Я работал с новым сервером HP DL360 Gen9. Я пытаюсь настроить их для аутентификации LDAP в нашем каталоге OpenLDAP, и мне не очень повезло.
Во-первых, все наши отличительные имена для учетных записей пользователей начинаются с «uid =», а не «cn =». Наши группы LDAP, естественно, следуют тому же соглашению.
Итак, учетная запись пользователя uid =, ou = People, dc = domain, dc = com
И группа содержит перечисленных в ней членов.
Почти так настроены все каталоги LDAP, которые работают с клиентами Linux / Unix. Мне удалось успешно интегрировать несколько других предполагаемых "систем только для AD", но эта ускользает от меня.
Читая информацию, которую я могу найти, HP ищет атрибут cn, который, хотя и симпатичен, не будет работать в этом случае. Я начинаю подозревать, что это невозможно сделать с HP - это, безусловно, огромный недостаток с их стороны.
Кто-нибудь здесь успешно сделал это и заставил все работать, или я должен просто выбросить полотенце?
Еще раз спасибо!
Стандартные оверлеи OpenLDAP действительно включают поддержку «memberOf», даже включенную по умолчанию в последних дистрибутивах.
Прошивка iLO 4 v2.54 сайт загрузки (hpe.com) добавлена поддержка OpenLDAP, включая использование атрибута «uid» для входа пользователей с использованием коротких имен с контекстом поиска, а также поддержка правильных стандартных атрибутов члена группы LDAP вместо атрибута memberOf пользователя.
Да, когда дело доходит до поддержки серверов LDAP, не поддерживающих AD, определенно есть несколько недостатков.
Если вы опустите поля «Контекст пользователя каталога», то, по крайней мере, ваши пользователи смогут входить в систему с полным DN, то есть uid = joe, ou = people, dc = example, dc = com, но, очевидно, это не лучшее решение.
Что касается членства в группах, не уверен, поддерживает ли это OpenLDAP, но многие другие (особенно на основе OpenDJ) поддерживают виртуальные атрибуты, где вы можете имитировать виртуальный атрибут memberOf для записи пользователя, который будет содержать DN записей ou = groups . Я убедился, что это работает с обычной точки зрения ldapsearch, основываясь на результатах поиска, которые я вижу в iLO, но пока еще не полностью. Я выложу здесь, если мне удастся.