<div dir="ltr">I can log into ovirt, I can see the profile, it doesn&#39;t throw any errors.<div>However, it doesn&#39;t display any users. This is because the automatic rootDN is wrong.</div><div>oVirt shows &quot;Namespace: dc=corp, dc=ft, dc=com&quot; if this is the search base it actually needs to be cn=users, cn=accounts, dc=corp, dc=ft, dc=com</div><div>Hence my desire to configure rootDN</div><div><br></div><div>Then, I also want to filter based on the above (sorry the traffic part was a comment from testlink, the line should be)</div><div><span style="font-size:12.8000001907349px">&#39;(nsRoleDN=cn=newproductslab,</span><span style="font-size:12.8000001907349px">cn=accounts,dc=corp,dc=ft,dc=</span><span style="font-size:12.8000001907349px">com)&#39;;</span><br></div><div><span style="font-size:12.8000001907349px">That filter is was makes sure the results only show users in the specific group I want to give access to.</span></div><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px">Thanks,</span></div><div><span style="font-size:12.8000001907349px">David</span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 5, 2015 at 2:08 PM, Alon Bar-Lev <span dir="ltr">&lt;<a href="mailto:alonbl@redhat.com" target="_blank">alonbl@redhat.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
So your configuration is working, just you want to filter users?<br>
<br>
I do not follow what organization filter is.<br>
<br>
&gt; &#39;(nsRoleDN=cn=newproductslab,cn=accounts,dc=corp,dc=ft,dc=com)&#39;; // e.g.<br>
&gt; &#39;(organizationname=*Traffic)&#39;<br>
<br>
It looks to me that you want to narrow the results based on specific attribute value.<br>
<br>
But first you should confirm that all is working for you, only then we can start customize the provider to meet your special needs.<br>
<br>
Thanks,<br>
Alon.<br>
<span class="im HOEnZb"><br>
----- Original Message -----<br>
&gt; From: &quot;David Smith&quot; &lt;<a href="mailto:dsmith@mypchelp.com">dsmith@mypchelp.com</a>&gt;<br>
</span><div class="HOEnZb"><div class="h5">&gt; To: &quot;Alon Bar-Lev&quot; &lt;<a href="mailto:alonbl@redhat.com">alonbl@redhat.com</a>&gt;<br>
&gt; Cc: &quot;users&quot; &lt;<a href="mailto:users@ovirt.org">users@ovirt.org</a>&gt;<br>
&gt; Sent: Wednesday, May 6, 2015 12:01:28 AM<br>
&gt; Subject: Re: [ovirt-users] AAA LDAP Authentication<br>
&gt;<br>
&gt; Hi Alon,<br>
&gt;<br>
&gt; Thanks for the quick reply.<br>
&gt; openldap works fine; I use it with testlink (as shown in the example<br>
&gt; config). We&#39;re not using active directory; Just LDAP. The example config I<br>
&gt; provided is fully inclusive of all configuration required for &quot;testlink&quot; to<br>
&gt; use LDAP, I also have jenkins and mantis configured using the same<br>
&gt; parameters (although their terminology on where to enter the parameters is<br>
&gt; varied, they use all the same information)<br>
&gt;<br>
&gt; The rootDSE is being determined automatically; however for my use it&#39;s<br>
&gt; wrong and needs to be provided manually. Again, I have no control over<br>
&gt; this. It&#39;s a company-wide configuration that won&#39;t be changed just for me.<br>
&gt;<br>
&gt; How would I be able to specify the organization filter line if I added some<br>
&gt; other include directive of whatever driver? I don&#39;t even understand what<br>
&gt; you&#39;re saying, exactly. Not all ovirt users/managers are programming<br>
&gt; experts.<br>
&gt;<br>
&gt; I use LDAPS because thats what my company supports. StartTLS is NOT<br>
