我正尝试在Apache上运行的网站上使用Active Directory用户进行身份validation。 我的设置 活动目录:用户“steven”是“员工”组的成员。 用户“cindy”是属于“职员”(= cindy是“职员”组的一个子组)成员的“财务”组的成员。 Apache: Apache 2.4与mod_authnz_ldap 我的Apache网站configuration: AuthName "Please enter your login data." AuthType Basic AuthBasicProvider ldap AuthLDAPBindDN [email protected] AuthLDAPBindPassword "userpassword" AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)" Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local 问题 Steven(或其他任何可能是“staff”组的直接成员的用户)authentication成功,但是cindy等子组的成员将不会进行authentication。 我已经尝试添加“AuthLDAPMaxSubGroupDepth 10”(10无论如何应该是默认值),但这也没有帮助。 任何人可能会帮助?
我有一个域(ACME.COM)上运行的服务(AcmeService)和另一个域(DISNEY.COM)中运行的用户。 [email protected]想要使用AcmeService进行身份validation。 该服务知道DISNEY.COM域,并通过使用已知的DISNEY.COM证书将所有用户导入其本地用户数据库中。 如果mickey发送完全限定的用户名/密码,AcmeService可以通过直接连接到DISNEY.COM域控制器(他已经知道)使用LDAP来validation他。 [email protected]也希望使用AcmeService进行身份validation,但希望通过集成安全性进行身份validation,因为他不信任AcmeService足以泄露密码。 (在我的情况下,它使用.Net NegotiateStream这是SSPI的包装) 我对这个问题的理解是,AcmeService不能用一个不属于他的域的用户(ACME.COM)的集成安全性进行validation。 我认为一般的解决scheme是在ACME.COM和DISNEY.COM之间创build一个即将离任的信任关系,但在我的情况下是不可能的。 是否有一个解决scheme,允许AcmeService使用SSPIvalidation用户,如果该用户位于外部域中,并且没有定义的信任关系? 如果解决scheme只能在AcmeService机器上运行,那就没问题了。 我可能会误解,但我的印象是使用ksetup / addkdc可以用外部的MIT Kerberos来做这样的事情。 任何想法? 谢谢 UPDATE 客户端和AcmeService之间的通信已经通过TLS进行了保护(不需要双向authentication)。 连接完成后,客户端知道他正在与真正的AcmeService交谈(感谢TLS),但他现在需要使用他的DISNEY.COM凭证向AcmeServicevalidation其身份,在这里客户端证书不是一个选项,AcmeService只知道它以前导入的ActiveDirectory帐户。 NTLM(v2)对于我的场景来说足够了,但是我不明白为什么Kerberos是不可能的。 AcmeService有一个DISNEY.COM帐户([email protected]),它可以用来与Kerberos进行相互validation。 我认为问题是当尝试使用SSPIvalidation一个disney.com用户时,AcmeService无法自动为DISNEY.COM域定位域控制器。 AcmeService机器需要知道DISNEY.COM控制器可以位于“dc.disney.com”。 以下是在AcmeService机器上运行的dcdiag和nltest的结果: dcdiag /s:dc.disney.com /u:disney.com\acmeuser/p:XXXX/test:LocatorCheck Running enterprise tests on : disney.com Starting test: LocatorCheck Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1722 A Global Catalog Server could not be located – All GC's are […]
人们,我在这里有一个小小的尴尬问题。 我有一台HP ProliantDL380p Gen8服务器,可作为2台虚拟机的Windows 2012 R2 Hyper-V主机 。 一个VM是Windows 2012 Server R2 Exchange 2013服务器 ,另一个是Windows Server 2012(不是R2)Blackberry Enterprise Server ,也是一个域控制器 。 这两个虚拟机都是单个域的成员,它由另一个2台虚拟机组成,这两台虚拟机位于另一台ProliantDL380p Gen8服务器上 ,这两台服务器是Windows Server 2012 R2文件服务器 ,同时也是域控制器和Windows Server 2008 R2 SQL服务器 。 事情是,在Exchange服务器 ,这是不是一个DC服务器,我可以看到AD选项,如用户和计算机,域名和信任,网站和服务等。 当然,在服务器上不安装这样的angular色(AD DS),但是我可以通过服务器pipe理器从这个服务器访问这些设置。 该域还包含另外3个域成员(物理机),其中2个是Windows Server 2003 SP2域控制器 , 第三个是Windows 2008存储服务器 。 正如您可能已经知道,我们正处于AD / Exchange迁移的中间,导致将旧服务器降级并从域中删除。 此外,这可能是无关的,但在安装Exchange 2013之前,我已经使用以下命令执行了AD准备: 。\ setup / PrepareAD / […]
计算机的AD DS站点可以重新分配networking重新连接吗? 例如,我将一台计算机连接到networking172.16.1.x,然后启动它。 计算机将该子网识别为属于“ Default-First-Site ”,并将其自身分配给该站点。 然后,我断开与networking的计算机,并再次连接到子网172.16.2.x. 计算机会改变它的网站分配到“ Second-Site(ex.) ”?
