Re: [Gutl-l] Sobre resticciones nacionales e internacionales contra Active Directory

Wed, 11 Nov 2015 17:31:58 -0800 

El 11/11/15 a las 19:36, Arian Molina Aguilera escribió:

El 11/11/15 a las 15:22, Yadiel Pérez Villazón escribió:
Buenas lista, quiero hacerles una consulta a ver si alguien me puede ayudar con este problema que ya no se que hacer, la cuestión es que estoy trabajando en una empresa y le estoy configurando la clásica restricción nacional/internacional contra un grupo del Active Directory de Windows y me esta dando un problema a la hora de obtener a que grupos pertenece un usuario (el atributo memberOf) esto es lo que estoy haciendo: 


Con algunos usuarios me funciona pero con otros no , no se si hay que 
configurar en el AD algo para publicar la información de los usuarios 
o algo de eso porque, por ejemplo tengo el usuario X en el AD y 
cuando ejecuto lo siguiente:



ldapsearch -D 
"cn=******,ou=****,ou=******,ou=******,dc=diveppr,dc=co,dc=cu" -w 
**** -p 389 -h ****** -b "ou=*****,dc=diveppr,dc=co,dc=cu" -s sub 
"(&(objectclass=user)(Userprincipalname=x...@diveppr.co.cu))"


Me muestra lo siguiente:


======================================================================================================================= 



# extended LDIF
#
# LDAPv3
# base <ou=*****,dc=diveppr,dc=co,dc=cu> with scope subtree
# filter: (&(objectclass=user)(Userprincipalname=x...@diveppr.co.cu))
# requesting: ALL
#

# ************, Administradores DivepPR, Diveppr, Divep
  pr.co.cu

dn:: 
Q049QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXosT1U9QWRtaW5pc3RyYWRvcmVzIERpdmVwU

  FIsT1U9RGl2ZXBwcixEQz1EaXZlcHByLERDPWNvLERDPWN1

memberOf: 
CN=pfSense_admins,OU=pfsense,OU=services,OU=Diveppr,DC=Diveppr,DC=co

  ,DC=cu

memberOf: 
CN=usuariosconcorreointernacional,OU=UsuariosConCorreoInternacional,

  OU=Diveppr,DC=Diveppr,DC=co,DC=cu
memberOf: CN=KLAdmins,CN=Users,DC=Diveppr,DC=co,DC=cu

memberOf: CN=Grupo Administradores DIVEPPR,OU=Administradores 
DivepPR,OU=Divep

  pr,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Grupo Diveppr,OU=Diveppr,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Group Policy Creator Owners,CN=Users,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Domain Admins,CN=Users,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Enterprise Admins,CN=Users,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Schema Admins,CN=Users,DC=Diveppr,DC=co,DC=cu
memberOf: CN=Administrators,CN=Builtin,DC=Diveppr,DC=co,DC=cu
accountExpires: 9223372036854775807
adminCount: 1
badPasswordTime: 130916643980781250
badPwdCount: 0
codePage: 0
cn:: QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXo=
countryCode: 0
displayName:: QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXo=
dSCorePropagationData: 20151103200938.0Z
dSCorePropagationData: 20110601160107.0Z
dSCorePropagationData: 20101123185731.0Z
dSCorePropagationData: 16010102123306.0Z
givenName: **********
instanceType: 4
lastLogoff: 0
lastLogon: 130917293099531250
logonCount: 23410

distinguishedName:: 
Q049QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXosT1U9QWRtaW5pc3RyYW

  RvcmVzIERpdmVwUFIsT1U9RGl2ZXBwcixEQz1EaXZlcHByLERDPWNvLERDPWN1

objectCategory: 
CN=Person,CN=Schema,CN=Configuration,DC=Diveppr,DC=co,DC=cu

objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectGUID:: x1TtgD6eWEyG/STU98nZGg==
objectSid:: AQUAAAAAAAUVAAAAa9ZiBCDdczlDFwoyagUAAA==
primaryGroupID: 513
pwdLastSet: 130259993802500000
name:: QmxhcyBIZXJuw6FuZGV6IEhlcm7DoW5kZXo=
sAMAccountName: *****
sAMAccountType: 805306368
scriptPath: mapeoJ.bat
servicePrincipalName: MSSQLSvc/aplications.Diveppr.co.cu:1433
servicePrincipalName: MSSQLSvc/***.Diveppr.co.cu:1433
servicePrincipalName: MSSQLSvc/vivian.Diveppr.co.cu:1433
sn:: SGVybsOhbmRleiBIZXJuw6FuZGV6
userAccountControl: 66048
userPrincipalName: ***@Diveppr.co.cu
uSNChanged: 8404927
uSNCreated: 6910110
whenChanged: 20140312164356.0Z
whenCreated: 20100519224139.0Z

