Products.LDAPUserFolder เป็นแทนโฟลเดอร์ของผู้ใช้ Zope มันไม่ได้เก็บวัตถุผู้ใช้ของตัวเอง แต่สร้างพวกเขาในทันทีหลังจากที่ตรวจสอบกับฐานข้อมูลผู้ใช้ LDAP
วิธีการปรับรุ่น
อัพเกรด entails ไม่เพียง แต่เปิดออกรหัสใหม่คุณควรลบและสร้างอินสแตนซ์ LDAPUserFolder ทั้งหมดในการติดตั้ง Zope เพื่อป้องกันข้อผิดพลาด ปรับกลยุทธ์ปลอดภัยลักษณะเช่นนี้:
& nbsp; * เข้าสู่ระบบเป็นผู้ใช้ในกรณีฉุกเฉิน
& nbsp; * ลบกรณี LDAPUserFolder ทั้งหมด
& nbsp; * อัพเกรดผลิตภัณฑ์ระบบแฟ้ม
& nbsp; * รีสตาร์ท Zope
& nbsp; * เข้าสู่ระบบเป็นผู้ใช้ในกรณีฉุกเฉิน
& nbsp; * สร้างอินสแตนซ์ LDAPUserFolder
วิธีการสร้างผู้ใช้ในกรณีฉุกเฉินได้อธิบายไว้ในเอกสาร SECURITY.txt ในโฟลเดอร์ 'เอกสาร' ที่รากของการติดตั้งซอฟต์แวร์ Zope ของคุณ กล่าวถึงสคริปต์ 'zpasswd.py' อาศัยอยู่ในโฟลเดอร์ 'bin' ที่รากของการติดตั้ง Zope ของคุณ
ปัญหาการแก้จุดบกพร่อง
ข้อความเข้าสู่ระบบทั้งหมดจะถูกส่งไปยังเหตุการณ์ Zope มาตรฐานเข้าสู่ระบบ 'event.log' เพื่อที่จะได้เห็นผลลัพธ์บันทึกอย่างละเอียดมากขึ้นคุณจะต้องเพิ่มระดับการเข้าสู่ระบบใน zope.conf เช่น Zope ของคุณ ดูคำสั่ง 'eventlog' การตั้งค่าปุ่ม 'ระดับ' เป็น 'แก้ปัญหา' จะเพิ่มเข้าสู่ระบบการส่งออกและอาจช่วยระบุปัญหาระหว่างการติดตั้งและการทดสอบ
ทำไม LDAPUserFolder ไม่แสดงทุกกลุ่ม LDAP ของฉันได้อย่างไร
ตามข้อเสนอแนะที่ได้รับจากคนที่ใช้ผลิตภัณฑ์ไดเรกทอรี Netscape ทางกลุ่มใหม่ถูกสร้างช่วยให้กลุ่มที่ว่างเปล่าอยู่ในระบบ อย่างไรก็ตามตามที่นิยามที่ยอมรับสำหรับกลุ่มบันทึกกลุ่มมักจะต้องมีคุณลักษณะที่สมาชิกกลุ่ม LDAPUserFolder เงยหน้าขึ้นบันทึกกลุ่มโดยการมองหารายการที่สมาชิกกลุ่ม หากบันทึกกลุ่มไม่มีสมาชิกแล้วมันจะถูกข้ามไป ตามที่กล่าวข้างต้นนี้เท่านั้นดูเหมือนว่าจะส่งผลกระทบต่อเซิร์ฟเวอร์ไดเรกทอรี Netscape ในการทำงานรอบนี้ (Netscape) ปรากฏการณ์เพิ่มหนึ่งหรือมากกว่าสมาชิกไปยังกลุ่มที่มีปัญหาโดยใช้เครื่องมือที่มาพร้อมกับเซิร์ฟเวอร์ไดเรกทอรี มันควรจะปรากฏใน LDAPUserFolder หลังจากนั้น
ทำไมต้องใช้ LDAP เพื่อเก็บบันทึกของผู้ใช้?
