问题: 通过命令行和PHP将LDAP查询保护到具有自签名证书的AD域控制器。 背景: 我正在开发一个项目,我需要启用从PHP Web应用程序到使用自签名证书的MS AD域控制器的LDAP查找。 此自签名证书也使用不是FQDN的域名 – 将people.campus视为域名。 Web应用程序将获取用户的凭据,并将其传递到AD域控制器,以validation该凭证是否匹配。 这似乎很简单,但我有问题试图让PHP和自签名证书工作。 有人build议我在OpenLDAPconfiguration中将TLS_REQCERTvariables从“request”改为“never”。 我担心这可能会带来更大的影响,比如中间人攻击,我不能很好地把这个设置改变为从不。 我还在线阅读了一些可以获取证书的地方,并将其作为可信来源放在openldapconfiguration文件中。 我很好奇,如果这是我能为我所处的情况做些什么? 我可以从命令行获取AD域控制器正在使用的自签名证书,将其保存到一个文件中,然后让openldap使用该文件来获得所需的信任,这样我就不需要调整variables从请求到从不? 我无权访问AD域控制器,因此无法导出证书。 如果有从命令行获取证书的方法,我需要使用哪些命令? 有没有一种处理这个问题的替代方法,从长远来看会更好? 我有一些CentOS服务器和一些我正在尝试使用的Ubuntu服务器。 预先感谢您的帮助和想法。
我正在尝试部署分支机构RODC,并且在扩展域和林模式时遇到了一个错误。 我知道我过去已经这样做了,但是我继续尝试从主要办公室DC。 当我尝试使用adprep时,我收到一个错误,说它已经被扩展了。 历史logging:在主分支上有一个单一的域控制器。 在其他分支曾经有3个域控制器,pipe理员有Active Directory问题,所以他显然缩小了主办公室的域控制器,并给了分支机构NAS存储。 分支机构正在将DNS的VPN指向主分支DC。 我仍然在DNS中看到旧域控制器的logging,我不确定他是如何降级它们的,或者完全是这样。 我打算部署一些分支RODC服务器并caching一些凭据,以便即使在VPNclosures的情况下,它们也可以继续使用Windows文件服务器和SQL服务器。 任何build议的工具,以帮助我find问题?
目前我们正在寻找平坦的AD结构,使事情变得更易于pipe理,但是我们仍然希望保持我们的安全态势尽可能接近现在的状态。 目前,我们有AD森林孤岛由防火墙隔离,没有一个森林彼此交谈,除了一些例外的非现场复制DR的目的。 我们希望转移到一个具有根域且不超过两个其他域的单一AD森林devise。 问题是,保护通过防火墙边界的DC到DCstream量的最佳方式是什么? 这是踢球。 我们目前的态度是,不允许较低安全区域向较高安全区域发起入站通信(不进入),因此DC之间的双向通信只有在较高安全区域中的DC想要与DC通信时才会发生较低的安全区域(仅出口发起的通信量)。 我知道,使用网站,我们可以控制复制,所以它只是一种方式启动,但我想确保这控制了两个DC之间的stream量所需的所有端口的stream量。 我也知道我们可以使用IPSEC隧道来限制需要在防火墙上打开的端口,并使隧道不encryption,这样IDS / IPS仍然可以分析stream量。 鉴于此,我想知道你们是否对如何做到最好。 我非常怀疑,我们是唯一支持这些要求的组织。
有谁知道任何选项可用于同步用户本地AD密码与托pipe的交易所帐户密码。 我的问题与ServerFault中的这个问题类似,但是在2010年最初的问题是,我想知道是否有人知道在同步本地AD和托pipe交换账户方面取得的进展? 还是有没有任何产品可以做到这一点,然后我们开始自己滚动呢? 托pipe的交换机是由一个服务提供商运行的,他们本身并不提供任何开箱即用的function,但愿意与我们一起实施一个可行的解决scheme,即使这意味着要创build自定义的密码filter:http:// passwdhk .sourceforge.net / 。 有人遇到过这个吗?
脚本执行的计算机在一个域中,我将其称为内部域。 被testing的用户在其他(外部)域中。 我做了一个脚本来检查用户是否存在于两个域中。 这里是脚本的一个片段,不会导致问题。 $domain = 'domain.com'; $user = 'username'; $objuser = New-Object System.Security.Principal.NTAccount($domain, $user); $objUser.Translate([System.Security.Principal.SecurityIdentifier]) > $nil; 在我尝试执行第三行之前,像这样引起了问题: $objuser = New-Object System.Security.Principal.NTAccount('[email protected]'); 我现在遇到的问题是一些来自外部域的用户在Windows中没有正确显示。 好例子是文件属性安全选项卡。 用户显示为 DOMAIN \ [email protected]而不是DOMAIN \ username 这会导致各种奇怪的事情,例如想要访问该文件夹的用户失去权限。 有没有办法恢复正常的行为? 不幸的是重新启动机器不是一个选项。
我正在尝试使用活动目录模块为远程桌面连接pipe理器创build一个PowerShell脚本。 我的第一个想法是获取AD中的计算机列表,并将其parsing为XML格式,类似于AD中的OU结构。 我没有问题,下面的代码将工作,但不是我想要的。 EG # here is a the array $OUs Americas/Canada/Canada Computers/Desktops Americas/Canada/Canada Computers/Laptops Americas/Canada/Canada Computers/Virtual Computers Americas/USA/USA Computers/Laptops Computers Disabled Accounts Domain Controllers EMEA/UK/UK Computers/Desktops EMEA/UK/UK Computers/Laptops Outside Sales and Service/Laptops Servers 我想要有这样的基本XML结构 Americas Canada Canada Computers Desktops Laptops Virtual Computers USA USA Computers Laptops Computers Disabled Accounts Domain Controllers EMEA UK UK […]
我正在使用winbind和samba来对照Active Directory的Ubuntu 12.04+机器进行身份validation。 我遵循这个指南: https : //help.ubuntu.com/community/ADAuthentication 一切都按照预期工作。 我能够在AD上注册机器,我可以使用我的Windows凭据SSH入他们,我可以添加用户到sudoers文件和权限工作正常。 我遇到的问题是,当我将AD组添加到sudoers时,该组中没有人拥有特权。 另外,如果我是一个用户,再一切都从ADforms出来。 如果我是getent组,它什么都不会返回。 不知道我断线的地方。 谢谢您的帮助
我一直在尝试添加一个Ubuntu桌面到我们的公司领域,取得了有限的成功。 我已经尽可能按照https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto上的指导(包括跟随设置Kerberos的链接)。 我可以使用kinit从我们的区议会获得一张票: localuser@HOSTNAME: sudo kinit adminuser Password for [email protected]: Warning: Your password will expire in 5 days on Sun 18 Sep 2016 08:58:05 AEST localuser@HOSTNAME: sudo klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service Principal 12/09/16 09:57:10 12/09/16 19:57:10 krbtgt/[email protected] renew until 13/09/16 09:56:57 它甚至可以看到我的密码在5天内到期。 但是当我尝试join域时,我得到以下内容: localuser@HOSTNAME: sudo net ads join […]
我使用干净的Windows Server 2016活动目录(干净安装),ADangular色安装和DNS服务器上的默认选项(与AD运行在同一台计算机上)创build了testing环境。 当我joinWindows域计算机的一切工作正常,我可以ping COMPUTER1.ad.mydomain.com 但是当我正在joinlinux(centos 7)领域(当前版本从存储库)没有创builddns ADlogging被创buildtho … sooo ..没有ping(无ssh)COMPUTER2.ad.mydomain.com 如何执行dnslogging创build?
我遇到了SSSD和Active Directory集成的问题。 我的广告设置了9个域控制器的设置,其中一些是防火墙,由于各种安全原因无法访问。 因此,服务发现不适用于SSSD。 这应该没问题,因为我应该能够根据需要显式定义URI。 我有我的sssd.conf中定义这些URI的相关部分如下所示: [domain/ad.utah.edu] ldap_uri = ldap://myserver.domain ldap_backup_uri = ldap://backup-server.domain krb5_server = myserver.domain 但是,当试图使用getent组[email protected]此configuration时,我在与sssd域日志(debuglevel = 9)中的查找有关的活动的开始处看到这些消息: (Tue Nov 7 17:20:26 2017) [sssd[be[mydomain]]] [sdap_id_op_connect_step] (0x4000): beginning to connect (Tue Nov 7 17:20:26 2017) [sssd[be[mydomain]]] [fo_resolve_service_send] (0x0100): Trying to resolve service 'AD_GC' … (Tue Nov 7 17:20:26 2017) [sssd[be[mydomain]]] [ad_get_dc_servers_send] (0x0400): Looking up domain […]