Discussioni sul sistema operativo Linux
 

Migrazione OpenLdap -> OpenDj (bello lungo)

fulvio 3 Dic 2014 10:56
Ciao a tutti,
reduce dal tormentato thread in*****olato "Interfaccia web per OpenDj" vado qui
sotto ad elencare qualche dettaglio in più, sperando di ottenere preziosi
consigli. Come dicevo ho migrato due macchine da Samba PDC con OpenLdap, a
Samba PDC con OpenDj.
Non descrivo qui il motivo, ma se a qualcuno interessa glielo racconto.
Non descrivo qui tutte le fasi della migrazione, ma se a qualcuno interessa
gli faccio avere gli appunti.
Prima di migrare le altre macchine, volevo essere sicuro di aver fatto bene
quello che ho fatto sino a qui.
Cerco di focalizzare il problema: in una fase della migrazione ho ottenuto il
******* ldif da OpenLdap utilizzando slapcat. Il ******* ldif così ottenuto non
sono
riuscito ad importarlo direttamente in OpenDj (peccato !!)
Quindi mi sono fatto un *****colo script che togliesse gli attributi non graditi

a OpenDj (ad esempio entryCSN, ma non solo).
Dopo la pulizia sono riuscito ad aggiungere tutto questo ldif modificato,
dentro OpenDj.
Ho con*****urato Samba e accessori e provato il tutto. Samba, ma anche Dovecot e

Postfix, si autenticano e utilizzano Opendj, su quelle due macchine, dal 10
ottobre, senza apparenti problemi. Ora, se vado a leggere il risultato
dell'esportazione di tutto l'albero contenuto in OpenDj, trovo ad esempio:

dn: cn=Domain Admins,ou=Groups,dc=dominio,dc=net
objectClass: posixGroup
objectClass: top
objectClass: sambaGroupMapping
sambaGroupType: 2
description: Netbios Domain Administrators
cn: Domain Admins
sambaSID: S-1-5-21-2845119879-263177658-1821128020-512
gidNumber: 512
memberUid: root
memberUid: Administrator
displayName: Domain Admins
entryUUID: 98e0c2f3-ef70-4e5b-92f3-510ca1b123d6
creatorsName: cn=Directory Manager,cn=Root DNs,cn=con*****
createTimestamp: 20140930205932Z
modifyTimestamp: 20140930210406Z
modifiersName: cn=Directory Manager,cn=Root DNs,cn=con*****

ma anche:

dn: cn=ccic,ou=Groups,dc=dominio,dc=net
objectClass: posixGroup
objectClass: top
memberUid: tizio
memberUid: caio
memberUid: sempronio
description: Gruppo CCIC
cn: ccic
gidNumber: 1001
entryUUID: a6ce82e8-5511-489a-bbb8-40e1b8e73928
createTimestamp: 20140930212453Z
creatorsName: cn=Directory Manager,cn=Root DNs,cn=con*****
modifyTimestamp: 20141202175600Z
modifiersName: cn=Directory Manager,cn=Root DNs,cn=con*****

E questi sono solo un paio di esempi di "gruppi" utilizzati da Samba, gli
altri sono del tutto simili.
Per creare, modificare, cancellare questi gruppi utilizzo la riga di comando,
oppure i smbldap-tools, anch'essi in console.
Cercavo un'interfaccia grafica per amministrare OpenDj più agevolmente e
rapidamente ma:
- phpldapadmin NON funziona
- ldap account manager (anche l'ultima versione) NON funziona
- gosa non riesco neanche a con*****urarlo
- il Control Panel di OpenDj NON funziona
Tengo a precisare che il termine NON funziona è riferito alla gestione dei
"gruppi", la gestione degli "utenti" funziona.
Sembra funzionare bene solo JXEplorer, ok utilizzerò quello, ma il dubbio che
mi viene a questo punto è che ho sbagliato o tralasciato qualcosa, e questo
qualcosa potrebbe crearmi problemi prima o poi, in maniera magari improvvisa,
e questo vorrei evitarlo.
Cosa ho sbagliato, oppure cosa manca ?
Voi, se avete un Samba PDC con OpenDj, avete i "gruppi" fatti come li ho io ?

Grazie
fulvio
fulvio 4 Dic 2014 16:58
Il 03/12/2014 10:56, fulvio ha scritto:
> Ciao a tutti,

Mi rispondo da solo, la soluzione è qui:

https://ludopoitou.wordpress.com/2011/04/20/linux-and-unix-ldap-clients-and-rfc2307-support/
Marco Gaiarin 5 Dic 2014 14:33
Mandi! fulvio
In chel di` si favelave...

> Mi rispondo da solo, la soluzione è qui:
>
https://ludopoitou.wordpress.com/2011/04/20/linux-and-unix-ldap-clients-and-rfc2307-support/

Arrivo tardi. Un'altra idea che mi veniva era la distinzione nella gestione
dei gruppi tra posixGroup (classico unix, credo il default di openldap) e
groupOfNames (ti*****o AD-like, credo il default dei nuovi sistemi).

La differenza tra l'uno e l'altro è che il primo è piatto (membri di un
grupo sono gli uid, senza dominio) mentre l'altro è gerarchico (membri di un
gruppo sono le dn).

Ma dovrebbero esistere dozzillioni di script di conversione, così come tutte
le interfaccie che hai citato (LAM, ...) dovrebbero poter gestire pG/gON,
glielo devi ovviamente dire...

--
Chi ha tagliato i ponti con la fantasia
non si accorgera` di niente (E. Bennato)
fulvio 6 Dic 2014 12:03
Il 05/12/2014 14:33, Marco Gaiarin ha scritto:
> Arrivo tardi. Un'altra idea che mi veniva era la distinzione nella gestione
> dei gruppi tra posixGroup (classico unix, credo il default di openldap) e
> groupOfNames (ti*****o AD-like, credo il default dei nuovi sistemi).

Grazie per il contributo,
il motivo che ha generato tutti i problemi che ho riscontrato è dovuto ad un
baco (mezzo baco...) di OpenDj. Sono in contatto con Ludovic Poitou, Product
Manager della ForgeRock e sviluppatore di OpenDj al quale sto inviando tutte
le informazioni in mio pos*****, per informarlo di quello che ho trovato.
La storia è lunga, quindi non la racconto qui.
Se a qualcuno interessa gliela posso mandare.
In breve, il punto critico è questo:
se si aggiunge, ad OpenDj, un gruppo di "tipo" posixGroup senza le adeguate
objectClass e structuralObjectClass, OpenDj NON segnala l'errore.
Questi gruppi "sbagliati", presenti in OpenDj, non creano problemi ad esempio
a Samba, che li utilizza perfettamente, ma creano problemi a TUTTE le
interfacce grafiche che ho provato compreso il Control Panel di OpenDj,
l'unico che funziona sembra essere JXEplorer.

ciao
fulvio

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sul sistema operativo Linux | Tutti i gruppi | it.comp.os.linux.sys | Notizie e discussioni linux | Linux Mobile | Servizio di consultazione news.