LDAP เป็นแหล่งที่มาของการบันทึกของผู้ใช้ Zope เป็นทางเลือกที่ดีในหลาย ๆ กรณีเช่น ...
& nbsp; * คุณมีการติดตั้ง LDAP ที่มีอยู่ที่จะจัดเก็บข้อมูลของพนักงานของ บริษัท และคุณไม่ต้องการที่จะทำซ้ำข้อมูลใด ๆ ลงในโฟลเดอร์ที่ใช้ Zope
& nbsp; * คุณต้องการที่จะทำให้ฐานข้อมูลผู้ใช้เดียวกันสามารถใช้ได้กับโปรแกรมอื่น ๆ เช่นอีเมลลูกค้าหนังสือที่อยู่ในระบบปฏิบัติการ authenticators (PAM-LDAP) หรือบริการเครือข่ายอื่น ๆ ที่ช่วยให้การตรวจสอบกับ LDAP
& nbsp; * คุณมีการติดตั้ง Zope หลายอย่างที่จำเป็นต้องใช้บันทึกของผู้ใช้หรือการติดตั้ง ZEO
& nbsp; * คุณต้องการที่จะสามารถที่จะเก็บได้มากกว่าเพียงแค่ชื่อผู้ใช้และรหัสผ่านในโฟลเดอร์ของผู้ใช้ Zope ของคุณ
& nbsp; * คุณต้องการที่จะจัดการกับข้อมูลผู้ใช้ที่ด้านนอกของ Zope
... รายการอย่างต่อเนื่อง
LDAP Schema
เซิร์ฟเวอร์ LDAP ของคุณควรมีระเบียนที่สามารถใช้เป็นบันทึกของผู้ใช้ วัตถุประเภทใดเช่นคน organizationalPerson หรือ inetOrgPerson และสัญญาซื้อขายล่วงหน้าใด ๆ ควรจะทำงาน บันทึก posixAccount ชนิดควรจะทำงานได้อย่างถูกต้องเช่นกัน LDAPUserFolder คาดว่าบันทึกผู้ใช้ของคุณจะมีอย่างน้อยแอตทริบิวต์ต่อไปซึ่งส่วนใหญ่ที่จำเป็นสำหรับการเรียนวัตถุดังกล่าวข้างต้นแล้ว:
& nbsp; * แอตทริบิวต์ที่จะถือรหัสผู้ใช้ (เช่น CN, UID ฯลฯ )
& nbsp; * userpassword (ฟิลด์รหัสผ่าน)
& nbsp; * objectClass
& nbsp; * สิ่งที่คุณเลือกแอตทริบิวต์เป็นแอตทริบิวต์ชื่อผู้ใช้
& nbsp; * คุณลักษณะของบุคคลที่เกี่ยวข้องกับตนเอง Typcial เช่น SN (นามสกุล) givenName (ชื่อแรก) UID หรือจดหมาย (ที่อยู่อีเมล) จะทำให้การทำงานร่วมกับ LDAPUserFolder ดีกว่า
ผู้ใช้ Zope มีบทบาทบางอย่างที่เกี่ยวข้องกับพวกเขาบทบาทเหล่านี้ตรวจสอบสิ่งที่ผู้ใช้สิทธิ์ได้ สำหรับ LDAPUserFolder ข้อมูลบทบาทสามารถแสดงออกผ่านการเป็นสมาชิกในกลุ่มเรกคอร์ดใน LDAP