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1



======================================================================================================================== 




O sea un grupo de información incluyendo el atributo memberOf que lo 
necesito en la configuración de esa restricción, pero en el AD 
existen otros usuario que cuando los agrego a ese grupo 
(usuariosconcorreointernacional) por el AD, como por ejemplo el 
usuario y.


Y les muestro la consulta que hice:


  ldapsearch -D 
"cn=*****,ou=*****,ou=******,ou=******,dc=diveppr,dc=co,dc=cu" -w 
******** -p 389 -h ******** -b "ou=*****,dc=diveppr,dc=co,dc=cu" -s 
sub "(&(objectclass=user)(Userprincipalname=y...@diveppr.co.cu))"


Y mira lo que me muestra:


===================================================================================================================== 



# extended LDIF
#
# LDAPv3
# base <ou=diveppr,dc=diveppr,dc=co,dc=cu> with scope subtree
# filter: (&(objectclass=user)(Userprincipalname=ale...@diveppr.co.cu))
# requesting: ALL
#

# ******, auditoria y control, Usuarios Empresa DivepPR, Diveppr, Dive
  ppr.co.cu
dn: CN=*******,OU=auditoria y control,OU=Usuarios Empresa DivepPR,OU=Div
  eppr,DC=Diveppr,DC=co,DC=cu
codePage: 0
cn: Aleida Peraza
countryCode: 0
displayName: ********
givenName: ***********

distinguishedName: CN=********,OU=auditoria y control,OU=Usuarios 
Empresa

   DivepPR,OU=Diveppr,DC=Diveppr,DC=co,DC=cu

objectCategory: 
CN=Person,CN=Schema,CN=Configuration,DC=Diveppr,DC=co,DC=cu

objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectGUID:: PzrPqSBRikugeUmmIRnbLQ==
objectSid:: AQUAAAAAAAUVAAAAa9ZiBCDdczlDFwoymQQAAA==
primaryGroupID: 513
name: ***********
sAMAccountName: ***********
sAMAccountType: 805306368
userPrincipalName: *********@Diveppr.co.cu

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1


================================================================================================================= 




Si comparan el resultado de esta información con el del usuario 
anterior, se darán cuenta de que no se muestra la misma información 
aunque yo quiero que me muestre el memberof que es con lo cual yo 
hago el filtro para que me devuelva el grupo. Y no me lo muestra.



Resumiendo y mi pregunta, porque si y agrego ese usuario al grupo y 
hago esa consulta no me devuelve el memberof de los grupos ??, Creen 
que haya que hacer algo en el AD para publicar toda la información de 
un usuario ??.



Es es muy impostante porque si esa información del usuario no se 
puede ejecutar lo de las restricciones porque tengo puesto este filtro:



query_filter     = 
(&(objectclass=person)(userPrincipalName=%s)(memberOf=CN=usuariosconcorreointernacional,OU=UsuariosConCorreoInternacional,OU=Diveppr,DC=Diveppr,DC=co,DC=cu))



El usuario que me muestra la información pertenece una OU que tiene 
ciertas políticas y el resto de los usuarios están organizados por OU 
según sus departamentos.


Saludos ...


esto es completamente funcionar, solo tienes que decirle a postfix que 
lea los grupos desde un ldap (active directory). si no sabes mañana te 
paso el tic, pero recomiendo para esto y mucho más potente usar 
cbpolicyd. Salu2.



no debes usar OU, debes usar los grupos de seguridad del AD, y crear por 
ejemplo el grupo UsuariosConCorreoInternacional, y agregar al mismo 
dichos usuarios, las OU no son para ese tipo de organización y permidos, 
las OU no tienes el atributo memberOf, porque las mismas no tiene 
miembros, quien tiene miembros son los grupos. Salu2.


--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Nodo Central ARTex S.A. La Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@jabber.artex.cu
Linux Usuario Registrado #392892





______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l






















					Responder a