所以我被要求build立一个Exchange Activesync移动网关。 完成了。 这是一个为SSLconfiguration的单独的eExchange 2003前端服务器,我已经把一个离线的ISA服务器放在它的前面。 现在我被要求限制哪些用户可以连接到它。 默认情况下,Exchange前端服务器允许拥有邮件帐户的任何用户连接到前端服务器。 所以我正在查看服务器上各种IIS站点/应用程序的权限,但是我知道很容易破坏Exchange前端服务器的权限。 所以我在IIS中有以下几点: Exadmin 交换 EchWeb 微软服务器ActiveSync MobileAdmin OMA 还有一些我不认为是相关的。 我可以更改其中之一的权限来限制谁可以连接到Activesync? 作为奖励:我可以以不影响基于普通浏览器的Exchange访问的方式进行操作吗? 提前致谢!!
我有一个非常奇怪的问题,其中wbinfo -g命令正确地指出了我所感兴趣的AD域组,并显示了该组中的特定用户 – 这总是如此,所以在Linux方面似乎具有适当的信息。 然而,“groups”命令最初将显示用户是所讨论群组的一部分,但在login该用户之后的一段时间 – 群组的成员身份在“groups”命令中消失(但保留在wbinfo中 – G)。 我说不稳定,因为我没有信心,但它是某种程度上超时与某些事情的结果。 到目前为止,我已经追到了三件事情,我想也许已经造成了这个问题,但是当我试图重复时,我看不到这个问题 – 所以我留下了一些超时理论。 但这是一个不合逻辑的怪圈:wbinfo –gid-info vs wbinfo -r奇怪的是,前者会在列表中显示用户,但后者不会显示组ID。 它像wbinfo有分裂的个性。 我这次复制了这个场景,同时将所有的samba日志和syslog(ubuntu)redirect到一个文件中。 真的没有看到任何错误,除了下面的时间,我似乎失去了组:“Printcapcaching时间到期”,“重新加载printcapcaching”,“重新加载状态:错误”全部相继。 如果printcap没有正确的configuration,有可能它可能与我混淆? validation组成员身份之后的步骤是可以的,但不是以下情况: 1)退出服务器上的一堆terminal窗口,2)从服务器GUI注销用户3)在服务器上login“user5”。 以前的尝试有这个序列工作正常,后来随着时间的推移只是“失去”小组。 不要以为这是用户的login。 要么日志没有帮助,或者不知何故printcap指出错误。 Samba日志没有任何错误条件可以解释这种情况。 任何人有任何经验看到这样的事情? 是否有不同的组types/范围(域本地,全球,通用)的规则? nsswitch.conf文件是否以某种方式在caching的AD信息和文件系统实际使用的信息之间进行翻译? 任何帮助,将不胜感激。
我需要为JoomlaconfigurationLDAP身份validation! 唯一的方法就是让它们一起工作(基于LDAP组的是使用groupOfUniqueNames而不是posixGroup。换句话说,Joomla希望LDAP遵循RFC2307bis模式。 这乞求的问题:其他LDAP使用应用程序了解RFC2307bis架构? 从我所能find的4个最重要的应用程序中, pam_ldap和nss_ldap 桑巴 GOSA phpLDAPAdmin 除此之外,这个模式(Apache auth,squid,groupware suites,freeradius)的普遍支持状态是什么? 这种configuration的任何问题(rfc2307bis,pam_ldap,nss_ldap和samba)?
我正在Windows Server 2008 R2系统上设置FTP服务器。 而不是手动处理为用户设置文件系统权限,我只想授予一个组读/写访问权限,然后将新用户添加到该组。 在Linux系统上,我可以创build该组并使用以下命令添加用户: # Create the group. groupadd <groupname> # Create a new user and add him to the new group. useradd -G <groupname> <username> # Or add an existing user. usermod -a -G <groupname> <username> 然而,在Windows服务器上,我似乎无法find办法做到这一点。 如何在Windows Server 2008 R2上创build一个新组,并向其添加用户?
我已经安装了RHEL 6.2,并configuration了使用LDAP与设置实用程序,我可以login。 什么是stange是每个用户只能识别三个LDAP组。 这是不同的群体,即使是属于同一群体的用户。 gid范围从500到30000+。 LDAP服务器是使用SLES的标准模式的openldap。 我不知道如何configuration任何限制或filter,为什么只select三个任意组?
