Products.LDAPUserFolder jest zamiennikiem dla katalogu użytkownika Zope. Nie przechowywać swoje obiekty użytkowników, ale buduje je w locie po uwierzytelnieniu użytkownika w bazie danych LDAP.
Jak zaktualizować
Aktualizacja pociąga za sobą nie tylko rozpakowaniu nowego kodu, należy również usunąć i odtworzyć wszystkie instancje LDAPUserFolder w Twoim Zope uniknięcia błędów. Bezpieczną strategią modernizacji wygląda tak:
& Nbsp; * zalogować się jako użytkownik awaryjnego
& Nbsp; * usunąć wszystkie instancje LDAPUserFolder
& Nbsp; * uaktualnić produkt systemu plików
& Nbsp; * ponownie uruchomić Zope
& Nbsp; * zalogować się jako użytkownik awaryjnego
& Nbsp; * odtworzenie instancji LDAPUserFolder
Jak utworzyć użytkownika awaryjny jest opisany w dokumencie SECURITY.txt w folderze 'doc' w głównym katalogu instalacji swojej Zope oprogramowania. Wspomniany "zpasswd.py" skrypt znajduje się w folderze "bin" w katalogu głównym instalacji Zope.
Problemy debugowania
Wszystkie wiadomości dziennika są wysyłane do standardowego przypadku Zope zalogować 'event.log ". Aby zobaczyć więcej pełne dane wyjściowe rejestrowania trzeba zwiększyć poziom dziennika w zope.conf instancji Zope jest. Zobacz "dziennik_zdarzeń" dyrektywy. Ustawianie przycisku "poziom" do "debug" będzie maksymalizacji wydajności zalogować i może pomóc zidentyfikować problemy podczas instalacji i testowania.
Dlaczego nie pokazać się LDAPUserFolder moje wszystkie grupy LDAP?
Według otrzymanych informacji zwrotnych od ludzi, którzy korzystają z produktów katalogowych Netscape sposób nowa grupa jest tworzony pozwala puste grupy istnieć w systemie. Jednakże, zgodnie z definicją dla kanonicznej grupy zapisuje grupy zawsze musi mieć atrybut członka grupy. LDAPUserFolder patrzy rekordy grupy szukając pozycji członka grupy. Jeśli rekord grupa nie ma członków następnie zostanie pominięty. Jak wspomniano powyżej, to tylko wydaje się wpływać serwerów katalogowych Netscape. Aby obejść ten (Netscape) zjawiska dodać jeden lub więcej członków do grupy, w kwestii korzystania z narzędzi dołączonych do serwera katalogów. Powinna pojawić się w LDAPUserFolder po tym.
Dlaczego warto korzystać z LDAP do przechowywania wpisów użytkowników?
LDAP jako źródło Zope ewidencji użytkowników jest doskonałym wyborem w wielu przypadkach, jak ...
& Nbsp; * Masz już istniejącej instalacji LDAP, które mogą przechowywać dane pracowników firmy i nie chcesz powielać żadnych danych w folderze użytkownika Zope
& Nbsp; * Chcesz mieć taki sam dostęp do bazy danych użytkownika, takich jak poczta innych aplikacji, klientów książce adresowej, uwierzytelniające system operacyjny (PAM-LDAP) lub innych usług sieciowych, które umożliwiają uwierzytelnianie przed LDAP
& Nbsp; * Masz kilka instalacji Zope, które muszą dzielić rekordy użytkownika lub setup ZEO
& Nbsp; * Chcesz być w stanie zapisać więcej niż tylko nazwę użytkownika i hasło w folderze użytkownika Zope
& Nbsp; * Chcesz manipulować dane użytkownika poza Zope
... Lista jest długa.
LDAP Schema
Serwer LDAP powinien zawierać zapisy, które mogą być używane jako rekordy użytkowników. Wszelkie typy obiektów, takich jak osoby, organizationalPerson lub inetOrgPerson i wszelkie jego pochodne powinny działać. Zapisy typu posixAccount powinny działać poprawnie, jak również. LDAPUserFolder oczekuje rekordy użytkowników mieć przynajmniej następujące atrybuty, które w większości są wymagane w odniesieniu do wyżej wymienionych klas obiektów, w każdym razie:
& Nbsp; * atrybut posiadać identyfikator użytkownika (jak cn, uid, etc)
& Nbsp; * userPassword (pole hasła)
& Nbsp; * objectClass
& Nbsp; * co atrybut wybrać jako atrybutu podając nazwę użytkownika
& Nbsp; * typcial cechy danej osoby, jak sn (nazwisko), givenName (imię), uid lub elektronicznej (adres e-mail) będzie pracy z LDAPUserFolder ładniejszy
Użytkowników Zope role pewne związane z nimi role te określają, jakie uprawnienia użytkownikowi mieć. Dla LDAPUserFolder, informacje rola może być wyrażony poprzez członkostwo w ewidencji grupowych w LDAP.
Zapisy grup mogą być dowolnego typu obiektu, który akceptuje wiele atrybutów typu "uniqueMember" lub "członek" i że ma atrybut "cn". Jednym z tego typu jest "groupOfUniqueNames". Cn opisuje nazwę grupy / roli, natomiast atrybuty członkowskie wskazywały ponownie wszystkich tych rejestrów użytkowników, które są częścią tej grupy. Tylko te rekordy, w stylu grupy, które korzystają z pełnych DNS dla swoich członków są obsługiwane, co wyklucza zajęcia jak posixGroup.
