V rámci řešení single sign on pro jednoho z našich zákazníků jsme napojovali do infrastruktury opensourcový access manager OpenAM. Jako databáze pro něj byl vybrán LDAP server 389DS. Článek stručně shrnuje odlišnosti a zádrhele, které bylo zapotřebí při konfiguraci vyřešit.
7. 3. 2013 • Petr
CzechIdM nabízí svým uživatelům webové rozhraní, ve kterém mohou zažádat o přístupy nebo měnit svá hesla na koncových systémech. V článku, jehož úvod si právě čtete, se podíváme, jak je zajištěna bezpečnost přihlášení do CzechIdM, jaké možnosti přihlášení CzechIdM poskytuje a jaká je jejich technická implementace. Administrátoři CzechIdM tu rovněž naleznou návod, jak ověřovat uživatele […]
10. 9. 2012 • Vojtěch Matocha
Stojíte-li před podobným úkolem, najdete v tomto článku pár informací jak jsme my řešili migraci pro našeho zákazníka. Cílem bylo nahradit zastaralý adresářový server Sun Directory Server (dále jen Sun DS) verze 5.2 za novější software, který bude možné dále patchovat a udržovat. V našem případě se jednalo o nahrazení dvou multi-master serverů a několik […]
16. 7. 2012 • Vydrář Jan
Pro jednoho zákazníka řešíme přechod z adresářového serveru SUN Directory Server 6.3 (Solaris) na 389 Directory Server na linuxu (RHEL). V průběhu přechodu je nutné zajistit replikaci dat z nových serverů 389 DS na staré servery SUN DS co jsou rozmístěné na pobočkách různě po republice.
11. 7. 2012 • Zdeněk Burda
V diskuzi nad způsobem správy uživatelských účtů ve větším prostředí jsem se několikrát setkal s argumente, že identity manager je přece zbytečný, když je možné nasadit “LDAP”. Zkusím tedy sepsat pár svých myšlenek na toto téma, třeba to někomu ze čtenářů pomůže. Aby se dalo “rozhodnout” co je lepší použít, je nutné si nejdřív ujastnit […]
1. 8. 2011 • Zdeněk Burda
Pro uživatele používáme adresářový server (~LDAP) z CentOSu. V LDAPu máme všechny uživatelské účty jak pro maily, tak i pro upload na web případně další služby. Pro každý mailový účet jsou v LDAPu vedené informace o kvótě, kterou přebírá Dovecot. Vznikl požadavek na nastavení doménových kvót, nikoliv jen pro jednotlivé schránky. Ke každému mailovému účtu je tedy nutné přidat informaci o celkovém místě, které může doména využívat.
30. 10. 2010 • Zdeněk Burda
Tento příspěvek ukazuje, jak je možné v Sun Identity Manageru (dále jen IdM) přesunout uživatele z jednoho kontejneru do jiného v adresářovém serveru LDAP.
Zadání zní takto:
Vytvořte workflow, které dostane vstupní parametry accountId a sluzebnatext. Workflow ověří jestli dn, které se z těchto parametrů složí je shodné jako to, které získá z uživatelského view. Pokud se dn nebudou shodovat, dojde k přesunutí uživatele.
Můj postup byl následující:
Nejprve bylo nutné získat uživatelské view pro uživatele, jehož accountId jsem dostal na vstupu.
10. 2. 2010 • František Hradil
V tomto příspěvku je nastíněno, jak lze pracovat s LDAPem v jazyku java. Protože se často přenáší citlivá data je zde ukázáno, jak se připojit přez ssh.
Předpokládáme, že je na LDAP serveru povolena možnost připojovaní přez protokol LDAPS na portu 636. Navíc klient musí mít ve své keystore uložen certifikát serveru nebo jeho certifikační autority.
To můžeme zajistit následujícím způsobem:
Příklad byl vyzkoušen na serveru OpenDS. Pro ostatní servery to bude podobně.
OpenDS ma keystore umístěnou v podadresáři config.
keytool -list -v -keystore config/keystore
12. 5. 2009 • Jan Gregor