我们使用文件共享function运行Mac OS 10.8.3服务器。 我们同时启用了AFP和SMB共享。 当我们更改用户的权限时,通过AFP访问服务器时权限设置正确,但使用SMB时,权限不正确。 例如,我们从一个组中删除了一个用户,而在AFP上他们被正确阻止,他们仍然可以使用SMB访问他们的旧文件夹。 我已经确认这不是caching问题,因为阻止的文件夹中的新内容也是可见的。 这显然是一个重大的安全问题,但我不知道如何解决这个问题。 我已经尝试启用中小企业的ACL,但无济于事。 任何帮助,将不胜感激! 新信息3/28 : 将用户添加到组中,可立即更新SMB共享上的更新权限。 但是,从组中删除用户不会删除其在SMB上的权限。 换句话说,一个用户保留他们曾经参加过SMB分享的任何组织。 如果我更改文件夹的权限,则立即更新。 使用SSH,我可以确认用户的权限确实在UNIX中正确更新; 如果我将它们从组中删除,则不再可以通过SSH(或AFP)访问这些文件夹。 所以基本上,问题是从一个组中删除一个用户 – 它删除了他们对AFP共享的权限,但是对于SMB,它认为用户仍然在被删除的组中。
我有一些域本地资源组需要: a)改为通用组。 b)改名。 c)将其成员组的用户折叠到该组中。 d)删除(不再需要的)成员组。 这些组目前包含成员组(有时嵌套组)和用户的组合。 最终结果将是只有用户的通用组织。 (所以基本上,这只是整个树结构的崩溃而已。 最好的命令是什么: 首先更改组types和名称,然后重新分配成员。 或者相反:首先是成员,而不是组的重命名/types? 或者没有任何区别? 我找不到一个明确的来源。 有没有可以自动化的工具? 手动做这个工作很多… PS 这是准备域名迁移/淘汰。 通用组(和用户)最终将被转移到新的域中。 这些域在function上与2008年和2012年的DC(如果这有什么区别)AD2003。
我们有一个(老的和增长的)Linux机器的基础设施(主要是debian)。 对于用户身份validation,我们使用LDAP来定义具有不同访问权限的多个组。 不幸的是,其中一个团队被称为debian中的标准团体名称。 结果是,无论何时更新与组有关的软件包(例如passwd ),它都会在计算机上创build一个使LDAP组员工组黯然失色的本地组员。 结果是login不再起作用等等。 由于基础设施不是新的,所以改变组名是非常费力的,因为它出现在不同机器上的各种configuration文件中。 问题是:如何禁用本地组文件(永远)? 或者还有其他解决方法吗? 目前,我们必须在每次更新创build之后手动从/etc/groups删除本地员工组。 什么尝试没有成功: 将nsswitch.conf的顺序从group: files ldap更改为group: ldap files – >效果:系统在引导时挂起。
我正在使用LDAP + Kerberos来对Windows 2003 R2上的Active Directory进行身份validation。 我的krb5.conf和ldap.conf似乎是正确的(根据我在网上find的几乎所有样本)。 我可以使用密码和ssh密钥login到主机。 当我运行getent passwd时,我所有的ldap用户帐户都列出了所有重要的属性。 当我运行getent组时,所有ldap组和它们的gid被列出,但是没有组成员。 如果我在任何组上运行ldapsearch和filter,则所有成员都以“member”属性列出。 所以数据在那里,只是没有被正确parsing。 看起来我只是在ldap.conf中使用了一个不正确的映射,但我看不到它。 我已经尝试了几个变化,都给出了相同的结果。 这是我目前的ldap.conf: host <ad-host1-ip> <ad-host2-ip> base dc=my,dc=full,dc=dn uri ldap://<ad-host1> ldap://<ad-host2> ldap_version 3 binddn <mybinddn> bindpw <mybindpw> scope sub bind_policy hard nss_reconnect_tries 3 nss_reconnect_sleeptime 1 nss_reconnect_maxsleeptime 8 nss_reconnect_maxconntries 3 nss_map_objectclass posixAccount User nss_map_objectclass posixGroup Group nss_map_attribute uid sAMAccountName nss_map_attribute gidNumber msSFU30GidNumber nss_map_attribute […]
我有一些非特权的“angular色账户”需要能够查看本地系统日志(例如/var/log/messages )的某些内容以进行debugging。 这是明确的本地日志数据,而不是远程syslog,logstash等。显然,有几种方法可以解决这个问题。 我想知道的是,如果有一个相当“标准化”的方式来解决这个问题。 通常情况下,我使用sudo解决了这个问题,但POSIX组或acls很有吸引力,因为用户input的字符很less,并且会从sudo日志中删除条目。 不过,我不相信我曾经见过。 你有什么经验? 大型安装基站如何解决这个问题?