Przykłady ważnego Grupy- i użytkowników-rekordów dla LDAP zobacz SAMPLE_RECORDS.txt pliku w tej dystrybucji. Ma próbek do środowisku użytkownika i zapis w formacie LDIF grupy.
To jest poza zakresem niniejszej dokumentacji do opisu różnych klas obiektów i atrybutów w szczegóły, zobacz dokumentację LDAP dla lepszego traktowania.
Restauracje uważaj na
Od folderu użytkownika jest jednym z tych elementów, które mogą zablokować użytkownikom z Twojej strony, jeśli wystąpią Polecam testowanie ustawień w jakimś niewidocznym miejscu przed wymianą folderu główne acl_users danej witryny z LDAPUserFolder.
W ostateczności zawsze będziesz mógł się zalogować i dokonać zmian jako superuser (w nowszych wersjach lub Zope zwanych "użytkownik awaryjne"), który, jako dodatkowy bonus, można usuwać i tworzyć foldery użytkownika. Jest to naruszenie normy "superuser nie można utworzyć / rękę niczego" polityki, ale może uratować skórę na wiele sposobów.
Rozważania schematu LDAP w przypadku korzystania z CMF
CMF (i co za tym idzie, Plone) oczekują, że każdy użytkownik ma adres e-mail. W celu zapewnienia pracy wszystkim prawidłowo rekordy użytkowników LDAP musi mieć atrybut "mail", a ten atrybut należy ustawić w zakładce "LDAP Schema" swojego LDAPUserFolder. Po dodaniu "poczta" element schematu upewnij się, że "mapa do nazwy" pole do "e-mail" można ustawić.
Atrybuty, które pojawiają się na formularzu przystąpienia, a widok spersonalizować podlegają właściwości, które "Zarejestruj" stosując kartę "państw właściwości w narzędziu portal_memberdata widzenia ZMI, który z kolei jest pobierane z zakładki '' schematu LDAP w Widok LDAPUserFolder ZMI. Atrybuty chcesz włączyć do portalu członków musi być ustawiony na zakładce LDAPUserFolder "LDAP schematu ', a potem zarejestrowany za pomocą ekranu properties membeer" w narzędzia Dane Państwa zdaniem ZMI.
Co nowego w tym wydaniu:
- Naprawiono błąd python-ldap podczas odbierania zestawów zamiast listy atrybutów aby wyszukiwać za poprawki przez Godefroid (Chapelle)
- Niektórzy porządki znaleźli pyflakes ((patch przez Godefroid Chapelle)
Co nowego w wersji 2.24:
- Porównując wartość logowania się zalogować wartości znajdują się w katalogu LDAP Serwer rozebrać pierwsza wartość logowania. Wynika to zachowanie OpenLDAP, które uważa, wartości, jak pasuje nawet z wleczoną lub spacje w filtrze zapytania wartość. (Https://bugs.launchpad.net/bugs/1060080)
- LDAPDelegate: Podczas korzystania użytkownika z urządzeń bezpieczeństwa Zope w celu znalezienia odpowiedniego powiązania DN i hasło do połączenia z serwerem LDAP, należy go wyrzucić, gdy nie został utworzony w wyniku rzeczywistego logowania i ma w ten sposób nieprawidłowe hasło (https://bugs.launchpad.net/bugs/1060112)
- korzystała z zestawu wersji składników (versions.txt z Zope 02.03.18), aby uniknąć konieczności micromanage wersje zależnościami
- przeniesione wpisy do dziennika zmian w wersji 2.18 i starszych z Zmiany.txt do HISTORY.txt
- formatowanie HISTORY.txt i sprawiają, że reszta zgodny
- wyczyścić formatowanie Zmiany.txt
Co nowego w wersji 2.23:
- Dodaj setuptools-git do setup_requires zapobiec brakujące pliki uwolnienie jaja - wersje 2.22 i. 2,21 nie zbuduje powodu brakującej version.txt
Co nowego w wersji 2.20:
- Poprawiono CVE-2010-2944 (http: // secunia.com/advisories/cve_reference/CVE-2010-2944/), który nigdy nie został zgłoszony przed przez ludzi Debiana, którzy znaleźli problemu 8 miesięcy temu (patrz http://bugs.debian.org/cgi-bin/bugreport .cgi? bug = 593466). Dzięki chłopaki.
Co nowego w wersji 2.19:
- Dodaj nazwę atrybutu do negative_cache_key więc wnioski o samej wartości, ale inna cecha nie zatruć pamięć podręczną. (Https://bugs.launchpad.net/bugs/695821)
- Zmienione bazowe klasy w Zope 2.13 nie określają isPrincipiaFolderish, więc folder użytkownik nie będzie już wyświetlane w lewym panelu nawigacyjnym ręka w ZMI. (Https://bugs.launchpad.net/bugs/693315)
- Poprawiono błędne czek na unicode tak ważności użytkownik nie powiedzie się, jeśli wartość Unicode jest przekazywana w. Zmieniono wszystkie kontrole na ciąg i unicode korzystania basestring. (Https://bugs.launchpad.net/bugs/700071)
- Poprawiono błąd eksport / import, więc wszystkie testy Testy uruchomić ponownie.
- Menedżer DN wartość Hasło na karcie Konfiguracja w ZMI pojawił się w postaci zwykłego tekstu podczas przeglądania źródła HTML dla świadczonych stronie. (Https://bugs.launchpad.net/bugs/664976)
Wymagania :
- Python
Komentarze nie znaleziono