.htaccess для mod_auth_nds (не получается настроить несколько авторизующих серверов)

[Linny]

Всем доброго времени суток!
Проблема такая: есть закрытый раздел веб-сервера, куда доступ разрешен только определенным пользователям из NDS. Но записи этих пользователей разнесены по разным серверам. Пытаюсь прописать в .htaccess несколько серверов, на которых нужно искать - не получается...не находит на первом и все, пишет ошибку user not found in nds.

Вот мой файл .htaccess:
AuthType Basic
AuthNDSServer server1 server2
AuthNDSRequirePW on
AuthNDSContext .usr.test .usr1.test
AuthNDSContextOverride on

Модуль апача mod_auth_nds ищет пользователей на server1 и, если не находит, то пишет, что нет такого, не пытаясь обращаться ко второму серверу. Катастрофа...

[Loky]

Всем доброго времени суток!
Проблема такая: есть закрытый раздел веб-сервера, куда доступ разрешен только определенным пользователям из NDS. Но записи этих пользователей разнесены по разным серверам. Пытаюсь прописать в .htaccess несколько серверов, на которых нужно искать - не получается...не находит на первом и все, пишет ошибку user not found in nds.

Вот мой файл .htaccess:
AuthType Basic
AuthNDSServer server1 server2
AuthNDSRequirePW on
AuthNDSContext .usr.test .usr1.test
AuthNDSContextOverride on

Модуль апача mod_auth_nds ищет пользователей на server1 и, если не находит, то пишет, что нет такого, не пытаясь обращаться ко второму серверу. Катастрофа...

Если сервера в одном дереве, то нафига спрашивать у второго?
Вот ссылочка по теме
http://support.novell.com/techcenter/artic...na20010202.html
Там есть мыло продвинутого перца, можно его подоставать.

[Linny]

Если сервера в одном дереве, то нафига спрашивать у второго?
Вот ссылочка по теме
http://support.novell.com/techcenter/artic...na20010202.html
Там есть мыло продвинутого перца, можно его подоставать.

Сервера-то в одном дереве, но пользователя модуль упорно не находит Хотя он есть! Находит только в случае, если на указанном сервере есть реплика с этим юзером. Ссылочку читала...а вот мыло - вещь полезная Чичас подостаю

[Loky]

Если сервера в одном дереве, то нафига спрашивать у второго?
Вот ссылочка по теме
http://support.novell.com/techcenter/artic...na20010202.html
Там есть мыло продвинутого перца, можно его подоставать.

Сервера-то в одном дереве, но пользователя модуль упорно не находит Хотя он есть! Находит только в случае, если на указанном сервере есть реплика с этим юзером. Ссылочку читала...а вот мыло - вещь полезная Чичас подостаю

Хе! А зачем ваще лезть к серверу без реплики? Он по любому никому ничего не скажет. Хоть апачу, хоть клиенту новеловскому. Тебе нужно прописать любой сервер с репликой.

[Linny]

Хе! А зачем ваще лезть к серверу без реплики? Он по любому никому ничего не скажет. Хоть апачу, хоть клиенту новеловскому. Тебе нужно прописать любой сервер с репликой.

Да там есть реплика, и не одна, но там нет ВСЕХ авторизованных пользователей, они разбросаны по разным репликам и нет такого сервера, где есть все реплики со всеми нужными юзерами... Loky, ну не совсем у меня клиника с головой, чтобы лезть на сервак, который понятия не имеет об nds

[Loky]

Хе! А зачем ваще лезть к серверу без реплики? Он по любому никому ничего не скажет. Хоть апачу, хоть клиенту новеловскому. Тебе нужно прописать любой сервер с репликой.

Да там есть реплика, и не одна, но там нет ВСЕХ авторизованных пользователей, они разбросаны по разным репликам и нет такого сервера, где есть все реплики со всеми нужными юзерами... Loky, ну не совсем у меня клиника с головой, чтобы лезть на сервак, который понятия не имеет об nds

Реплика у всех должна быть одинаковой, иначе это означает что дереву пришел писец. Может ты имеешь в виду разделы? Но даже тогда у нас есть сервер, который знает обо всех юзверях (как минимум - на какой реплике лежит акаунт)

[Linny]

Хе! А зачем ваще лезть к серверу без реплики? Он по любому никому ничего не скажет. Хоть апачу, хоть клиенту новеловскому. Тебе нужно прописать любой сервер с репликой.

Да там есть реплика, и не одна, но там нет ВСЕХ авторизованных пользователей, они разбросаны по разным репликам и нет такого сервера, где есть все реплики со всеми нужными юзерами... Loky, ну не совсем у меня клиника с головой, чтобы лезть на сервак, который понятия не имеет об nds

Реплика у всех должна быть одинаковой, иначе это означает что дереву пришел писец. Может ты имеешь в виду разделы? Но даже тогда у нас есть сервер, который знает обо всех юзверях (как минимум - на какой реплике лежит акаунт)

Нет, я имею в виду именно реплики. В нашем дереве нет единой реплики, которая содержала бы информацию обо всех пользователях сети. Дерево разбито на части, у каждой части есть по 3-4 реплики. Поисковый механизм ндс находит всех и вся. Но, похоже, модули апача его не используют Видимо, они ищут пользователей в реплике как в планарной базе данных. Отсюда и проблемы, что нужно, чтобы модуль апача искал юзеров на нескольких серверах последовательно.
P.S. списалась с человеком, которого Вы советовали...увы, он в курсе только про авторизацию netware. А как работают модули апача - не имеет понятия