กลุ่ม บริษัท บันทึกสามารถของชนิดของวัตถุใด ๆ ที่ยอมรับคุณลักษณะหลายชนิด "uniqueMember" หรือ "สมาชิก" และมี "CN" คุณลักษณะ ประเภทหนึ่งดังกล่าวคือ "groupOfUniqueNames" CN อธิบายกลุ่ม / ชื่อในขณะที่บทบาทคุณลักษณะสมาชิกชี้กลับไปยังทุกคนที่บันทึกการใช้งานที่เป็นส่วนหนึ่งของกลุ่มนี้ เฉพาะผู้บันทึกกลุ่มสไตล์ที่ใช้เต็มของ DNS สำหรับสมาชิกได้รับการสนับสนุนที่ไม่รวมชั้นเรียนเช่น posixGroup
สำหรับตัวอย่างของ Group- ที่ถูกต้องและใช้บันทึกสำหรับ LDAP โปรดดู SAMPLE_RECORDS.txt แฟ้มในการกระจายนี้ แต่ก็มีตัวอย่างที่ผู้ใช้และบันทึกกลุ่มในรูปแบบ LDIF
มันอยู่นอกขอบเขตของเอกสารนี้จะอธิบายคลาสของวัตถุที่แตกต่างกันและคุณลักษณะในรายละเอียดโปรดดูเอกสาร LDAP สำหรับการรักษาที่ดี
สิ่งที่ต้องระวัง
ตั้งแต่โฟลเดอร์ของผู้ใช้เป็นหนึ่งในรายการเหล่านี้ที่สามารถล็อคผู้ใช้ออกจากเว็บไซต์ของคุณหากพวกเขาทำลายผมขอแนะนำให้ทดสอบการตั้งค่าในบางสถานที่ไม่เด่นก่อนที่จะเปลี่ยน acl_users หลักของเว็บไซต์โฟลเดอร์ที่มี LDAPUserFolder
ในฐานะที่เป็นที่พึ่งสุดท้ายคุณก็จะสามารถที่จะเข้าสู่ระบบและปรับเปลี่ยนได้ตาม superuser (หรือในรุ่น Zope ใหม่ที่เรียกว่า "ผู้ใช้ฉุกเฉิน") ซึ่งเป็นโบนัสเพิ่มสามารถลบและสร้างโฟลเดอร์ผู้ใช้ นี่คือการละเมิดมาตรฐาน "superuser ไม่สามารถสร้าง / สิ่งที่ตัวเอง" นโยบาย แต่สามารถประหยัดผิวของคุณในหลาย ๆ
การพิจารณา Schema LDAP เมื่อใช้กับ CMF
CMF (และนามสกุล Plone) คาดหวังว่าผู้ใช้ทุกคนมีที่อยู่อีเมล เพื่อที่จะทำให้การทำงานทุกอย่างถูกต้องบันทึกผู้ใช้ LDAP ของคุณต้องมี "จดหมาย" แอตทริบิวต์และคุณลักษณะนี้จะต้องตั้งค่าใน "LDAP Schema แท็บ" ของ LDAPUserFolder ของคุณ เมื่อคุณเพิ่ม "จดหมาย" รายการเค้าร่างให้แน่ใจว่าคุณตั้งค่า "แผนที่จะชื่อ" สนาม "อีเมล"
คุณลักษณะที่แสดงบนเข้าร่วมรูปแบบและมุมมองส่วนบุคคลที่ถูกควบคุมโดยคุณสมบัติที่คุณลงทะเบียนโดยใช้แท็บ 'สมาชิกคุณสมบัติ' ในเครื่องมือ portal_memberdata มุมมอง ZMI ซึ่งจะมีที่มาจากแท็บ 'LDAP Schema ใน LDAPUserFolder มุมมอง ZMI คุณสมบัติที่คุณต้องการเปิดใช้งานสำหรับสมาชิกพอร์ทัลจะต้องตั้งค่าบนแท็บ LDAPUserFolder 'LDAP Schema ครั้งแรกและจากนั้นลงทะเบียนใช้หน้าจอ' คุณสมบัติ Membeer 'ในประเทศสมาชิกข้อมูลเครื่องมือมุมมอง ZMI.
มีอะไรใหม่ ในข่าวประชาสัมพันธ์นี้:
- ข้อผิดพลาดหลาม LDAP แก้ไขเมื่อได้รับชุดแทนของรายการสำหรับแอตทริบิวต์การค้นหาบน (Patch โดย Godefroid ชา)
- สะสางบางคนพบโดย pyflakes ((Patch โดย Godefroid ชา)
มีอะไรใหม่ ในรุ่น 2.24:
- เมื่อเปรียบเทียบมูลค่าการเข้าสู่ระบบเข้าสู่ระบบค่าที่พบใน LDAP เซิร์ฟเวอร์ดึงค่าการเข้าสู่ระบบครั้งแรก นี้ตามพฤติกรรม OpenLDAP ที่จะพิจารณาค่าเป็นตรงแม้จะมีต่อท้ายหรือช่องว่างชั้นนำในการสอบถามค่าตัวกรอง (https://bugs.launchpad.net/bugs/1060080)
- LDAPDelegate: เมื่อใช้ผู้ใช้จากเครื่องจักรที่การรักษาความปลอดภัย Zope เพื่อวัตถุประสงค์ในการหา DN ผูกที่เหมาะสมและรหัสผ่านสำหรับการเชื่อมต่อกับเซิร์ฟเวอร์ LDAP ทิ้งมันเมื่อมันไม่ได้ถูกสร้างขึ้นเป็นผลมาจากการเข้าสู่ระบบที่แท้จริงจึงมี รหัสผ่านที่ไม่ถูกต้อง (https://bugs.launchpad.net/bugs/1060112)
- ใช้ชุดที่รู้จักกันในรุ่นส่วนประกอบ (versions.txt จาก Zope 2.3.18) เพื่อหลีกเลี่ยงการมุ่งรุ่นพึ่งพา
- ย้ายเปลี่ยนแปลงรายการบันทึกสำหรับรุ่น 2.18 และเก่าจาก CHANGES.txt เพื่อ HISTORY.txt
- ฟอร์แมต HISTORY.txt และทำให้ส่วนที่เหลือตาม
- ทำความสะอาดจัดรูปแบบของ CHANGES.txt
มีอะไรใหม่ ในรุ่น 2.23:
- เพิ่ม setuptools-คอมไพล์เพื่อ setup_requires เพื่อป้องกันไฟล์ที่ขาดหายไปใน ปล่อยไข่ -. รุ่น 2.22 และ 2.21 จะไม่สร้างเนื่องจากการขาดหายไป Version.txt
มีอะไรใหม่ ในรุ่น 2.20:
- แก้ไขสำหรับ CVE-2010-2944 (http: // secunia.com/advisories/cve_reference/CVE-2010-2944/) ซึ่งก็ไม่เคยรายงานต้นน้ำโดยคน Debian ที่พบปัญหา 8 เดือนที่ผ่านมา (ดู http://bugs.debian.org/cgi-bin/bugreport .cgi? ข้อผิดพลาด = 593466) ขอบคุณ.
มีอะไรใหม่ ในรุ่น 2.19:
- เพิ่มชื่อแอตทริบิวต์เพื่อ negative_cache_key ร้องขอสำหรับค่าเดียวกัน แต่ แอตทริบิวต์ที่แตกต่างกันไม่ได้วางยาพิษแคช (https://bugs.launchpad.net/bugs/695821)
- เรียนฐานเปลี่ยนแปลงใน Zope 2.13 ไม่ได้กำหนด isPrincipiaFolderish ดังนั้นโฟลเดอร์ของผู้ใช้จะไม่แสดงขึ้นในบานหน้าต่างนำทางซ้ายมือใน ZMI (https://bugs.launchpad.net/bugs/693315)
- คงมีการตรวจสอบความผิดพลาดสำหรับ Unicode ดังนั้นหมดอายุใช้จะไม่ล้มเหลวถ้าค่า Unicode ถูกส่งผ่านไปใน. เปลี่ยนการตรวจสอบทั้งหมดและ Unicode สตริงที่จะใช้ basestring (https://bugs.launchpad.net/bugs/700071)
- คงส่งออก / นำข้อผิดพลาดการทดสอบเพื่อให้การทดสอบทั้งหมดทำงานอีกครั้ง.
- ค่ารหัสผ่านของผู้จัดการ DN บนแท็บการตั้งค่าคอนฟิกใน ZMI พบในข้อความที่ชัดเจนเมื่อดูที่มา HTML สำหรับหน้าแสดงผล (https://bugs.launchpad.net/bugs/664976)
ต้องการ
- หลาม
ความคิดเห็นที่ไม่พบ