184 похожих чатов

Всем привет! У кого нибудь есть пример конфига, где используются

и работают два LDAP сервера одновременно? Делал как в доке, первый работает, а второй ни в какую. Хотя если поменять их тупо местами, то тот, который был вторым до этого, заводится.

16 ответов

19 просмотров

Не работает мапинг ролей, а сам сервер работает, можно вручную создать профиль связанный с этим сервером

Daniil-U Автор вопроса
Denis Gee
Не работает мапинг ролей, а сам сервер работает, м...

т.е. проблема не в самих серверах а в маппинге?

Daniil U
т.е. проблема не в самих серверах а в маппинге?

Да, это можно проверить создав профиль в ад, клике, и залогиниться

Daniil-U Автор вопроса
Denis Gee
Да, это можно проверить создав профиль в ад, клике...

Я сделал следующее: два разных домена AD добавил в конфиг кх, и попробовал подключиться через УЗ каждого из них, и все подключилось через оба сервера. А когда у меня стоят два сервера, но одного домена и с разными base_dn, то он подключается только через первый, через второй не хочет.

Daniil U
Я сделал следующее: два разных домена AD добавил в...

Подключение через мапинг или заведением учётки в клике?

Daniil U
мапинг

Интересно, я правильно понял что мапинг ссылается на разные серверы из секции ldap_servers и в случае, если там одинаковые хосты, то залогиниться не получается, а если разные то все проходит?

Daniil-U Автор вопроса
Denis Gee
Интересно, я правильно понял что мапинг ссылается ...

в user_directories две разнвх записи под каждый сервер

Daniil-U Автор вопроса
Denis Gee
Интересно, я правильно понял что мапинг ссылается ...

В общем, вот так это изначально предполагается сделать: <ldap_servers> <service> <host>xxx.xxx.xxx.xxx</host> <port>389</port> <bind_dn>esia\{user_name}</bind_dn> <user_dn_detection> <base_dn>OU=Clickhouse,OU=Service Accounts,OU=Users,OU=Universe,DC=XXX,DC=XXX,DC=XXX,DC=XXX</base_dn> <search_filter>(&amp;(objectClass=user)(sAMAccountName={user_name}))</search_filter> </user_dn_detection> <enable_tls>no</enable_tls> </service> <users> <host>xxx.xxx.xxx.xxx</host> <port>389</port> <bind_dn>esia\{user_name}</bind_dn> <user_dn_detection> <base_dn>OU=xxx,OU=Clients,OU=Users,OU=Universe,DC=xxx,DC=xxx,DC=xxx,DC=xxx</base_dn> <search_filter>(&amp;(objectClass=user)(sAMAccountName={user_name}))</search_filter> </user_dn_detection> <enable_tls>no</enable_tls> </users> </ldap_servers> <user_directories> <ldap> <server>service</server> <roles> <ldap_user_role/> </roles> <role_mapping> <base_dn>OU=ClickHouse,OU=Roles,OU=Universe,DC=xxx,DC=xxx,DC=xxx,DC=xxx</base_dn> <attribute>CN</attribute> <scope>subtree</scope> <search_filter>(&amp;(objectClass=group)(member={user_dn}))</search_filter> <prefix>gg-ch-test-</prefix> </role_mapping> </ldap> <!-- <ldap> <server>users</server> <roles> <ldap_user_role/> </roles> <role_mapping> <base_dn>OU=ClickHouse,OU=Roles,OU=Universe,DC=xxx,DC=xxx,DC=xxx,DC=xxx</base_dn> <attribute>CN</attribute> <scope>subtree</scope> <search_filter>(&amp;(objectClass=group)(member={user_dn}))</search_filter> <prefix>gg-ch-test-</prefix> </role_mapping> </ldap> --> </user_directories>

И в такой настройке, если в service и users хосты будут разные, то мапинг ролей будет работать?

Daniil U
В общем, вот так это изначально предполагается сде...

Дак у вас же сервисные учётки находятся в другой директории base_dn Тут <base_dn>OU=Clickhouse,OU=ServiceAccounts,OU=Users,OU=Universe,DC=XXX,DC=XXX,DC=XXX,DC=XXX</base_dn> И тут <base_dn>OU=xxx,OU=Clients,OU=Users,OU=Universe,DC=xxx,DC=xxx,DC=xxx,DC=xxx</base_dn> Вам же физически нужно смотреть в разные директории, или я что-то не так понял?

Daniil-U Автор вопроса

я оставил на уровне Users, а не Users/Clients or Users/Service accounts. просто мне нельзя было оставлять так, т.к. там есть директории, пользователи из которых даже не должны получить доступа, поэтому я поставил материнскую директорию, и сделал фильтр по роли, которая позволит авторизироваться.

Daniil-U Автор вопроса

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
15
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Всем привет! Имеется функция: function IsValidChar(ch: UTF8Char): Boolean; var i: Integer; ValidChars: AnsiString; begin ValidChars := 'abcdefghijklmnopqrstuvwxyzABCDE...
Евгений
44
Карта сайта