAP 2.4.7 ho verificato che creando una Entry e aggiornando sul master l'oggetto prima che questo sia replicato ldap va in crash questo è il dump ottenuto lanciando slapd -d1 oc_check_allowed type "mailAutoreply" oc_check_allowed type "delete" oc_check_allowed type "vacationActive" oc_check_allowed type "forwardActive" oc_check_allowed type "amavisBypassVirusChecks" oc_check_allowed type "amavisBypassSpamChecks" oc_check_allowed type "amavisSpamKillLevel" oc_check_allowed type "amavisSpamTag2Level" oc_check_allowed type "amavisSpamTagLevel" oc_check_allowed type "creationDate" oc_check_allowed type "lastChange" oc_check_allowed type "entryCSN" oc_check_allowed type "modifiersName" oc_check_allowed type "modifyTimestamp" => key_change(DELETE,1cb3) <= key_change 0 slapd: /home/pere/src/debiancvs/initscripts-ng-svn/trunk/src/insserv/openldap2.3-2.4.7/servers/slapd/schema_init.c:366: octetStringIndexer: Assertion `i > 0' failed. Abortito Ovviamente quello che mi chiedo è se può dipendere dall'attributo incriminato o se è un altro il motivo (ad esempio la pacchettizzazione debian, poiché la linea /home/pere/src/debiancvs/initscripts-ng-svn/trunk/src/insserv/openldap2.3-2.4.7/servers/slapd/schema_init.c:366: mi è un po' sospetta...). Alessandro De Zorzi ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] Lista utenti per server proxy
Pierangelo Masarati wrote: > Forse la scelta di 'account' come classe strutturale degli utenti non e' > delle piu' felici, era meglio 'inetOrgPerson' con aggiunto > 'posixAccount', a meno che gli attributi previsti da 'account' siano > sufficienti per quello che intendi fare, e non intenda sviluppare > ulteriormente il tuo sistema (tipo usare il Directory Server anche per > altri scopi). > Sperando possa essere di aiuto e nel contempo essere commentato (ogni suggerimento di questa lista è come sempre stato di grande aiuto :-) Su Phamm utlizziamo una classe AUXILIARY che è SUP top di ISPEnv2.schema objectClass ( 1.3.6.1.4.1.11048.1.1.2.4 NAME 'proxyAccount' SUP top AUXILIARY DESC 'Account for accessing the proxy server' MUST (webAccess $ uid $ userPassword ) MAY ( proxyHost ) ) Usando Squid nello specifico caso da noi usato la configurazione in squid.conf deve prevedere il controllo del valore webAccess impostato a TRUE, il bind viene effettuato con un utente ad hoc che ha permesso di lettura auth_param basic program /usr/lib/squid/ldap_auth -v 3 -b "o=hosting,dc=example,dc=tld" -f "(&(objectClass=proxyAccount)(webAccess=TRUE)(uid=%s))" -h localhost -D "cn=phamm,o=hosting,dc=example,dc=tld" -w "secret" Alessandro De Zorzi ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] quando LDAP usa la codifica base64?
Luca Scamoni wrote: >> E' corretto dire che lato applicativo non mi preoccupo >> di come OpenLDAP scrive i dati? >> > corretto grazie dei chiarimenti, è altrettanto vero che se passo un valore già codificato in base64 LDAP lo salva senza problemi vero? il problema in pratica mi deriva dalla funzione md5() di PHP che restituisce un numero esadecimale di 32 caratteri... e solo dalla versione di php5 è possibile ottenere un binario raw per questo "problema di php" ho quindi dovuto prendere l'hash md5 decodificarlo dall'esadecimale, quindi codificarlo in base64 aggiungerci un {MD5} davanti e quindi darlo in pasto a LDAP e in effetti sembra funzioni, LDAP scrive senza fare ulteriori modifiche... mi chiedo ora... c'era il modo di far capire a LDAP che la stringa era un numero esadecimale evitandomi questi passaggi? Alessandro ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
[OpenLDAP] quando LDAP usa la codifica base64?
