Re: ldap user in zope/plone nutzen
Christian Kuelker schrieb:
...
On Don, 18 Mai 2006, Bernd Grah wrote:
...
Nun meine Frage : sieht jemand eine einfache M??glichkeit, die user aus
skole-ldap als zope/plone user zu ??bernehmen.
Die Applikation (hier plone) muss das koennen, sonst wird es ein
Krampf.
ACK.
Am besten waere eine Replikation von tjener zu webserver , dann waere
automatisch nur ein Verzeichnisserver zu verwalten.
Was genau meinst du damit? Bei einfachen Projekten authentifiziert
der Webserver, bei Zope/Plone macht das bestimmt nicht der Apache.
Hier ist augenscheinlich Webserver = der Rechner, nicht Webserver =
das Programm, gemeint.
Frage : Kann ich aus skole-ldap exportierte user in zope als user
importieren ?
So funktioniert das nicht. Zope/Plone muss auf den LDAP zugreifen.
Jau.
Die Daten sollten zentral bleiben.
Allerdings.
Oder willst du divergierende Datenbanken mit der Hand wieder zusammenfuegen?
Wer will das schon? ;-)
Ein LDAP wird nicht nur gelesen, sondern auch geschrieben...
Naja; das von Bernd aufgezeigte Plone-LDAP-Howto spricht sich zumindest
mehrfach dafuer aus, dasz das Plone besser nur read-only ans LDAP geht.
<quote>
You will almost certainly be using an existing LDAP directory,
which implies you already have some means of doing user management.
For this reason, you probably want to leave your LDAPUserFolder
to access the directory in read-only mode.
<quote/>
Eine einfacher Import scheidet also aus.
Ja; in der Regel moechte man sowas vermeiden.
Hat jemand skole-ldap auf mehrere Server repliziert ?
Was meinst du mit repliziert? Normalerweise greifen z.B. mehrere
Workstations auf den LDAP auf dem Tjener zu. Jeder weitere Server im
Netz kann das auch. Es gibt (abgesehen von Failover) keinen Grund
der Replication.
Naja, mir faellt da noch so der eine oder andere [Grund] ein.
Allerdings moechte man i.d.R. nicht wirklich mit Replikation 'kaempfen',
solange es sich vermeiden laeszt, sprich: es einfachere/direktere Loesungen
gibt.
>> btw ich habe mit plone noch nie was gemacht, aber google hat mir auf die
>> schnelle folgendes howto ausgespuckt..
>>
>> http://plone.org/documentation/how-to/ldap-authentication-with-plone
Was mir Sorgen macht ist
<quote from="http://plone.org/...../ldap-authentication-with-plone";>
_Caveats_
LDAPUserFolder-2.4 requires that your LDAP group objectclass refer to
it's members by their DN. If you are using the posixGroup schema, you are
currently out of luck, since this stores its members by their uid (in
memberUid).
A *very experimental* patch to correct this issue is available here.
<quote/>
Ein bischen rumsuchen in einem Skolelinux 1.x foerdert bei mir folgendes
zutage (zu 2.x sollte sich hier nix geaendert haben!):
<quote from="/etc/ldap/schema/nis.schema">
objectclass ( 1.3.6.1.1.1.2.2 NAME 'posixGroup' SUP top STRUCTURAL
DESC 'Abstraction of a group of accounts'
MUST ( cn $ gidNumber )
MAY ( userPassword $ memberUid $ description ) )
<quote>
Tja, da ist wohl der hochexperimentelle Patch vonnoeten. :-((
Sowas wuerde mir zumindest erstmal Bauchschmerzen verursachen.
Wobei der Patch beim Ueberfliegen ganz in Ordnung aussieht :-)
...bis auf die Einrueckungen, die nicht an allen Stellen ganz
stringent erscheinen. Normalerweise waere sowas ja nur ein
Schoenheitsfehler; aber da es sich ja um Python handelt, mag
es gewisse Nebeneffekte geben. :-(
Andererseits ist nach meinen -- durchaus sehr wenigen Python-
Erfahrungen -- die Einruecktiefe komischerweise nicht /de-facto/,
sondern nur /nominell/ entscheidend.
...Aber ich schweife schon wieder ab.
Naja; Versuch macht kluch!
Beste Gruesze,
Patrick
--
> Bin leider zu faul zum selber kompilieren :-)
Wieso selber kompilieren? Das macht doch seit Ewigkeiten niemand mehr,
dafuer gibt's schlieszlich Compiler.
-- [http://pro-linux.de/news/2006/9226.html]
Reply to: