Eu tenho trabalhado com algum novo servidor HP DL360 Gen9. Estou tentando configurá-los para autenticação LDAP em nosso diretório OpenLDAP e não ter muita sorte.
Primeiro, todos os nossos nomes distintos para contas de usuário começam com "uid=" e não "cn=". Nossos grupos LDAP seguem naturalmente a mesma convenção.
Assim, uma conta de usuário é uid =, ou = People, dc = domínio, dc = com
E um grupo contém estes listados como membros.
Isso é quase como todos os diretórios LDAP que funcionam com clientes Linux / Unix são configurados. Eu consegui integrar com sucesso vários outros supostos "sistemas de AD apenas", mas este me escapa.
Lendo as informações que posso encontrar, a HP está procurando o atributo cn, que, embora fofo, não funcionará nesse caso. Estou começando a suspeitar que não há maneira de fazer isso com a HP - uma enorme lacuna da parte deles com certeza.
Alguém aqui fez isso com sucesso e fez as coisas funcionarem, ou eu deveria simplesmente jogar a toalha?
Obrigado novamente!
As sobreposições padrão do OpenLDAP incluem suporte para "memberOf", mesmo ativado por padrão nas distribuições recentes.
site de download (hpe.com) do firmware do iLO 4 v2.54 adicionou suporte para o OpenLDAP, incluindo o uso do atributo "uid" para logins de usuários usando nomes abreviados com um contexto de pesquisa e suporte para atributos de membros do grupo padrão LDAP apropriados em vez do atributo memberOf do Usuário.
Sim, há definitivamente algumas deficiências quando se trata de suporte para servidores LDAP não-AD.
Se você deixar de fora os campos "Contexto do usuário do diretório", pelo menos seus usuários poderão fazer login com seu DN completo, ou seja, uid = joe, ou = people, dc = exemplo, dc = com, mas obviamente isso não é ótimo solução.
No que se refere à participação em grupos, não tenho certeza se o OpenLDAP oferece suporte a isso, mas muitos outros (especialmente baseados no OpenDJ) suportam atributos virtuais nos quais você pode simular um atributo virtual memberOf para o registro do usuário que conterá os DNs do ou = registros de grupos. Eu consegui que isso funcione a partir de uma perspectiva regular de pesquisa de dados, com base nas pesquisas que eu vejo no iLO, mas ainda não estou funcionando totalmente. Vou postar aqui se for bem sucedido.