标题应该是自我解释,但更详细的,我正在寻找一种方法来保护从LAN暴力攻击的LDAP。 在重复authentication失败之后,通过在指定的时间段内locking密码来防止密码猜测会很好。 如果这可以变成DOS,这并不重要。 不幸的是,我找不到办法做到这一点,我发现的文件是非常困惑。
我正在使用smbldap-tools在CentOS 6.2主机上安装smb 3.5。 我之前在RHEL4上使用smb 3.0安装了类似的configuration,但CentOS现在使用nss-pam-ldapd和nslcd而不是nss_ldap,因此configuration无法直接移动。 当我做一个共享目录列表,应该有由LDAP确定的用户和组所有权时,我得到的uidNumbers和gidNumbers,而不是UID和GID。 [root@edgar2 openldap]# ls -l /data/home | tail drwx——. 2 30634 30080 4096 Mar 18 2009 userdir1 drwx——. 33 30548 30075 4096 Jan 29 15:20 userdir2 drwx——. 3 30554 30075 4096 Jan 26 2009 userdir3 drwx——. 12 30467 30075 4096 Jun 21 2012 userdir4 drwx——. 4 30543 30075 4096 Oct […]
问题: 我正在尝试configurationLDAP邮件自动完成function – 2008R2域环境中Mozilla Thunderbird 17.0.5 @ Windows 7 x64的内置function。 该操作系统是一个新鲜的,在VBOX开箱即用的安装。 看来我无法使用Kerberos身份validation (本机SSPI)。 我已经正确configuration了LDAP参数 – 我已经设法validation在Thunderbird中使用“简单”身份validation模式(在哪个应用程序中要求用户手动input域凭据)。 在这种模式下,自动完成工作。 然而,每当我切换到Kerberos身份validation,我没有得到自动完成的结果。 VBox在地址字段中键入每个字母后显示一些networking活动,但不返回任何结果。 这对标准用户帐户和域pipe理员帐户都是一样的。 问题: 据我所知,这可能是Thunderbird的一个问题,或者是一个domain / kerberos问题。 根据谷歌的结果,Thunderbird的这个function并不是很stream行,但我读过的大部分内容似乎都certificate了这一点,在任何默认configuration的域环境下都可以工作。 由于域控制器是由以前的员工设置的,所以域的某些function可能被重新configuration或禁用。 我从来没有碰过内置的Kerberos。 谁能告诉我,我该找什么? debugging: 我试图debuggingThunderbird客户端,并得到一个日志,我发布在底部。 日志显示没有错误,尽pipe我对Kerberos的内部工作几乎一无所知,据我所知,客户端正在尝试进行身份validation( InitializeSecurityContext: succeeded ),但似乎从来没有收到任何答案。 然而TB也不会返回任何错误。 此外,无论我是否configuration了正确的Bind DN名称( [email protected]是正确的)或一些完全随机的字母,似乎日志几乎相同。 如果我在klist purge之后启动Thunderbird,似乎系统正确地获取新的票证( krbtgt\domain.mydomain.com和LDAP\dc02.domain.mydomain.com )。 Tunderbird日志: 0[e0f140]: nsAuthSSPI::Init 0[e0f140]: InitSSPI 0[e0f140]: Using SPN of [ldap/mydomain.com] 0[e0f140]: AcquireCredentialsHandle() succeeded. […]
目前,我们正在为OpenLDAP用户门户使用基于自定义perl的前端,并且将端口转移到新的服务器上也是非常棘手的。 我已经在新的服务器上设置了phpLDAPadmin,但是它似乎并不旨在允许用户编辑他们自己的LDAP信息。 我们有一些自定义字段,例如Public SSH和GPG密钥,我需要一种方法来允许用户更新存储在LDAP中的公钥。 有谁知道一个程序,可以让用户login和更新他们的LDAP信息? 有很多密码更新工具,但是我找不到允许编辑其他字段的工具。
我是LDAP的新手,我有以下问题: 我使用OpenLDAP作为远程Active Directory的caching代理。 而用户的完整DN就像"cn=Doe\, John,ou=users,ou=others,dc=company,dc=com" ,而uid ( sAMAccountName )则是第一个和第二个名字的简写forms。 例如, John Doe将成为jdoe 。 我已经有SVN服务器,Bugzilla和ReviewBoard正常工作,因为他们有很多LDAP支持的设置。 但现在我正在尝试设置YouTrack,并且缺lessLDAP设置。 我希望能够使用短格式login(如“ jdoe ”)loginYouTrack,但是当我将YouTrack中的变换string设置为"sAMAccountName=$login$,ou=users,ou=others,dc=company,dc=com" other "sAMAccountName=$login$,ou=users,ou=others,dc=company,dc=com"我一直有下面的错误: [LDAP:错误代码49 – 80090308:LdapErr:DSID-0C0903A9,注释:AcceptSecurityContext错误,数据52e,v1db1]这是“无效的凭据”。 但是,如果我在转换string中明确指定全名,我可以login(但当然没有其他人): "cn=Doe\, John,ou=users,ou=others,dc=company,dc=com" 所以,我的问题是:我可以修改用户的“即时”的DN,以便有这样的事情,例如: "cn=jdoe,ou=users,ou=others,dc=company,dc=com" ?