我正在使用红帽6(用于testing目的)和configurationsamba与活动directory.red 6已成功join我的Windows Server 2003域。 通过input命令 [root@mainserver /] # net ads join -U Administrator Enter Administrator's password using short domain name – – PDC join 'MAINSERVER' to dns domain 'pdc.local' [root@mainserver /] # 通过这个命令 wbinfo -u 我可以看到在我的Windows Server 2003中创build的所有用户。 当我input命令 [root@mainserver /] # wbinfo -a test % password Enter test's password: plaintext password authentication succeeded Enter […]
我们有一堆随着时间的推移而有机增长的GPO。 我假设他们中的许多人正在定义密码策略。 我知道它只能在域中设置一次(除了PSO和GPO链接到仅影响本地用户帐户的计算机对象的特殊情况) 所以问题是:如何find定义密码策略的域中的所有GPO?
在工作中,我们有一个微软小型企业服务器2011服务器,为公司做AD。 有多个Windows客户机是域的一部分,但该服务器是AD中唯一的域控制器。 跟踪用户和群体几乎是广告公司为我们所做的唯一事情 – 它没有configurationGPO,没有交换服务器,也没有其他任何我们需要担心的事情。 经过多年运行良好,服务器开始崩溃。 我们发现硬盘上的硬盘坏了,我们正在切换硬盘。 当我们这样做时,pipe理层希望我们实际上重新安装SBS服务器并导入AD用户和组,而不是从备份中进行裸机恢复。 我的问题是:我们如何备份当前正在运行的服务器上的用户和组(现在它仍在运行一个坏的驱动器),以便我们在重新安装SBS时可以恢复它们? 我们需要一种方法来备份所有用户信息,组成员资格,并确保所有用户的SID和RID保持不变,以便我们的Windows客户端上设置的任何权限不需要重新configuration(从我所了解的情况来看,这是如何工作的)。 PS。 是的,我们应该有一个以上的域控制器,以防止一个人死亡,而且是的,我们将来会使用RAID。
我正在尝试将我的CentOS 6.6服务器集成到Active Directory中。 我从Red Hat使用configuration3(SSSD / Kerberos / LDAP)遵循本指南。 当使用Windows Server 2008 R2服务器作为启用了IMU的域控制器时,一切正常。 但是,当我使用启用了IMU的Windows Server 2012 R2服务器时,我能够获得kerberos票据,join域,searchLDAP,但只要我尝试以控制台的AD用户身份login,在/ var / log / messages中获取此错误消息: Jun 6 11:12:30 test [sssd [krb5_child [4760]]]:预authentication失败 而/ var / log / secure显示了这些错误信息: 6月6日11:12:15testinglogin名:pam_sss(login:auth):为用户[email protected]收到:17(失败设置用户凭证) Jun 6 11:12:17 test login:FAILED LOGIN 1 FROM(null)for [email protected],Authentication failed 使用getent passwd aduser或getent group linuxgroup成功返回。 我试过用这个sssd.conf文件: [SSSD] config_file_version = […]
我试图允许外部基于Linux的应用程序服务器的用户通过LDAPS使用他们的Active Directory凭据进行服务validation。 它适用于pipe理员帐户,但正常用户帐户失败。 问题是有一个“login工作站”设置的用户,限制他们login到域控制器(DC)(或创build一个限制,他们只能login到他们指定的工作站) 初始的LDAP查询是以服务帐户的名义工作的,但是在进行HTTPvalidation时,LDAP服务从服务帐户解除绑定并尝试以用户身份进行绑定。 此时失败。 有没有解决的办法? 通过这种方式来限制对DC的访问是常见的做法吗?
我的网站将失去连接到networking的其他部分几天长达一个星期。 当我们发现中断之前,我们发现浏览本地共享的延迟,以及很长的延迟login。我能做些什么来告诉本地控制器在“独立”模式下工作一段时间?