Salve, so che quando trovo in un ldif un "doppio due punti" significa che la stringa è codificata in base64, ma non capisco quando e perché OpenLDAP utilizzi la codifica in base64 ad esempio lo fa quando gli passo un hash md5? E' corretto dire che lato applicativo non mi preoccupo di come OpenLDAP scrive i dati? Alessandro ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
[OpenLDAP] Suggerimento per applicazione DNS con Round robin
Salve uso PowerDNS su base LDAP utilizzando dnsdomain2.schema per descrivere le entry e tutto funziona egregiamente, questa è una entry tipo: dn: dc=www,dc=example.com,ou=dns,dc=example,dc=com objectClass: top objectClass: dNSDomain objectClass: domainRelatedObject dc: www associatedDomain: www.example.com aRecord: 192.168.1.200 Alla richiesta di associare più IP per uno stesso dominio mi sono trovato in difficoltà per via che che ho scelto di descrivere il dn usando ZONA+DOMINIO+BASE assumendo proprio che la ZONA fosse univoca e ovviamente non è sempre così, al momento creo una entry per ottenere lo scopo voluto che è: dn: dc=ww1,dc=example.com,ou=dns,dc=example,dc=com objectClass: top objectClass: dNSDomain objectClass: domainRelatedObject dc: ww1 aRecord: 192.168.1.100 associatedDomain: www.example.com essendo che la soluzione mi sembra un po' "sporca" volevo sapere se ci sono consigli in merito grazie Alessandro De Zorzi ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] Limitare le ricerche
Michele Codutti wrote: > Buongiorno a tutti, volevo chiedervi se è possibile limitare tramite > delle ACL i risultati delle ricerche. > Esempio: Vorrei che ai miei client che effettuano una ricerca sul > sottoramo ou=utenti non venissero ritornati tutti i DN presenti ma solo > quelli che hanno un attributo pari ad un certo valore. > Pensate sia possibile? > intendi come si applicasse un filtro? non penso sia possibile, se non tramite quelle componenti sperimentali e non documentate di cui si è parlato in lista Alessandro ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] Entry multiple base64
Pierangelo Masarati wrote: > Quindi e' rimasto un '\r' alla fine del valore (copia e incolla da > Windows?). OpenLDAP mostra in base64 i valori non stampabili, quindi i > valori che !isascii(3) e !isprint(3) (e '\r' non lo e'). > grazie della dritta in effetti è come dici tu, ho risolto un dilemma che mi assillava da molto, grazie i valori arrivavano da una TEXTAREA per cui sostituivo una serie di valori possibili (tra cui l'andata a capo di sistemi Unix come "\n" e non essendo su Win non avevo preso in considerazione il "\r" o "\n\r"), ora ho aggiunto un ulteriore str_replace per ripulire eventuali "\r" residui (chissà da dove arrivano!??!!??!) e funziona :-)) maildrop: sdasd maildrop: ewew maildrop: dsew43 Riporto un po' di codice anche se specifico di PHP magari torna utile a qualcuno in futuro... $delimitators = array(" ",";","\t",":","\n"); $values_multi_string = str_replace($delimitators,",","$mv_array"); // Purge persistent \r $values_multi_string = str_replace("\r","","$values_multi_string"); $values_multi_array = explode (",",$values_multi_string); Alessandro De Zorzi ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
[OpenLDAP] Entry multiple base64
Salve, facendo un dump di un oggetto che ha degli attributi multipli ho notato che alcuni di questi sono scritti in base64 [1] maildrop:: YWZzZA0= maildrop:: YXNkZg0= maildrop: [EMAIL PROTECTED] [2] maildrop:: ZHVlQGFkcy5zZA0= maildrop: [EMAIL PROTECTED] [3] maildrop: [EMAIL PROTECTED] maildrop: [EMAIL PROTECTED] ho verificato che in effetti se aggiungo i valori uno per volta li ottengo come nel caso [3] mentre se li aggiungo tramite un array ottengo il risultato del caso [1] e [2] il fatto è che interagisco con LDAP tramite la funzione ldap_mod_add() è chiaro che il problema è lato PHP ma volevo sapere con che logica OpenLDAP decide di scrivere in base64 per poi trovare una soluzione a monte poiché con l'analoga funzione ldap_mod_del() non riesco a cancellare alcuni valori quando sono nei casi [1] e [2] Alessandro De Zorzi ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] crea certificato
Pierangelo Masarati wrote: > Inoltre, OpenLDAP supporta SASL EXTERNAL basato su TLS, per il quale > la verifica dei certificati corrisponde ad autenticazione e > l'identita' del client viene vista come il DN del certificato > (opzionalmente rimappato con le regole authz-regexp). In questo caso, > un certificato self-signed, in genere comunque da evitare, non e' > proprio possibile. purtroppo non sono in grado di seguire questa analisi così approfondita :-P rimanendo sui principi generali che condivido (evitare certificati self-sign) mi piacerebbe sapere se nella configurazione descritta OpenLDAP verifica un certificato firmato da CaCert.org se il certificato Root di CaCert.org è già disponibile sul sistema grazie Alessandro De Zorzi ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] crea certificato
puestadelsol83 wrote: > Salve, > sto leggendo su vari siti come creare un certificato per openldap. Non ho > capito bene una cosa: > deve essere installata per forza una local Certificate Authority (CA) sulla > macchina? > penso che possa valere il discorso generico come per i certificati SSL una CA serve per firmare i certificati, che poi la CA sia vera o "fittizzia" dipende se lo scopo è solo quello di usare un canale di comunicazione criptato o di garantire una identità per LDAP penso sia sufficiente avere un canale di comunicazione criptato, quindi un certificato self-sign con CA fittizzia per i certificati SSL io uso la CA cacert.org che da un servizio gratuito, anche se il certificato Root non è ancora compreso nei più diffusi browser, si trova già per esempio nel pacchetto di Debian ca-certificates e l'installazione su vari browser e vari OS funziona da quello che ho potuto verificare Alessandro ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] Qualche dritta per apache-htaccess e ldap
Michele Dalla Silvestra wrote: > Satisfy all > AuthType Basic > AuthBasicProvider ldap > AuthName "Prova ITC" > AuthLDAPURL > ldap://127.0.0.1:389/ou=Users,dc=nomescuola,dc=it?uid?one?(objectClass=*) > AuthzLDAPAuthoritative on > Require valid user > io uso questo htaccess AuthType Basic AuthName "Admin Zone" AuthBasicProvider ldap AuthzLDAPAuthoritative on AuthLDAPURL ldap://localhost:389/o=hosting,dc=example,dc=com?uid?sub? Require ldap-user "example.com" autentica questo oggetto con uid "example.com" dn: cn=postmaster,vd=example.com,o=hosting,dc=example,dc=com objectClass: top objectClass: VirtualMailAlias objectClass: posixAccount objectClass: PureFTPdUser mail: [EMAIL PROTECTED] lastChange: 1057493193 maildrop: postmaster cn: postmaster sn: Migrate from Jamm accountActive: TRUE userPassword:: * gidNumber: 3013 homeDirectory: /www/example.com uidNumber: 1234 uid: example.com FTPStatus: enabled FTPQuotaMBytes: 500 editAccounts: TRUE Alessandro ___ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap