Нужна помощь по LDAP...

[Tusoffkin ТС]

Суть вот в чем: имеем win server 2008 r2, который является контролером домена и софтину, которая должна подключаться к каталогу ldap. Софтина называется glpi и представляет собой грубо говоря сайт на php. Так вот, при настройке столкнулся с тем, что не могу подключиться к базе пользователей. Тупо не видит связи и всё тут.
Как проверить работоспособность ldap на сервере?

[mike]

Если у тя сервак объявил себя контроллером домена, верифицирует логины и пароли пользователям (пускает их в домен), обслуживает права и вообще полновесно работает с GPO, то зачем проверять, работает ли LDAP на серваке? Он работает! Другое дело, что есть затруднения при обращении софтины к каталогу. Вариантов при этом может быть несколько: 1) не правильно указываешь связку логин/пасс того пользователя, который может обращаться к каталогу или же сие совсем не указано; 2) не верно указан путь для поиска в каталоге - к примеру "DN=<имя_локального_домена>,DN=<суффикс_домена>,CN=Users" (это только пример!!!). Данный путь можно посмотреть из оснастки ASDEdit. Только аккуратнее там, не натвори бед! Эта оснастка напрямую лезет в схему каталога.

ЗЫ
  Инвентаризацией нагрузили или CRM поднимаешь?  

[Tusoffkin ТС]

Пока только заявки нужны.
А за совет спасибо!

[Tusoffkin ТС]

1) не правильно указываешь связку логин/пасс того пользователя, который может обращаться к каталогу или же сие совсем не указано

Так пользователь создан специально под это дело. Обладает админскими правами (или ему какие то особенные надо?)

2) не верно указан путь для поиска в каталоге - к примеру "DN=<имя_локального_домена>,DN=<суффикс_домена>,CN=Users" (это только пример!!!). Данный путь можно посмотреть из оснастки ASDEdit. Только аккуратнее там, не натвори бед! Эта оснастка напрямую лезет в схему каталога.

И это то же верно. Регистр же не имеет значения? Может еще какие мысли есть?

[mike]

Обладает админскими правами (или ему какие то особенные надо?)

Не надо ему админских прав, если он изменения в каталоге не вносит. Единственное, что надо - это поставить галку в его профиле, что бы пасс был постоянным и не менялся никогда. Естессно этот пасс никому постороннему не говорить.

Регистр же не имеет значения?

Не имеет.

И это то же верно.

Раз всё верно, то должно работать. Логично? А раз не работает, то или где-то что-то забыл или указано не правильно. Кста, при обращении к каталогу используется шифрование и оно бывает разным. Вот та же glpi какой метод юзает?

То что я писал выше:

DN=<имя_локального_домена>,DN=<суффикс_домена>,CN=Users

Немного ошибся, сори. Домена под рукой нет, поэтому по-памяти. Не DN, а DC.

Структура каталога практически всегда одинаковая, то есть лезть во всякие CN(контейнер) и OU(организационная единица) не надо, точнее их указывать не надо. Софтина, владея полным DС (пусть их даже несколько подряд), остальное достроит сама.

Ну например возьмём локальный домен как "example.lan", тогда базовый DC , в строке запроса, будет как "dc=example,dc=lan". Дальнейший поиск, софтина будет пытаться искать дописывая нужный контейнер CN - например компы будут искаться по "dc=example,dc=lan,cn=computers"; пользователи по "dc=example,dc=lan,cn=users" и так далее. Принцип понятен?

Ещё засада может быть в том, что комп, с которого зарегистрированный пользователь ломится в каталог, не является членом домена. На этот счёт посмотри в логах сервака в разделе "Безопасность" записи об успешном входе как и компа, так и регистрации пользователя.


UPD:
  не забудь, что пользователь при логоне к каталогу должен указываться вместе с доменом. В наших примерах, если пользователь скажем "pupkin", то в настройках glpi указываешь его как "pupkin@example.lan"

[Ахинеич]

Мля... Не осилил.. Би-майка позвать, что ли?  

[Tusoffkin ТС]

Ну вот скрины. Запускается все на серваке, собственно лезет он сам на себя, поэтому localhost.
Смущает структура, то что ou получается на русском, в частности группа Администраторы, в которой и есть пользователь от имени кого и лезет в неё, получилась после локализации до этого было Administratos.

Mike посмотри не замыленным взглядом, может что не так пишу?

[mike]

собственно лезет он сам на себя, поэтому localhost.

А вот и не правильно. на локалхост (локальная петля) виндовый сервис NETLOGON внимания не обращает. Точнее он его не слушает, если я правильно помню. Так что указывай конкетное имя контроллера домена в полном формате.

Теперь по картинкам
"Фильтр соединений" - это что там за билиберда? На сколько я понял из той строки, то пытаемся фильтровать соединение (читай подключение к каталогу), минуя rootDN. Нафига? Если мне память не изменяет, то этот фильтр нужен тогда, когда у тебя многодоменная структура и им можно уменьшить запрос при обращении к конкретному домену, а не ко всему лесу. Если эта строка была вбита по умолчанию, то оставляй пока.
"rootDN" - как и говорил, должен быть в формате "имя"(сабака)домен, а не так как там написано. Та запись - это фактически строка поиска, а тебе нжен банальный логон пользователя.

Давай запишем так:
Сервер: полное имя контроллера домена - SERVER.SCHOOL1272.EDU. Ну на крайний случай тупо IP
Фильтр соединений: сначала оставляем как есть, потом, на второй пробе если не получилось, делаем пустым
rootDN: Administrator@SCHOOL1272.EDU
вбиваем пароль... и вперёд.

Смущает структура, то что ou получается на русском, в частности группа Администраторы

А погляди ка, этих администраторов в контейнере CN=Users нет ли?

[Tusoffkin ТС]

Фильтр это типа только активных пользователей что б только искал.
Не фурычит блин.
И с фильтром и без фильтра, и с айпишником и с server.school1272.edu

[mike]

rootDN правильный, такой как нужно?
Логин с полным именем домена может быть ещё и в формате "имя_домена"\ (обратный слеш)"имя пользователя. Это на манер Win2K.

[mike]

Создай ка ты другого юзверя и проверь, что он есть по пути "dc=school1272,dc=edu,cn=users"
Вот потом им и логинься.

[Tusoffkin ТС]

rootDN правильный, такой как нужно?

Думаю, что да. Прописывал уже встроенного админа. Он точно есть в USER. Но сейчас посмотрел у него карточка даже пустая.

Создай ка ты другого юзверя и проверь, что он есть по пути "dc=school1272,dc=edu,cn=users"

Создал, пишет к нему путь cn=glpi,cn=Users,dc=school1272,dc=edu, но тест не проходит.

[mike]

Дружище, да ты издеваешься штоли?
Чего написал в строке "Сервер"? Вбей тудой IP контроллера домена!!!!

[Tusoffkin ТС]

mike не злись плиз. Как можно издеваться над человеком, который пытается тебе помочь.
Вбивал в адрес сервера:
ldap://10.0.0.1
10.0.0.1
10.135.232.10 (адрес по которому подключаются соседние здания к DC)
DC=SCHOOL1272,DC=EDU
Dc=server,DC=SCHOOL1272,DC=EDU (регистр не смотреть и так и эдок делал)
В другие места, всё что ты советовал то же вбивал, Но тест не проходит  

Да я понимаю что чудес не бывает, значит где то что то не так. Это и пытаюсь понять, где что я делаю не так.

Отталкивался вот от этой статьи http://wiki.glpi-project.org/doku.php?id=ru:doc:start:ldap и даже смотрел как у соседей сделано. Делал как у него.

[Tusoffkin ТС]

А изначально вот по этой http://nikolay-popov.livejournal.com/9596.html