nginx + webdav + LDAP = %$#%%ый насос
Aug. 12th, 2015 08:49 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
natarajПрактически месяц возился с тем чтобы воздрузить webdav сервер, с авторизацией из LDAP'а.
Большую часть времени ушло на разбирательство с LDAP'ом, на (о удивление) борьбу с iptables, и кривой схемой которую в ldap заправила тикитная система ее наполнившая.
И вот все... ldapsearch правильно ищет членов группы, pamtester правильно отрабатывает. Саму юникс систему пытаться авторизваться об ldap я отучил. О том что nslcd не умеет сообщать о неверно сформированном конфиге при запуске через init-скрипты я знаю, руками проверяю, багу зарепортил. Nginx успешно об pam_ldap авторизуется. per user access я вроде как сконфигурировал, работает...
И тут выясняется... И тут выясняется, что для того чтобы оно действительно работало полноценно надо, блядь, патчить dav модуль от nginx. Потому что модуль этот считает, что имя коллекции обязано заканчиваться на "/". А многие клиенты этого, блядь не считают! И реврайты тут не особо помогают. На создание оно кое-как реврайтами обходится, а вот на переименовывание -- нет!
Ненависть! Ненависть! Ненависть!!! Я не матом об этом думать не могу!
Большую часть времени ушло на разбирательство с LDAP'ом, на (о удивление) борьбу с iptables, и кривой схемой которую в ldap заправила тикитная система ее наполнившая.
И вот все... ldapsearch правильно ищет членов группы, pamtester правильно отрабатывает. Саму юникс систему пытаться авторизваться об ldap я отучил. О том что nslcd не умеет сообщать о неверно сформированном конфиге при запуске через init-скрипты я знаю, руками проверяю, багу зарепортил. Nginx успешно об pam_ldap авторизуется. per user access я вроде как сконфигурировал, работает...
И тут выясняется... И тут выясняется, что для того чтобы оно действительно работало полноценно надо, блядь, патчить dav модуль от nginx. Потому что модуль этот считает, что имя коллекции обязано заканчиваться на "/". А многие клиенты этого, блядь не считают! И реврайты тут не особо помогают. На создание оно кое-как реврайтами обходится, а вот на переименовывание -- нет!
Ненависть! Ненависть! Ненависть!!! Я не матом об этом думать не могу!