Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Caché, Ensemble, DeepSee, MiniM, IRIS, GT.M Новый топик    Ответить
 использование LDAP  [new]
netmisty
Member

Откуда:
Сообщений: 1
Здравствуйте!

В данный момент я занимаюсь задачей по настройке аутентификации в системе Cache используя опции LDAP.
Система Active Directory - Windows Server 2003 R2 SP2.

При модифицировании схемы AD у меня возникает множество вопросов, которые не совсем освещены в данном руководстве http://docs.intersystems.com/cache20101/csp/docbook/DocBook.UI.Page.cls?KEY=GCAS_LDAP#GCAS_LDAP_dbsearch

1) Создание класса

В частности, при создании нового класса в «Схеме Active Directory», какой нужно указывать тип класса (структурный, абстрактный или ос особый)? Нужно ли указывать класс-родитель?

Какие объект-схемы указывать на следующей странице в полях «Обязательно» (возможно, здесь нужно указывать только что созданные атрибуты intersystems-Namespace, ntersystems-Routine,intersystems-Roles) и «Дополнительно»?

2) Создание атрибута.

При создании нового объекта-атрибута, что указывать в поле Синтаксис?
(в качестве атрибутов мы создаем
intersystems-Namespace — LDAP OID 1.2.840.113556.1.8000.2448.2.1
intersystems-Routine — LDAP OID 1.2.840.113556.1.8000.2448.2.2
intersystems-Roles — LDAP OID 1.2.840.113556.1.8000.2448.2.3 )

3) Создание “search user”

Какие существуют особые рекомендации при создании данного пользователя в AD, кроме указания его атрибута sAMAcccountName
Нужно ли в нем редактировать какие-либо атрибуты?

Может быть, есть инструкция по модифицированию схемы LDAP для Cache на Windows Server 2003?
Спасибо!
2 мар 11, 09:31    [10310332]     Ответить | Цитировать Сообщить модератору
 Re: использование LDAP  [new]
servit
Member

Откуда: г. Кишинёв, Республика Молдова
Сообщений: 3117
Блог
netmisty,

  • %Net.LDAP.Client.EditEntry (deprecated);
  • %Net.LDAP.Client.Session (deprecated);
  • %SYS.LDAP.
  • 2 мар 11, 09:52    [10310459]     Ответить | Цитировать Сообщить модератору
    Между сообщениями интервал более 1 года.
     Re: использование LDAP  [new]
    kolesov
    Member

    Откуда: Владивосток
    Сообщений: 755
    Коллеги, прошло много лет - мож у кого уже есть "по накатанной" про АД? А то тут нАда некоторым ;)
    30 янв 19, 10:47    [21797528]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    DAiMor
    Member

    Откуда: Volzhsky -> Moscow -> CZ, Brno -> Moscow
    Сообщений: 2630
    kolesov
    Коллеги, прошло много лет - мож у кого уже есть "по накатанной" про АД? А то тут нАда некоторым ;)
    А что именно надо? Там же много чего можно сделать.
    30 янв 19, 10:48    [21797531]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    kolesov
    Member

    Откуда: Владивосток
    Сообщений: 755
    DAiMor,

    Самое "простое" - как прикрутить АДшную авторизацию в Каше - чтобы авторизованные в АД могли ходить в каше-интранет и работать с ним ;)
    30 янв 19, 14:25    [21797799]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    DAiMor
    Member

    Откуда: Volzhsky -> Moscow -> CZ, Brno -> Moscow
    Сообщений: 2630
    kolesov
    DAiMor,

    Самое "простое" - как прикрутить АДшную авторизацию в Каше - чтобы авторизованные в АД могли ходить в каше-интранет и работать с ним ;)
    Это все должно быть довольно просто.

    Картинка с другого сайта.

    Создать новое описание домена, и протестировать связкой логин/пароль
    Картинка с другого сайта.

    Включить LDAP доступгым для веб авторизации, если нужно для веб
    Картинка с другого сайта.
    и в настройках CSP приложения включить

    Если не веб, то включить LDAP в настройках соответствующего сервиса

    http://localhost:57772/csp/sys/sec/%CSP.UI.Portal.LDAPs.zen
    http://localhost:57772/csp/sys/sec/%CSP.UI.Portal.LDAP.zen
    30 янв 19, 15:07    [21797855]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    Alexey Maslov
    Member

    Откуда: СПб
    Сообщений: 1545
    DAiMor,

    стоило бы упомянуть версию Cache, в которой есть именно такая страничка. Предположу, что 2018.1, не ниже. В "старых" версиях это выглядит несколько иначе.

    Kerberos и LDAP - два большие разницы, т.к. LDAP не позволяет реализовать SSO, Kerberos же - позволяет, а судя по вопросу, именно это и требуется.

    Приходилось настраивать и то, и другое, но в приложениях, где клиент подключался через CacheActiveX.dll. Плохо представляю, как бы я прикручивал Kerberos к web-приложению. Возможно, стоит посмотреть в сторону Oauth 2.0.
    30 янв 19, 15:24    [21797905]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    DAiMor
    Member

    Откуда: Volzhsky -> Moscow -> CZ, Brno -> Moscow
    Сообщений: 2630
    Alexey Maslov
    LDAP не позволяет реализовать SSO, Kerberos же - позволяет
    Без Kerberos тоже возможен SSO. Зависит от того как его делать.
    30 янв 19, 16:25    [21798010]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    Alexey Maslov
    Member

    Откуда: СПб
    Сообщений: 1545
    DAiMor
    Без Kerberos тоже возможен SSO. Зависит от того как его делать.
    Ты, конечно, прав. Но обычно задача звучит так: "Пусть пользователь вошёл в Windows в домене AD. Хочу, чтобы его пускало без ввода логина/пароля в ваше(и) приложение(я), и, возможно, чтобы он получил какие-то права на основе членства в LDAP-группах или значений атрибутов LDAP".

