Справочник

атрибут

имя (имя атрибута) и одно или несколько значений атрибута.
Обычно атрибуты представлены в форме имя=значение.
Имена атрибутов независимы от регистра.
Примеры:

userName=john
eyeColor=blue

класс объекта

атрибут с именем objectClass; этот атрибут используется для указания природы объекта, которому он принадлежит.
Примеры:

objectClass=person
objectClass=organization

Полное имя записи (DN).

последовательность атрибутов в форме имя=значение и разделённых знаком запятой (,).
DNы используются как уникальные имена объектов (записей).
Пример:

userName=john,server=BigIron,realm=Internet

DNы используются для построения деревьев имён объектов, где самый правый атрибут задаёт самое общее имя, а самый левый атрибут задаёт уникальное имя объекта.
Самый левый атрибут называется Относительным Полным Именем (RDN) - оно обеспечивает уникальность имени объекта среди всех других объектов, имеющих такой же родительский DN.
Пример:

userName=jim,server=BigIron,realm=Internet
это другой DN, хотя "родительский DN" точно такой же (server=BigIron,realm=Internet) - тот же

Пример:

userName=john,server=SmallCopper,realm=Internet
это другой DN, с другим "родительским DN" (server=SmallCopper,realm=Internet)

запись справочника или объект

набор атрибутов с полным именем записи
Обычно запись представляется в виде нескольких строк, начинающихся с имени, представляющего DN записи, за которым следуют атрибуты записи. Записи обычно разделяются пустой строкой.
Пример:

DN: userName=jim,server=BigIron,realm=Internet
objectClass=person
eyeColor=blue
mailboxLimit=1024000

DN: userName=john,server=BigIron,realm=Internet
objectClass=person
eyeColor=green
mailboxLimit=2048000

Обратите внимание: стандарты LDAP рекомендуют включать атрибут RDN в набор атрибутов, составляющих запись справочника. Менеджер Справочника CommuniGate Pro жёстко следует этому правилу.

справочник

набор записей справочника; может достигать очень больших размеров (миллионы записей). Через DN набор организуется в виде дерева. При удалении родительского DN записи удаляются автоматически. При изменении (переименовании) родительских DNов записи также автоматически изменяются.

схема справочника

набор ограничений справочника, включающих в себя:

• набор имён атрибутов, которые могут использоваться в Справочнике (userName, mail, city, eyeColor, ...);
• набор значений атрибута objectClass, которые могут находиться в Справочнике (person, organization, device, printer ...);
• для каждого objectClass - имена атрибутов, которые обязана иметь запись объекта; для записей типа objectClass=person схема может требовать наличия атрибутов с именами cn (Имя-Идентификатор) и sn (фамилия).
• для каждого objectClass - имена атрибутов, которые может иметь запись объекта; для записей типа objectClass=person схема может разрешать атрибуты с именами driverLicense и eyeColor.

Откройте Веб Интерфейс Администратора и в области Справочник нажмите на ссылке с именем Удалённого Тома Хранения для того, что бы открыть страницу с его Установками.

Установки

Уровень Журнала:	КатастрофыСбоиОсновныеПроблемыПодробностиВсё
Имя LDAP Сервера:
Безопасность:	DisabledTLSPortSTARTTLS
Поддерево на Сервере:
Bind DN:
Bind Пароль:
Версия Протокола:	23
Кэш Каналов:	0123571015203050100250

Уровень Журнала

Используйте эту настройку для того, что бы указать, какую информацию Менеджер Удалённых Томов Хранения должен сохранять в Журнале работы Сервера.

Имя LDAP Сервера

Это поле указывает имя или IP адрес удалённого LDAP сервера, на котором размещено поддерево Тома Хранения. Если удалённый LDAP сервер использует нестандартный TCP порт, то вы можете указать Имя Сервера в виде имясервера:порт.

Безопасность

Если установлена опция TLSPort, то соединения с удалённым сервером будут устанавливаться в безопасном режиме. По умолчанию портом для безопасных соединений является порт номер 636.
Если установлена опция STARTTLS, то соединения устанавливаются через обычный порт LDAP, а затем отправляется LDAP команда STARTTLS для инициирования коммуникаций в безопасном (зашифрованном) режиме.

Поддерево на Сервере

Это поле указывает поддерево на удалённом LDAP сервере, которое должно быть "смонтировано". Если эта настройка имеет пустое значение, то весь удалённый справочник будет виден как поддерево Справочника CommuniGate Pro.

Bind DN, Bind Пароль

Это поле задаёт Полное имя записи и Пароль, которые будут использоваться для "привязки" удалённого LDAP сервера (для входа на него). Если это поле оставлено пустым, то CommuniGate Pro будет использовать анонимный доступ к удалённому LDAP серверу.

Версия Протокола

Используйте это поле для указания поддерживаемой удалённым LDAP сервером версии протокола.

