Настройка обработки связанных атрибутов

Начиная с версии 1.10.0 в Эллес реализована процедура обработки связанных атрибутов (сервис lacheck).

Общие сведения

Объекты в службе каталогов могут быть связаны между собой. Например, группы связаны с объектами, являющимися их участниками. Такие связи реализуются в виде пары атрибутов (связанные атрибуты, linked attributes), содержащих перекрестные ссылки на связанные объекты. Первый атрибут (прямая ссылка, forward link) ссылается на другой объект, создавая связь, а второй (обратная ссылка, back link) — автоматически поддерживает связь на основе значения первого атрибута. Например, атрибут member группы ссылается на включенные в нее объекты, а атрибут memberOf объекта указывает, в каких группах он состоит.

При изменении связи между объектами обновляется значение прямой ссылки; при этом значение обратной ссылки пересчитывается службой каталогов автоматически.

Прямые и обратные ссылки возможны как на объекты внутри одного домена, так и между объектами разных доменов леса.

Для обеспечения корректного заполнения связанных атрибутов при вводе контроллера Эллес в домен и далее с определенной периодичностью запускается процедура, которая обрабатывает все объекты со ссылками на другие объекты, обновляя связанные атрибуты в соответствии с изменениями в статусах и значениях DN объектов.

Настройка периодичности запуска процедуры обработки связанных атрибутов

Процедура обработки связанных линков вызывается:

  • безусловно в конце операции ввода контроллера в домен (join);

  • по расписанию.

По умолчанию процедура запускается каждые 20 минут. Для изменения интервала запуска укажите требуемое значение в минутах с помощью параметра lacheck:periodic_interval в разделе [global] файла /app/inno-samba/etc/smb.conf.

Например:

[global]
    ...
    lacheck:periodic_interval = 30
    ...

Если указанное значение меньше 20 минут, оно игнорируется — вместо него используется значение по умолчанию.

Принудительный запуск процедуры обработки связанных атрибутов

В некоторых случаях (например, для целей тестирования) может возникнуть необходимость в запуске процедуры обработки связанных атрибутов до истечения установленного интервала.

Чтобы запустить процедуру принудительно, достаточно создать специальный атрибут runLACheck в корне дерева данных каталога (объект rootDSE).

Для этого выполните следующие действия от имени учетной записи с правами на внесение изменений в БД LDAP домена:

  1. Сформируйте ldif-файл для создания атрибута runLACheck с любым значением в корне дерева.
    Например:

    cat /tmp/run_lacheck.ldif
dn:
changetype: modify
add: runLACheck
runLACheck: true

  2. Внесите изменения, например, с помощью утилиты ldbmodify (полный путь к утилите после установки пакета inno-samba — /app/inno-samba/bin/ldbmodify):

    ldbmodify -H ldap://dc1 -U Administrator /tmp/run_lacheck.ldif
Password for [ELLES\Administrator]:
Modified 1 records successfully

После принудительного запуска расписание периодического запуска корректируется соответствующим образом: следующий запуск произойдет через заданный в конфигурации интервал относительно момента принудительного запуска.

Записи о принудительном запуске процедуры фиксируются в логах при установке уровня логирования 5 или выше для класса отладки lacheck.