我正在使用ApacheDS。 我已经创build了一个自定义模式,以便它在模式下的自己的容器中。 当我对LDIF文件进行更改并重新导入时,我不断收到指示修改请求失败的错误。 只要我手动删除该层次结构中的每个条目,我就可以随后导入LDIF。 是否有一个设置,参数,关键字我可以添加到LDIF文件,迫使服务器删除现有的组件之前尝试添加新的,或者只是replace现有的条目?
在testing域中,我有一个公开签名的LDAP over SSL。 它包含服务器身份validationOID扩展,并在同一个域中的2008 R2 DC上正常工作。 CSR是在2008 R2服务器上生成的,但包含与2008 R2 DC的FQDN和2003 DC的FQDN的域和SAN的FQDN相匹配的主题名称。 当我尝试从域上的另一个系统通过ldp.exe连接到2008 R2 DC通过端口636与SSL,它工作正常。 然而,连接到2003年DC回报: ———– 0x0 = ldap_unbind(ld); ld = ldap_sslinit("testdc01", 636, 1); Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 81 = ldap_connect(hLdap, NULL); Server error: <empty> Error <0x51>: Fail to connect to afgtestdc01. ld = ldap_sslinit("testdc01", 636, 1); Error 81 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, […]
如何configuration我的LDAP服务器以允许除一个之外的所有主机? 所有用户默认都有host: *属性,允许任何用户login到任何服务器。 我试过以下的正则expression式,但似乎正则expression式不支持在这里: host: !(*test.example.com*) 我已经提到这个页面来设置host属性。 LDAP版本:2.3.43-12
我试图在Drupal上使用SSO LDAP模块。 Drupal的LDAPauthentication工作正常(人们可以在Drupal上使用他们的AD凭证login并login,testing系统也返回相关的AD凭证,例如电子邮件地址)。 但是SSO无法工作。 在前端,我收到一条错误消息:“你没有被服务器authentication”。 检查Drupal错误日志我得到错误$ _SERVER ['REMOTE_USER]]找不到 在服务器设置和事情方面,我并不是特别舒服,所以非常感谢我能得到的帮助。 做一个谷歌search的问题似乎不符合我的问题。 对于技术规格: 我正在使用mod_auth_sspi进行身份validation服务器是在Windows上运行的Apache服务器。 我使用的是使用PHP 5.3.10和Apache 2.2.22的Uniform Server 8.1.2 感谢您的任何帮助。
我对只存储unix帐户信息(无samba属性)的LDAP服务器具有只读访问权限。 我想授予在LDAP目录中的用户访问我的服务器上的samba共享。 所以每次用户想访问一个共享时,我的服务器都应该检查LDAP服务器的凭据是否正确。 这可能吗? 如果我理解正确,在这种情况下,samba帐户必须存储在另一个具有自己的samba密码哈希值的后端中。如果这是正确的,那么我认为无法使用来自LDAP服务器的数据填充此后端到不同的哈希algorithm。 那么我怎样才能保持数据库同步? 我在这个网站上发现了一些类似的问题,但是,不幸的是,到目前为止找不到我的问题的解决scheme…