Products.LDAPUserFolder es un sustituto de una carpeta de usuario Zope. No almacena sus propios objetos de usuario, sino que las construye sobre la marcha después de la autenticación de un usuario contra la base de datos LDAP.
¿Cómo actualizar
La actualización no sólo implica desempacar el nuevo código, también debe eliminar y volver a crear todas las instancias LDAPUserFolder en su instalación de Zope para evitar errores. Una estrategia de actualización de seguridad se ve así:
& Nbsp; * iniciar sesión como usuario de emergencia
& Nbsp; * Eliminar todas las instancias LDAPUserFolder
& Nbsp; * actualizar el producto del sistema de ficheros
& Nbsp; * reiniciar Zope
& Nbsp; * conectarse como usuario de emergencia
& Nbsp; * recrear las instancias LDAPUserFolder
Cómo crear un usuario de emergencia se describe en el documento SECURITY.txt en la carpeta "doc" en la raíz de la instalación de software de Zope. El guión 'zpasswd.py' mencionado reside en la carpeta 'bin' en la raíz de la instalación de Zope.
Problemas Depuración
Todos los mensajes de registro se envían al evento estándar Zope log 'event.log'. Para ver el registro de salida más prolija que necesita para aumentar el nivel de registro en zope.conf de su instancia Zope. Ver la directiva "registro de eventos". Configuración de la tecla 'nivel' a 'debug' maximizará ingrese salida y puede ayudar a identificar problemas durante la instalación y pruebas.
¿Por qué el LDAPUserFolder no mostrar todos mis grupos LDAP?
De acuerdo con la información recibida de las personas que utilizan productos de Netscape Directory la forma en que un nuevo grupo se instancia permite que los grupos vacíos que existan en el sistema. Sin embargo, de acuerdo con la definición canónica para el grupo graba grupos siempre deben tener un atributo de miembro del grupo. El LDAPUserFolder busca agrupar los registros en busca de entradas miembro del grupo. Si un registro de grupo no tiene miembros, entonces se pasará por alto. Como se dijo anteriormente, esto sólo parece afectar a los servidores de directorio de Netscape. Para evitar este (Netscape) fenómeno agregar uno o más miembros para el grupo en cuestión utilizando las herramientas que vienen con el servidor de directorio. Debe aparecer en la LDAPUserFolder después de eso.
¿Por qué utilizar LDAP para almacenar registros de usuario?
LDAP como fuente de registros de usuario Zope es una excelente opción en muchos casos, como ...
& Nbsp; * Usted ya tiene una configuración LDAP existente que puede almacenar datos de los empleados de la compañía y usted no desea duplicar los datos en una carpeta de usuario Zope
& Nbsp; * Usted quiere asegurarse de la misma base de datos de usuario disponibles para otras aplicaciones como el correo, clientes libreta de direcciones, Autenticadores sistema operativo (PAM-LDAP) u otros servicios de red que permiten la autenticación contra LDAP
& Nbsp; * Usted tiene varias instalaciones de Zope que necesitan compartir registros de usuario o una configuración ZEO
& Nbsp; * Usted quiere ser capaz de almacenar más que el nombre de usuario y contraseña en la carpeta de usuario Zope
& Nbsp; * Usted desea manipular los datos del usuario fuera de Zope
... Y la lista continúa.
El esquema LDAP
El servidor LDAP debe contener registros que pueden ser utilizados como registros de usuario. Cualquier tipo de objetos como persona, organizationalPerson o inetOrgPerson y los derivados de los mismos deben trabajar. Los registros de tipo posixAccount deberían funcionar correctamente también. El LDAPUserFolder espera sus registros de usuarios tengan al menos los siguientes atributos, la mayoría de los cuales son necesarios para las clases de objetos antes mencionados, de todos modos:
& Nbsp; * un atributo para mantener el ID de usuario (como cn, uid, etc)
& Nbsp; * userPassword (el campo de la contraseña)
& Nbsp; * objectClass
& Nbsp; * lo atributo que elija como el atributo de nombre de usuario
& Nbsp; * atributos pasa lo relacionados con la persona como sn (apellido), givenName (nombre), uid o correo (email) hará el trabajo con el LDAPUserFolder más agradable
Zope usuarios tienen ciertos roles asociados con ellos, estos roles determinar qué permisos tiene el usuario tiene. Para el LDAPUserFolder, información de rol se puede expresar a través de la pertenencia a grupo graba en LDAP.
Registros de grupo pueden ser de cualquier tipo de objeto que acepta múltiples atributos de tipo "uniqueMember" o "miembro" y que tiene un atributo "cn". Uno de estos tipos es "groupOfUniqueNames". El CN describe el nombre del grupo / papel, mientras que los atributos miembros apuntan de nuevo a todos los registros de usuarios que forman parte de este grupo. Sólo los registros de estilo grupo que utilizan DNS completo para sus miembros se apoyan, que excluye las clases como posixGroup.
Para ver ejemplos de grupo- válida y facilidad de registros para LDAP consulte el SAMPLE_RECORDS.txt archivo de esta distribución. Tiene muestras para una facilidad de uso y un registro de grupo en formato LDIF.