&gt; supported (as I stated).  Silly on their part, right?<br>
&gt;<br>
&gt; Thanks,<br>
&gt; David<br>
&gt;<br>
&gt; On Tue, May 5, 2015 at 1:18 PM, Alon Bar-Lev &lt;<a href="mailto:alonbl@redhat.com">alonbl@redhat.com</a>&gt; wrote:<br>
&gt;<br>
&gt; &gt; Hello,<br>
&gt; &gt;<br>
&gt; &gt; Resources includes sysadmin documentation[1], integrator documentation[2],<br>
&gt; &gt; overview[3], examples[4].<br>
&gt; &gt;<br>
&gt; &gt; You did not specify what LDAP vendor it is.<br>
&gt; &gt;<br>
&gt; &gt; I can guess your directory is Active Directory, hence all you need to do<br>
&gt; &gt; is follow the &quot;QUICK START&quot;[5].<br>
&gt; &gt;<br>
&gt; &gt; The rootDSE is determined automatically, all you need is to provide a<br>
&gt; &gt; valid user and password.<br>
&gt; &gt;<br>
&gt; &gt; What you are missing in your configuration is the include directive of the<br>
&gt; &gt; proper driver.<br>
&gt; &gt; Not sure why you use LDAPS and not LDAP with startTLS, startTLS is more<br>
&gt; &gt; flexible and should be used unless there is an issue.<br>
&gt; &gt;<br>
&gt; &gt; Alon<br>
&gt; &gt;<br>
&gt; &gt; [1]<br>
&gt; &gt; <a href="https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git;a=blob;f=README;hb=HEAD" target="_blank">https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git;a=blob;f=README;hb=HEAD</a><br>
&gt; &gt; [2]<br>
&gt; &gt; <a href="https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git;a=blob;f=README.profile;hb=HEAD" target="_blank">https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git;a=blob;f=README.profile;hb=HEAD</a><br>
&gt; &gt; [3] <a href="http://www.ovirt.org/Features/AAA" target="_blank">http://www.ovirt.org/Features/AAA</a><br>
&gt; &gt; [4]<br>
&gt; &gt; <a href="https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git;a=tree;f=examples;hb=HEAD" target="_blank">https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git;a=tree;f=examples;hb=HEAD</a><br>
&gt; &gt; [5]<br>
&gt; &gt; <a href="https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git;a=blob;f=README;hb=HEAD#l6" target="_blank">https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git;a=blob;f=README;hb=HEAD#l6</a><br>
&gt; &gt;<br>
&gt; &gt; ----- Original Message -----<br>
&gt; &gt; &gt; From: &quot;David Smith&quot; &lt;<a href="mailto:dsmith@mypchelp.com">dsmith@mypchelp.com</a>&gt;<br>
&gt; &gt; &gt; To: &quot;users&quot; &lt;<a href="mailto:users@ovirt.org">users@ovirt.org</a>&gt;<br>
&gt; &gt; &gt; Sent: Tuesday, May 5, 2015 11:09:25 PM<br>
&gt; &gt; &gt; Subject: [ovirt-users] AAA LDAP Authentication<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; I&#39;m trying to set up the new 3.5 AAA LDAP Auth, but it&#39;s lacking some<br>
&gt; &gt; serious<br>
&gt; &gt; &gt; detail in documentation, the rest is java-programmer-oriented docs only<br>
&gt; &gt; that<br>
&gt; &gt; &gt; I can find;<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; <a href="https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git" target="_blank">https://gerrit.ovirt.org/gitweb?p=ovirt-engine-extension-aaa-ldap.git</a><br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; Here&#39;s a sample config (sanitized) that I need to adapt to ovirt; *I<br>
&gt; &gt; HAVE NO<br>
&gt; &gt; &gt; control over the LDAP server.<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; So far I&#39;ve managed to figure out through search after search to use<br>
&gt; &gt; LDAPS<br>
&gt; &gt; &gt; (TLS isn&#39;t an option, thanks!)<br>
&gt; &gt; &gt; Two parts I can&#39;t figure out; setting rootDN and setting the organization<br>