[Loky]

Нет, я имею в виду именно реплики. В нашем дереве нет единой реплики, которая содержала бы информацию обо всех пользователях сети. Дерево разбито на части, у каждой части есть по 3-4 реплики. Поисковый механизм ндс находит всех и вся. Но, похоже, модули апача его не используют Видимо, они ищут пользователей в реплике как в планарной базе данных. Отсюда и проблемы, что нужно, чтобы модуль апача искал юзеров на нескольких серверах последовательно.
P.S. списалась с человеком, которого Вы советовали...увы, он в курсе только про авторизацию netware. А как работают модули апача - не имеет понятия

Нет, таки ты имеешь в виду разделы! К сожалению я не знаю что там понаписали в модуле апача, но может имеет смысл авторизоваться на мастер-реплике корневого раздела? Хотя с точки зрения идеологии eDirectory, должно находиться все и везде, независимоу какого сервера запрашивается инфа.
Может ситуацию исправит модуль авторизации по лдап?
Ну и как самое правильное решение по разграничению доступа к веб-страницам - iChain. Там уже все настроено как надо.

[Linny]

Нет, таки ты имеешь в виду разделы! К сожалению я не знаю что там понаписали в модуле апача, но может имеет смысл авторизоваться на мастер-реплике корневого раздела? Хотя с точки зрения идеологии eDirectory, должно находиться все и везде, независимоу какого сервера запрашивается инфа.
Может ситуацию исправит модуль авторизации по лдап?
Ну и как самое правильное решение по разграничению доступа к веб-страницам - iChain. Там уже все настроено как надо.

Хорошо, разделы так разделы - вам виднее iChain для апача на Linuxе? что-то я себе это плохо представляю... По лдап пробовали настроить авторизацию, но он не хочет работать, используя для авторизации DC, только uid или cn, а у нас ни то, ни то не является уникальный атрибутом пользователя, только dc. Так что в итоге затею пришлось оставить

P.S. а насчет матер-реплики корня...мысль хорошая, попробую...

[Loky]

Нет, таки ты имеешь в виду разделы! К сожалению я не знаю что там понаписали в модуле апача, но может имеет смысл авторизоваться на мастер-реплике корневого раздела? Хотя с точки зрения идеологии eDirectory, должно находиться все и везде, независимоу какого сервера запрашивается инфа.
Может ситуацию исправит модуль авторизации по лдап?
Ну и как самое правильное решение по разграничению доступа к веб-страницам - iChain. Там уже все настроено как надо.

Хорошо, разделы так разделы - вам виднее iChain для апача на Linuxе? что-то я себе это плохо представляю... По лдап пробовали настроить авторизацию, но он не хочет работать, используя для авторизации DC, только uid или cn, а у нас ни то, ни то не является уникальный атрибутом пользователя, только dc. Так что в итоге затею пришлось оставить

P.S. а насчет матер-реплики корня...мысль хорошая, попробую...

iChain самодостаточен. Приведи пример как настраивали авторизацию по ЛДАП.

[Linny]

iChain самодостаточен. Приведи пример как настраивали авторизацию по ЛДАП.

mod_auth_ldap настраивала так: к апачу модуль прикручиваем как DSO, а потом пишем в .htaccess такое:
AuthName "Private section for Novell users"
AuthType Basic
AuthLDAPAuthoritative on
AuthLDAPHosts "10.0.0.34"
AuthLDAPBaseDN "o=etu"
UID_Attr DN
AuthLDAPSearchScope base
AuthLDAPSearchScope subtree
AuthLDAPCryptPasswords on
require valid-user

а дальше было так - как бы ни вводилось имя пользователя с контекстом, писалась ошибка invalid DN syntax. Я тогда километры доков перелопатила, пытаясь найти "valid", но даже на форумах, посвященных ldap не смогли сказать, в чем проблема...

[Loky]

mod_auth_ldap настраивала так: к апачу модуль прикручиваем как DSO, а потом пишем в .htaccess такое:
AuthName "Private section for Novell users"
AuthType Basic
AuthLDAPAuthoritative on
AuthLDAPHosts "10.0.0.34"
AuthLDAPBaseDN "o=etu"
UID_Attr DN
AuthLDAPSearchScope base
AuthLDAPSearchScope subtree
AuthLDAPCryptPasswords on
require valid-user

а дальше было так - как бы ни вводилось имя пользователя с контекстом, писалась ошибка invalid DN syntax. Я тогда километры доков перелопатила, пытаясь найти "valid", но даже на форумах, посвященных ldap не смогли сказать, в чем проблема...

UID_Attr CN не пробовала делать?
И по идее достаточно этой строчки поиска
AuthLDAPSearchScope subtree

[Linny]

UID_Attr CN не пробовала делать?
И по идее достаточно этой строчки поиска
AuthLDAPSearchScope subtree

Пробовала, и это как раз работает...но у нас CN - не уникальный идентификатор Поэтому получается ошибка, если CN находится в нескольких экземплярах

[Linny]

Придумали, как сделать, чтобы нормально работал mod_auth_nds!
Нужно было сложить на сервер, который является авторизующим, RW-реплики с пользователями и вуаля
А до этого там были реплики типа Subordinate Reference. Теперь все работает как часы