Está fuera del alcance de esta documentación para describir las diferentes clases de objetos y atributos en los detalles, por favor consulte la documentación de LDAP para un mejor tratamiento.
Cosas a tener en cuenta
Desde una carpeta de usuario es uno de esos artículos que pueden bloquear a los usuarios de su sitio si se rompen Sugiero probar la configuración en algún lugar poco visible antes de reemplazar la carpeta principales acl_users de un sitio con un LDAPUserFolder.
Como último recurso, usted siempre será capaz de iniciar sesión y hacer cambios como superusuario (o, según la versión de Zope llamados "usuario de emergencia") que, como un bono adicional, puede eliminar y crear carpetas de usuario. Esto es una violación de la norma "el superusuario no puede crear / propia nada" política, pero puede salvar la piel de muchas maneras.
Consideraciones de esquema LDAP cuando se utiliza con el CMF
La CMF (y por extensión, Plone) esperar que cada usuario tiene una dirección de correo electrónico. Con el fin de que todo funcione correctamente sus registros de usuarios LDAP debe tener un atributo "mail", y este atributo se debe establecer en la pestaña "LDAP Schema" de su LDAPUserFolder. Cuando se agrega el "correo" elemento de esquema asegúrese de ajustar el campo "Mapa de nombre" a "e-mail".
Los atributos que aparecen en el formulario de unión y la vista de la personalización se rigen por las propiedades de «registrarse» utilizando la pestaña "Propiedades de miembros en la herramienta portal_memberdata vista ZMI, que a su vez se obtiene de la pestaña 'LDAP Schema' en el vista LDAPUserFolder ZMI. Atributos que desea habilitar para los miembros del portal debe configurarse en la pestaña LDAPUserFolder 'LDAP Schema' primero, y luego registrado utilizando la pantalla 'membeer propiedades "en la herramienta de Información sobre el miembro vista ZMI.
¿Cuál es nuevo en esta versión:
- Fix python-ldap error al recibir conjuntos en lugar de las listas de atributos de búsqueda en (Patch por Godefroid Chapelle)
- Algunos limpiezas encontrados por pyflakes ((Patch por Godefroid Chapelle)
¿Qué hay de nuevo en la versión 2.24:
- Al comparar un valor de inicio de sesión para iniciar sesión valores encontrados en el LDAP servidor tira el valor de inicio de sesión por primera vez. Esto sigue el comportamiento OpenLDAP que considera como valores coincide incluso con finales o iniciales espacios en el filtro de consulta de valor. (Https://bugs.launchpad.net/bugs/1060080)
- LDAPDelegate: Cuando se utiliza un usuario de la maquinaria de seguridad de Zope con el propósito de encontrar un aprieto adecuado DN y la contraseña para conectarse a un servidor LDAP, desecharlo cuando no se ha creado como resultado de un inicio de sesión real y por lo tanto tiene una contraseña no válida (https://bugs.launchpad.net/bugs/1060112)
- utilizar un conjunto conocido de versiones de los componentes (versions.txt de Zope 2.3.18) para no tener que microgestión versiones de dependencia
- entradas de registro de cambios movidos para la versión 2.18 y mayores de CHANGES.txt a History.txt
- reformatear History.txt y hacerla descansar compatible
- limpiar el formato de CHANGES.txt
¿Qué hay de nuevo en la versión 2.23:
- Añadir setuptools-git para setup_requires para evitar que faltan archivos de la liberación del huevo -. las versiones 2.22 y 2.21 no va a construir, debido a una falta Version.txt
¿Qué hay de nuevo en la versión 2.20:
- Arreglo para CVE-2010-2944 (http: // secunia.com/advisories/cve_reference/CVE-2010-2944/), que nunca se informó aguas arriba por la gente de Debian, que encontraron el problema hace 8 meses (ver http://bugs.debian.org/cgi-bin/bugreport .cgi? error = 593466). Gracias chicos.
¿Cuál es nuevo en la versión 2.19:
- Añadir nombre de atributo a la negative_cache_key lo solicite por el mismo valor, pero diferente atributo no envenenar la caché. (Https://bugs.launchpad.net/bugs/695821)
- Las clases base modificados en Zope 2.13 no definieron isPrincipiaFolderish, por lo que la carpeta de usuario ya no aparecería en el panel de navegación de la izquierda en el ZMI. (Https://bugs.launchpad.net/bugs/693315)
- Se ha corregido un cheque defectuoso para Unicode tan caducidad usuario no fallará si un valor Unicode se pasa. Cambió todos los cheques por cadena y unicode utilizar la cadena base. (Https://bugs.launchpad.net/bugs/700071)
- Se ha corregido un error en la prueba de exportación / importación por lo que todas las pruebas se ejecutan de nuevo.
- El DN valor Password Manager en la ficha Configurar en el ZMI apareció en texto claro al ver el código fuente HTML de la página representada. (Https://bugs.launchpad.net/bugs/664976)
Requisitos :
- Python
Comentarios que no se encuentran