&gt; &gt; &gt; filter-- members of that particular organization should have access to<br>
&gt; &gt; &gt; ovirt, and none others.<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; vars.server = <a href="http://directory.ft.com" target="_blank">directory.ft.com</a><br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; #<br>
&gt; &gt; &gt; # Search user and its password.<br>
&gt; &gt; &gt; #<br>
&gt; &gt; &gt; vars.user = uid=newproductslab,cn=users,cn=accounts,dc=corp,dc=ft,dc=com<br>
&gt; &gt; &gt; vars.urootdn = cn=users,cn=accounts,dc=corp,dc=ft,dc=com<br>
&gt; &gt; &gt; vars.password = Ft######<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; pool.default.serverset.single.server = ${global:vars.server}<br>
&gt; &gt; &gt; pool.default.serverset.single.port = 636<br>
&gt; &gt; &gt; pool.default.auth.simple.bindDN = ${global:vars.user}<br>
&gt; &gt; &gt; pool.default.auth.simple.rootDN = ${global:vars.urootdn}<br>
&gt; &gt; &gt; pool.default.auth.simple.password = ${global:vars.password}<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; # enable SSL<br>
&gt; &gt; &gt; pool.default.ssl.enable = true<br>
&gt; &gt; &gt; #pool.default.ssl.insecure = false<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; # Create keystore, import certificate chain and uncomment<br>
&gt; &gt; &gt; # if using ssl/tls.<br>
&gt; &gt; &gt; #pool.default.ssl.startTLS = true<br>
&gt; &gt; &gt; pool.default.ssl.truststore.file =<br>
&gt; &gt; &gt; ${local:_basedir}/${global:vars.server}.jks<br>
&gt; &gt; &gt; pool.default.ssl.truststore.password = changeit<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; example config from testlink<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;method&#39;] = &#39;LDAP&#39;;<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; /** LDAP authentication credentials */<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;ldap_server&#39;] = &#39;ldaps:// <a href="http://directory.ft.com" target="_blank">directory.ft.com</a> &#39;;<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;ldap_port&#39;] = &#39;636&#39;;<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;ldap_version&#39;] = &#39;3&#39;;<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;ldap_root_dn&#39;] =<br>
&gt; &gt; &gt; &#39;cn=users,cn=accounts,dc=corp,dc=ft,dc=com&#39;;<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;ldap_bind_dn&#39;] =<br>
&gt; &gt; &gt; &#39;uid=newproductslab,cn=users,cn=accounts,dc=corp,dc=ft,dc=com&#39;;<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;ldap_bind_passwd&#39;] = &#39;Ft######&#39;;<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;ldap_tls&#39;] = false; // true -&gt; use tls<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;ldap_organization&#39;] =<br>
&gt; &gt; &gt; &#39;(nsRoleDN=cn=newproductslab,cn=accounts,dc=corp,dc=ft,dc=com)&#39;; // e.g.<br>
&gt; &gt; &gt; &#39;(organizationname=*Traffic)&#39;<br>
&gt; &gt; &gt; $tlCfg-&gt;authentication[&#39;ldap_uid_field&#39;] = &#39;uid&#39;; // Use<br>
&gt; &gt; &#39;sAMAccountName&#39; for<br>
&gt; &gt; &gt; Active Directory<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; _______________________________________________<br>
&gt; &gt; &gt; Users mailing list<br>
&gt; &gt; &gt; <a href="mailto:Users@ovirt.org">Users@ovirt.org</a><br>
&gt; &gt; &gt; <a href="http://lists.ovirt.org/mailman/listinfo/users" target="_blank">http://lists.ovirt.org/mailman/listinfo/users</a><br>
&gt; &gt; &gt;<br>
&gt; &gt;<br>
&gt;<br>
</div></div></blockquote></div><br></div>