Кэш Каналов

Используйте это поле для указания числа "кэшируемых" TCP соединений, используемых для соединения с удалённым LDAP сервером.

В определённых ситуациях сервер CommuniGate Pro не должен хранить никаких данных Справочника в своих Локальных Томах. Вместо этого все записи Справочника должны хранится на удалённом LDAP сервере (каком-нибудь другом сервере CommuniGate Pro или на сервере Справочника стороннего производителя). В этом случае "корень" CommuniGate Pro должен храниться в Удалённом Томе Хранения, указывающем на такой внешний сервер. По умолчанию "корень" Справочника хранится в Локальном Томе Хранения с именем Main.

Для того что бы указать Серверу CommuniGate Pro что "корень" Справочника и всё дерево Справочника хранятся на удалённом сервере, выполните следующие действия:

• Откройте установки Тома Хранения Main
• переместите Том в фиктивное поддерево o=dummy
• создайте Удалённый Том Хранения RemoteRoot, указав в его Поддереве пустую строку
• Настройте Удалённый Том RemoteRoot так, что бы он имел соответствующий доступ на удалённом LDAP сервере
• проверьте, что удалённый справочник доступен (используя Просмотр Справочника CommuniGate Pro)
• Откройте установки Тома Хранения Main и нажмите на кнопку Удалить Том

Справочник CommuniGate Pro ограничивает права клиентов на чтение, поиск и изменение записей Справочника. Справочник содержит набор записей Прав Доступа, которые разрешают и запрещают операции в Справочнике для конкретных поддеревьев Справочника в зависимости от привязанного DN клиента.

Для задания записей Прав Доступа откройте страницу Права Доступа к Справочнику:

	Имя	Что	Bind DN	Тип
				ЗапрещеноРазрешено	Изменить
				ЗапрещеноРазрешено	Изменить
				ЗапрещеноРазрешено	Изменить
				ЗапрещеноРазрешено

Каждая запись Права Доступа имеет:

• имя
• что: DN, к которому применяется запись; в строках могут использоваться символы шаблона подстановки ("*")
• Bind DN: привязанный DN клиента, к которому применяется запись; в строках могут использоваться символы шаблона подстановки ("*")
• Тип: Запрещено или Разрешено
• ссылка на Запись, задающую права доступа

Кнопки Вниз и Вверх позволяют вам передвигать записи в таблице, увеличивая или уменьшая приоритеты записей.

Когда клиент требует выполнения операции поиска, чтения, изменения или любой другой операции с записью Справочника или с поддеревом, имеющими определённый DN, Права Доступа проверяются начиная с верхней записи. Сервер ищет запись Прав Доступа, которая:

• имеет в поле "Что" DN, совпадающий с DN, указанным в запросе клиента
• имеет в поле Bind DN значение, совпадающее с привязанным DN клиента
• имеет операцию (удалять, создавать), совпадающую с затребованной операций или имеющую атрибут, совпадающий с атрибутом, используемым в операции

При обнаружении такой записи Права Доступа тип записи указывает, разрешена операция или запрещена. Если не найдено никакой записи Права Доступа, операция считается запрещённой.

Если клиент имеет "мастер" привязанный DN (смотрите выше), то ему разрешены все операции.

Когда клиент требует совершения операции типа "чтение", то процедура повторяется для всех атрибутов, которые клиент хочет получить. Если операция запрещена для всех указанных атрибутов, то операция чтения заканчивается неуспешно. В противном случае операция выполняется и клиенту возвращаются все атрибуты, которые он имеет право получать.

Когда клиент требует совершения операции типа "поиск", то процедура повторяется для всех атрибутов, используемых в фильтре поиска. Если операция поиска запрещена хотя бы для одного из этих атрибутов, то она заканчивается неуспешно. У найденных записей проверяется RDN. Если RDN не разрешён для чтения, то запись не возвращается клиенту.

Если клиент требует совершения операции типа "переименование", то процедура используется дважды: первый раз для проверки того, что клиент имеет право удалить оригинальную запись Справочника и второй раз, что бы убедится, что клиент имеет право создать запись Справочника в новом месте.

В поле Bind DN могут использоваться специальные строки:

anyone

запись Права Доступа применяется для любого Bind DN, включая anyone (отсутствующий) Bind DN.

brother

запись Прав Доступаприменяется, если Bind DN и целевой DN имеют общий родительский DN. Например, DNы uid=someuser,cn=domain1.com и uid=otheruser,cn=domain1.com являются "братьями" (brother). Такой способ задания Bind DN целесообразно предоставлять тем пользователям CommuniGate Pro, которые получают доступ к записям Справочника о других пользователях, находящихся в этом же домене CommuniGate Pro.

parent

запись Прав Доступаприменяется, если Bind DN является отцом для целевого DN Например, DN cn=domain1.com является отцом для DNов uid=user1,cn=domain1.com и id=book1,uid=user1,cn=domain1.com.

child

запись Прав Доступаприменяется, если целевой DN является отцом для Bind DN.

self

запись Прав Доступаприменяется, если целевой DN совпадает с Bind DN. Такой способ задания Bind DN целесообразно предоставлять тем Пользователям CommuniGate Pro, которые имеют право изменять значения атрибутов у своих собственных записей справочника.

Для того, что бы создать запись Права Доступа, введите имя записи, целевой DN (поле Что) и Bind DN в последнем пустом элементе в Таблице Прав Доступа и нажмите на кнопку Модифицировать. Используйте кнопку Вверх для изменения приоритета записи.

Для того, что бы удалить запись Права Доступа, сотрите её имя и нажмите на кнопку Модифицировать.

Для задания Прав Доступа к Справочнику откройте страницу Права Доступа и нажмите на ссылку "Изменить" (откроется запись Права Доступа):

Права уровня Записи

Запрещено Удаление Записей

Запрещено Создание Записей

Эти опции определяют, могут ли клиенты с заданным Bind DN создавать или удалять записи с заданным целевым DN.

Чтение Атрибутов

Запрещено: *

В этом поле перечисляются те атрибуты данных, которые клиенты с заданным Bind DN могут читать из записей с заданным целевым DN. Имена атрибутов должны отделяться символом запятой. Для того, что бы позволить клиентам читать все атрибуты записи, используйте символ звёздочка (*).

Поиск по Атрибутам

Запрещено: *

В этом поле перечисляютсяатрибуты, которые клиенты с заданным Bind DN могут использовать в фильтрах при поиске в поддеревьях целевого DN.

Изменение Атрибутов

Запрещено: *

В этом поле перечисляются те атрибуты данных, которые клиенты с заданным Bind DN могут изменять в записях с заданным целевым DN.

Пример записи Права Доступа:

Что

uid=*,cn=domain1.com

Bind DN

brother

Тип

Разрешено

Читаемые Атрибуты

objectClass,officeEmail,roomNumber,cn,uid

Эта запись разрешает всем пользователям из домена domain1.com читать атрибуты objectClass, cn, uid, officeEmail и roomNumber из записей Справочника других пользователей Домена domain1.com.

Пример записи Права Доступа:

Что

cn=domain1.com

Bind DN

child

Тип

Разрешено

Читаемые Атрибуты

objectClass,officeEmail,roomNumber

Атрибуты, в которых можно искать

cn,uid

Эта запись позволяет всем пользователям из домена domain1.com искать в поддереве Справочника этого Домена по атрибутам cn и uid, но не по другим доступным атрибутам.

Веб Интерфейс Администратора CommuniGate Pro содержит средства для просмотра Справочника. Для того, что бы открыть страницу Просмотра Справочника, откройте область Справочник и нажмите на ссылку Просмотр.

Страница Просмотра включает следующие поля DN:

Полное имя записи (DN)

Используя это поле, введите тот DN записи/поддерева Справочника, который вы хотите видеть и нажмите на кнопку Перейти. Нажмите на кнопку Вверх для удаления самого левого элемента DN и открытия его "родительской" записи Справочника.

На следующей панели отображаются записи Справочника с указанным DN:

Атрибут	Значение
businesscategory	"Software development/technical support"
description	"\"Stalker Software, Inc. subsidiary\""
o	"CommuniGate Systems"
objectclass	organization
seealso	"o=CommuniGate Systems, c=US"
telephonenumber	676-555-1212

Если запись с указанным DN не может быть прочитана, то в этой панели будет содержаться сообщение об ошибке.

На следующей панели отображаются все дочерние записи:

Поддерево

10301003001000300010000300001000003000001000000 Фильтр:
RDN	objectClass
cn=aaa.dom	(top,organization,CommuniGateDomain)
cn=bbb.dom	(top,organization,CommuniGateDomain)

Для того, что бы ограничить число показываемых записей, вы можете использовать меню, находящееся на панели.

Для поиска указанных записей, введите в поле Фильтр LDAP строку-фильтр (в формате RFC 2254) и нажмите на кнопку Показывать.

Элементы таблицы являются дочерними RDN и objectClass.

Нажмите на ссылку с именем дочернего элемента RDN для того, что бы просмотреть эту запись.

Веб Интерфейс Администратора CommuniGate Pro позволяет Администратору Сервера импортировать из текстовых файлов в форматах LDIF и "replog" изменения в Справочник:

Для импорта данных в Справочник CommuniGate Pro нажмите на кнопку Обзор (Browse) и введите имя LDIF файла, находящегося на вашем компьютере. Нажмите на кнопку Импортировать LDIF, что бы вставить все записи из выбранного LDIF файла.

Для того, что бы применить к Справочнику CommuniGate Pro набор изменений записей, нажмите на кнопку Обзор (Browse) и выберите "replog", находящийся на вашем компьютере. Нажмите на кнопку Импортировать LMOD, что бы применить все изменения из выбранного файла.