    В таком виде задача решается через Kerberos, или через какие-то более общие framework'и, его включающие. LDAP в том виде, как он реализован в Cache, требует явной пересылки логина/пароля с клиента на сервер. Значит, это уже не SSO.
    30 янв 19, 16:58    [21798036]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    DAiMor
    Member

    Откуда: Volzhsky -> Moscow -> CZ, Brno -> Moscow
    Сообщений: 2630
    Alexey Maslov,

    Я решал такую задачу в 2012.2 на Windows+Apache. Под виндовый апас нету kerberos модуля, или не было на тот момент. но был spnego, а он вроде не kerberos. и правда у меня не было Cache авторизации, а своя, но это уже нюансы
    30 янв 19, 17:05    [21798048]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    Alexey Maslov
    Member

    Откуда: СПб
    Сообщений: 1545
    DAiMor
    ...правда у меня не было Cache авторизации, а своя, но это уже нюансы
    Согласен, обычно своя и нужна. Но всё равно, в общем случае задача непростая: веб-сервер обычно под Linux'ом, клиентские компы тоже могут быть под Linux'ом (здравствуй, импортозамещение!), и т.д.
    30 янв 19, 18:16    [21798146]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    DAiMor
    Member

    Откуда: Volzhsky -> Moscow -> CZ, Brno -> Moscow
    Сообщений: 2630
    Alexey Maslov
    DAiMor
    ...правда у меня не было Cache авторизации, а своя, но это уже нюансы
    Согласен, обычно своя и нужна. Но всё равно, в общем случае задача непростая: веб-сервер обычно под Linux'ом, клиентские компы тоже могут быть под Linux'ом (здравствуй, импортозамещение!), и т.д.
    На линуксе да, там только kerberos и с плясками вместе с админами домена.
    30 янв 19, 19:39    [21798220]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    vassil
    Member

    Откуда: Хабаровск
    Сообщений: 99
    kolesov
    Самое "простое" - как прикрутить АДшную авторизацию в Каше - чтобы авторизованные в АД могли ходить в каше-интранет и работать с ним ;)


    https://habr.com/ru/company/intersystems/blog/221347/
    2 фев 19, 08:57    [21800312]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    EvLaUy
    Member

    Откуда: Москва
    Сообщений: 2170
    DAiMor
    Я решал такую задачу в 2012.2 на Windows+Apache. Под виндовый апас нету kerberos модуля, или не было на тот момент. но был spnego, а он вроде не kerberos. и правда у меня не было Cache авторизации, а своя, но это уже нюансы


    Решали, а решили? Я до Вас пытался решать эту задачу (кто-то из клиентов захотел) еще в 2007 или 2008 году, возился не только я, но, кажется, success case так и не был получен. В каком-то методе из системной библиотеки Cache был параметр, отвечающий за LDAP-авторизацию, но в коде самого метода этот параметр никак не использовался! Заводили, помню, проблему, консультировались у спецов "оттуда", но на тот момент так и не получили четкого алгоритма, как же это делать. Сейчас такой алгоритм уже, конечно, должен быть. Но не мешало бы кому-то, кому удалось это сделать, все ж таки поделиться пошаговой инструкцией, т.к. судя по заявкам пустяковым "проходным" вопросом авторизация в Cache через LDAP до сих пор так и не стала.
    4 фев 19, 11:21    [21801115]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    DAiMor
    Member

    Откуда: Volzhsky -> Moscow -> CZ, Brno -> Moscow
    Сообщений: 2630
    EvLaUy,

    Да, конечно, все решил, разными путями на разных ОС, но нужный результат был достигнут. И там где ЛЕТОГРАФ еще используется это все еще работает.
    4 фев 19, 11:24    [21801118]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    EvLaUy
    Member

    Откуда: Москва
    Сообщений: 2170
    DAiMor
    И там где ЛЕТОГРАФ еще используется это все еще работает.

    Да? Офф-топ, конечно, но в конце ноября прошлого года от одного из сотрудников Intersystems я услышал, что ЛЕТОГРАФа больше не существует. Навскидку проверил - правда. URL официального сайта больше не действует, по телефону робот отвечает "номер не обслуживается". Может быть, конечно, ушли как бы в подполье и оставшихся еще клиентов пара-тройка спецов нянькает из своих квартир. Не знаю...
    4 фев 19, 12:24    [21801177]     Ответить | Цитировать Сообщить модератору
     Re: использование LDAP  [new]
    DAiMor
    Member

    Откуда: Volzhsky -> Moscow -> CZ, Brno -> Moscow
    Сообщений: 2630
    EvLaUy
    DAiMor
    И там где ЛЕТОГРАФ еще используется это все еще работает.

    Да? Офф-топ, конечно, но в конце ноября прошлого года от одного из сотрудников Intersystems я услышал, что ЛЕТОГРАФа больше не существует. Навскидку проверил - правда. URL официального сайта больше не действует, по телефону робот отвечает "номер не обслуживается". Может быть, конечно, ушли как бы в подполье и оставшихся еще клиентов пара-тройка спецов нянькает из своих квартир. Не знаю...
    Официально, компания еще существует, но на самом деле, ее уже нет. Хотя клиенты еще есть, и приходится их поддерживать , но уже не официально через компанию, а самим.
    4 фев 19, 12:48    [21801192]     Ответить | Цитировать Сообщить модератору
    Все форумы / Caché, Ensemble, DeepSee, MiniM, IRIS, GT.M Ответить