Hallo,
Tobias Hofmann
Hallo Dieter, Harry, Liste,
At 22:11 04.09.2002, you wrote:
Hallo, Tobias Hofmann
writes: [...] Dein Suchstring wird nur als Filter erkannt,
aehm - im Gegensatz wozu? Sind die Begriffe "Suchstring" und "Filter" nicht synonym?
Nein, ein Suchstring setzt sich aus diversen Elementen, wie Base, scope Filter und Atributen zusammen. Was ich sagen wollte ist, daß du ja deiner Meinung nach Suchbasis und Filter angibst, durch die Gestaltung des Suchstrings wird aber die Suchbasis nicht als solche erkannt und das gesamte Gebilde als Filter mit Attribut angesehen.
ctClass=posixGroup)(memberUid=uid=dieter,ou=Partner, ou=users,o=avci,c=de))"
...also auch hier wieder der Blank vor der Search Base...
War ja auch so von mir beabsichtigt, der Blank war ja Bestandteil des Suchstrings. [...9
Die Meldung 'equality candidates: index_param failed' sagt, daß der Index für objectclass eq verlangt
Bloede Frage: von wem oder was verlangt?
Von deinem Index Eintrag in slapd.conf :-) [...]
Kann es sein, daß der Client für Active Directory geschrieben ist?
Moeglich. Ein Telefonat mit dem Clienthersteller letzte Woche ergab, dass (IIRC) AD unterstuetzt, ansonsten fuer LDAP iPlanet und Qualcomm "empfohlen" seien.
OK, iPlanet ist RFC konform.
Ich war zu dem Zeitpunkt, als wir uns hier fuer OpenLDAP entschieden hatten, davon ausgegangen, dass OpenLDAP sowieso alles und "viel besser" koenne... :) Deswegen hatte ich mich um iPlanet nicht weiter gekuemmert und nach einer Testinstallation von Eudoras Server an einem anderen Fachbereich bei uns die Finger gelassen...
Es gibt tatsächlich einige Benchmark Tests, in denen OpenLDAP nicht schlecht abschneidet. :-) Auf jeden Fall gibt es da mehr Support als bei den kommerziellen Anbietern. [...]
Im Ernst, wir sollten erst einmal versuchen, deinen Suchstring so zu formulieren, daß auch gefunden wird, was du suchst.
Was ich ja, da ich den Client nur ueber den Dialog, in dem ich die jeweiligen Werte eintrage, "konfigurieren" kann, nicht ganz in meiner Hand habe...
Es geht ja auch darum, den Datensatz erst einmal zu prüfen. In einer andern Mail hatte ich ja einen Suchbefehl formuliert. Hier noch einmal zur Erinnerung und fürs Protokoll ldapsearch -h localhost -x -b ou=users,dc=medien,dc=uni-weimar,dc=de -s sub "objectclass=posixaccount" Diesen String kann man noch erweitern durch Attribute, also z.B. ...."objectclass=posixaccount" "uid" oder auch telephonenumber oder welche Attribute du auch suchst. [...]
Ok, ernsthaft: - Du kannst meinen Testfall, der bei mir tut, bei Dir nicht nachvollziehen - korrekt?
Ja, so ist es.
- Wuerde es Sinn machen, Dir meine Schemata und ein LDIF meiner Gruppe sowie meines Users per PM/http zukommen zu lassen, um zu schauen, ob es dann (wie bei mir) tut?
Im Moment macht das keinen Sinn, lass erst einmal prüfen, was bei einem simplen ldapsearch herauskommt, dann sehen wir weiter.
- Ich werde mich etwas eingraben und versuchen, hier ein 2.1.3/4 System auf meiner Testkiste zum Laufen zu bekommen, und dann werden wir alle sehen, ob und wenn ja, wie es laeuft. Schlauer Ansatz?
Das kann nie schaden. Wen du selbst kompilieren möchtest, benötigst du dazu sinnvoller Weise cyrus-sasl-2.1.x, und da es ja eine Testkiste ist, würde ich auch MIT Kerberos V empfehlen. Mit SASL/GSSAPI macht dann die Authentifizierung richtig Spaß. So z.B. folgender Test -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-. dieter@marin:/usr/local/bin> ./ldapwhoami SASL/GSSAPI authentication started SASL username: dieter@AVCI.DE SASL SSF: 56 SASL installing layers dn:cn=dieter kluenter,ou=partner,ou=users,o=avci,c=de Result: Success (0) -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- Nur aus der Kenntnis meines Loginnamens wird der entsprechende Distinguished Name geparsed, ohne weitere Athentifizierung oder Passwort Kontrolle. Genug der Werbung für Kerberos. Ich wünsche ein frohes Wochenende -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour