+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

[РЕШЕНО] Фильтр пользователей в LDAP работает только для первой группы., Proxmox Виртуальная Среда

Elleni

Guest

11.03.2025 08:16:00

Мы успешно создали LDAPS-соединение. Для пользователей и групп используются следующие фильтры: Фильтр пользователей: (|(MemberOf=CN=IT_Proxmox_Admins,OU=Administrative_Groups,OU=Groups,OU=Site,OU=XY,DC=domain,DC=tld)(CN=IT_Proxmox_Users,OU=Administrative_Groups,OU=Groups,OU=site,OU=XY,DC=domain,DC=tld))) Фильтр групп: (|(sAMAccountName=IT_Proxmox_Admins)(sAMAccountName=IT_Proxmox_Users)) При синхронизации обе группы отображаются в ProxMox, но в ProxMox доступен только список пользователей в первой группе пользователей. Я смог это подтвердить, изменив порядок групп в фильтре пользователей. Если группу Proxmox_Admins поменять местами с группой ProxMox_Users, то в ProxMox будут отображаться только пользователи первой упомянутой группы ProxMox_Users и наоборот. Вопрос: Неправильно ли настроен фильтр пользователей или это ошибка? Мы хотели бы настроить фильтр пользователей в настройках синхронизации, чтобы пользователи обеих групп импортировались в ProxMox. Это хорошо работает с одной группой, но пользователи во второй группе не импортируются.

dcsapak Guest	#2 0 11.03.2025 11:08:00 Привет, можешь, пожалуйста, выдать pveversion (pveversion -v) и вывод задачи синхронизации? (не важно, сухой запуск или нет), если возможно, для обеих конфигураций.

Elleni

Guest

11.03.2025 12:27:00

Привет, конечно. Код: root@hostname:~# pveversion -v
proxmox-ve: 8.3.0 (ядро: 6.8.12-8-pve)
pve-manager: 8.3.4 (версия: 8.3.4/65224a0f9cd294a3)
proxmox-kernel-helper: 8.1.1
proxmox-kernel-6.8: 6.8.12-8
proxmox-kernel-6.8.12-8-pve-signed: 6.8.12-8
proxmox-kernel-6.8.12-4-pve-signed: 6.8.12-4
ceph-fuse: 17.2.7-pve3
corosync: 3.1.7-pve3
criu: 3.17.1-2+deb12u1
glusterfs-client: 10.3-5
ifupdown2: 3.2.0-1+pmx11
ksm-control-daemon: 1.5-1
libjs-extjs: 7.0.0-5
libknet1: 1.28-pve1
libproxmox-acme-perl: 1.6.0
libproxmox-backup-qemu0: 1.5.1
libproxmox-rs-perl: 0.3.5
libpve-access-control: 8.2.0
libpve-apiclient-perl: 3.3.2
libpve-cluster-api-perl: 8.0.10
libpve-cluster-perl: 8.0.10
libpve-common-perl: 8.2.9
libpve-guest-common-perl: 5.1.6
libpve-http-server-perl: 5.2.0
libpve-network-perl: 0.10.0
libpve-rs-perl: 0.9.2
libpve-storage-perl: 8.3.3
libspice-server1: 0.15.1-1
lvm2: 2.03.16-2
lxc-pve: 6.0.0-1
lxcfs: 6.0.0-pve2
novnc-pve: 1.5.0-1
proxmox-backup-client: 3.3.3-1
proxmox-backup-file-restore: 3.3.3-1
proxmox-firewall: 0.6.0
proxmox-kernel-helper: 8.1.1
proxmox-mail-forward: 0.3.1
proxmox-mini-journalreader: 1.4.0
proxmox-offline-mirror-helper: 0.6.7
proxmox-widget-toolkit: 4.3.6
pve-cluster: 8.0.10
pve-container: 5.2.4
pve-docs: 8.3.1
pve-edk2-firmware: 4.2023.08-4
pve-esxi-import-tools: 0.7.2
pve-firewall: 5.1.0
pve-firmware: 3.14-3
pve-ha-manager: 4.0.6
pve-i18n: 3.4.0
pve-qemu-kvm: 9.0.2-5
pve-xtermjs: 5.3.0-3
qemu-server: 8.3.8
smartmontools: 7.3-pve1
spiceterm: 3.3.0
swtpm: 0.8.0+pve1
vncterm: 1.8.0
zfsutils-linux: 2.2.7-pve1 С группой Admin в качестве первой в фильтре пользователей: начана синхронизация для realm domain.tld Код: получены данные с сервера, обновление пользователей и групп
синхронизация пользователей (опции remove-vanished: acl;entry;properties)
удаление устаревших существующих пользователей в первую очередь
добавление пользователя 'user1@domain.tld'
добавление пользователя 'user2@domain.tld'
синхронизация групп (опции remove-vanished: acl;entry;properties)
удаление устаревших существующих групп в первую очередь
перезапись группы 'IT_Proxmox_Admins-domain.tld'
перезапись группы 'IT_Proxmox_Users-domain.tld'
успешно обновлена конфигурация пользователей и групп
TASK OK и теперь просто переключены группы: Код: начана синхронизация для realm domain.tld
получены данные с сервера, обновление пользователей и групп
синхронизация пользователей (опции remove-vanished: acl;entry;properties)
удаление устаревших существующих пользователей в первую очередь
удаление пользователя 'user1@domain.tld'
удаление записей ACL для пользователей 'user1@domain.tld'
удаление пользователя 'user2@domain.tld'
удаление записей ACL для пользователей 'user2@domain.tld'
добавление пользователя 'user3@domain.tld'
добавление пользователя 'user4@domain.tld'
синхронизация групп (опции remove-vanished: acl;entry;properties)
удаление устаревших существующих групп в первую очередь
перезапись группы 'IT_Proxmox_Admins-domain.tld'
перезапись группы 'IT_Proxmox_Users-domain.tld'
успешно обновлена конфигурация пользователей и групп
TASK OK

l.leahu-vladucu

Guest

14.03.2025 14:49:00

Привет, Elleni! Для моего понимания: Ты действительно хочешь использовать MemberOf=CN=... для второй группы тоже? Если я правильно понимаю, ты хочешь фильтровать пользователей, которые входят в любую из этих групп, то есть тебе нужен MemberOf= в обоих случаях. Если я все правильно понял, это объясняет, почему это работало для первой группы, но не работало для второй. Мой совет: LDAP-фильтры иногда сложно читать, поэтому для более сложных фильтров тебе может понадобиться инструмент для отображения запроса в удобном для чтения виде. Я могу порекомендовать LDAP-фильтр анализатор для этой цели.

Elleni Guest	#5 0 18.03.2025 09:18:00 Дорогой, ты прямо в точку! Большое спасибо. Буду проверять это в следующий раз, когда нужно будет что-то отладить с запросом. В любом случае добавил MemberOf= перед второй частью, и теперь получаю пользователей обеих групп! Спасибо за твою ценную поддержку, очень признателен.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры