Вопрос по настройке automount(autofs) & LDAP в Win 2003 R2


Главная Форумы POWER Systems AIX/Hardware Вопрос по настройке automount(autofs) & LDAP в Win 2003 R2

В этой теме 9 ответов, 3 участника, последнее обновление  Николай Араловец 8 года/лет назад.

  • Автор
    Сообщения
  • #7946

    Доброго времени суток коллеги.
    Пытаюсь настроить связку Automount и LDAP каталог Win 2003 R2. Собственно в документе “Integrating AIX into Heterogenous LDAP Environments” нет явного упоминания о работоспособности такой связки, но есть указание “The automounter supports both the
    RFC2307 and RFC2307bis automount schemas”
    Вводные: AIX 5.3 TL 11 SP 3.
    Пакеты ldap.client.rte 5.2.0.0, ldap.client.adt
    Система настроена таким образом, что доменные пользователи могут логиниться под своими аккаунтами на этот хост.
    Настройки automount:
    bash-3.2# cat /etc/auto_master
    /import/home auto_home -nosuid,bg,hard,vers=3,proto=udp,intr

    bash-3.2# cat /etc/irs.conf
    automount files nis_ldap

    Настройки ldap клиента:
    bash-3.2# grep -v “^#” ldap.cfg
    ldapservers:srv-test-dc1.test.net
    binddn:CN=unixtest,CN=Users,DC=test,DC=net
    bindpwd:111
    authtype:unix_auth
    useKRB5:no
    followreferrals:off
    userattrmappath:/etc/security/ldap/sfur2user.map
    groupattrmappath:/etc/security/ldap/sfur2group.map
    userbasedn:CN=Users,DC=test,DC=net
    groupbasedn:CN=Users,DC=test,DC=net
    automountbasedn:dc=test,dc=net?sub?(automountMapName=auto_home)
    userclasses:user
    groupclasses:group
    ldapversion:3
    searchmode:OS
    defaultentrylocation:LDAP

    В AD создал CN auto_home, который нормально отображает команда lsldap
    bash-3.2# lsldap automount
    dn: CN=auto_home,DC=test,DC=net

    Делаю рестарт secldap и autofs.
    Пытаюсь зайти доменным пользователем, каталог не монтируется. Лезу в логи и вижу следующее:

    May 6 02:38:30 srv2-pp550-2 daemon:debug automountd[287046]: getmapent: ldap_search_s on automountKey=unixtest,automountMapName=auto_home,dc=test,dc=net?sub?(automountMapName=auto_home) objectClass=automount failed: Invalid DN syntax
    КРИВОЙ DN, который очевидно формирует в запросе сам демон automountd. Такой DN мне в AD не создать никогда…
    Вопрос – я где-то ошибаюсь с настройками autofs – ldap клиент? Или в LDAP каталоге действительно должен существовать объект с таким DN?

  • #7947

    Никто не настраивал autofs под AIX для взаимодействия с LDAP директорией? 🙁

  • #7948

    andrewk
    Участник

    никогда до такой степени не извращался, могу лишь ткнуть еще в одну доку – может быть наведет на какие-нибудь мысли.

    http://publib.boulder.ibm.com/infocenter/aix/v6r1/topic/com.ibm.aix.commadmn/doc/commadmndita/nfs_ldap.htm

  • #7950

    А в чем извращение? Вполне стандартное решение – разместить информацию в LDAP.
    Доку читал..
    Вся проблема в том, что вот такой формат DN

    dn: automountKey=user2,automountMapName=auto_home,dc=suffix

    в AD похоже не создать вообще. Ни руками, ни через заливку ldif файла. Ругается на “ошибочный формат”

  • #7951

    andrewk
    Участник

    извращение не в том, чтобы информацию в LDAP разместить, а в том, чтобы разместить ее в AD 🙂 Возьмите IBM Directory Server, который есть в поставке AIX, и попробуйте сделать с ним. Если будет работать – то все вопросы к Microsoft’у и их реализации различных RFC.

  • #7952

    Опять же логика – если уже есть LDAP сервер, зачем создавать еще один 🙂
    У ms ограничений много в их каталоге, и вот это ограничение “Depending upon the LDAP server, the full distinguished name (DN) of user objects may require a certain format. In Microsoft Active Directory (2000 or 2003), the RDN is always “cn=…” как раз мешает мне. НО! Вроде оно не противоречит ни одному RFC..

    А вот зачем разработчики AIX зашили жестко в код демона automountd SearchDescriptor вида
    “automountKey=*,automountMapName=*,dc=suffix + фильтр (objectClass=automount)” и не предусмотрели возможности штатно изменить строку поиска и привязку с классу – совершенно непонятно. Нету логики.. В HP-UX, Solaris и linux можно самостоятельно задавать строку поиска и привязываться к различным классам. Что на порядок удобнее..

  • #7953

    andrewk
    Участник

    по поводу классов:

    The automount entity has two object classes. The lsldap command treats
    automountMap with higher precedence over nisMap by always returning
    automountMap objects if it finds any, and returning nisMap objects only
    in the absence of automountMap objects.

    по поводу LDAP-серверов – надо было сразу же правильный ставить 🙂

  • #7955

    То что базовые классы – automountMap и automount (или nisMap и nisObject) – это понятно.
    Непонятно почему я не могу сделать вполне стандартную процедуру ремапинга этих классов в нужные мне, например через ldap клиента?

    О правильности того или иного софтового решения можно спорить до бесконечности 🙂 MS AD вполне себе справляется с задачами для которых она поставлена. А то, что я пытаюсь сделать – это удобная фича 🙂 Которая однако без проблем работает под HP-UX, Solaris и Linux.

  • #7960

    Вадим
    Участник

    как рекомендацию могу предложить поставить промежуточный LDAP сервер, и функционал синхронизации возложить на него (как вариант Федора Директори Сервер, оно умеет и достаточно прямо и даже в 2х направлениях)
    а по поводу реализации майкрософтом лдапа, она не кривая, она специфическая 🙂

  • #7965

    Можно конечно и RH и IBM и Sun LDAP сервера поставить, можно и OpenLDAP. Вопрос – а нужно ли? В моем случае думаю нет. Ради двух хостов использовать два лдап каталога, да еще синхронизировать их между собой – нафиг.. 🙂
    Спасибо за ответы всем.
    Пы.Сы.
    Эхх, был бы суппорт – написал бы разработчикам RFC на нужный мне функционал 🙂

Для ответа в этой теме необходимо авторизоваться.