在我们公司,我们有一个给定的LDAP服务器,代表我们的Windows活动目录的用户。 不幸的是,发送到LDAP客户端的gidNumber始终包含Directory的每个用户的值“1001”。 包含此值的LDAP服务器设置无法更改。 我想实现可以在LDAP服务器上定义的两个用户组。 在LDAP客户端(RHEL 5.8)上,用户组应映射到Linux用户组。 这两个组(“Group1”和“Group2”)可以用这些LDAP语句来标识: AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com AppRoles=cn=Group2,ou=OU1,ou=Applications,dc=company,dc=com 到目前为止,pam_filter仅用于让一个特定的LDAP用户组访问Linux机器。 而nss_override_attribute_value被用来做一个Linux组映射。 这个设置允许我们在RHEL 5.8上处理一个用户组。 但是它不允许pipe理多个Linux组。 # Override gidNumber Attibute nss_override_attribute_value gidNumber 500 # Filter for only allowing LDAP users in the LDAP Jumphost group to access this Server pam_filter AppRoles=cn=Group1,ou=OU1,ou=Applications,dc=company,dc=com 是否可以在不使用Attribute gidNumber的情况下在LDAPstring和Linux GID之间进行映射?
我正在使用CAS服务器版本3.5.2,并将其configuration为连接到LDAP服务器后,我收到此消息。 任何人都知道发生了什么? 我的LDAP服务器是pfeserver.pfe.dz :org.springframework.ldap.UncategorizedLdapException: Uncategorized exception occured during LDAP processing; nested exception is javax.naming.NamingException: Cannot parse url: "ldaps://pfeserver.pfe.dz" [Root exception is java.net.MalformedURLException: Not an LDAP URL: "ldaps://pfeserver.pfe.dz"]
看来,我只是绊倒了自己的脚。 在Windows 2008 R2服务器(设置为域控制器)上玩耍时,我被某个警告事件(事件ID 2886)所吸引,它说: “为了增强目录服务器的安全性,您可以configurationActive Directory域服务(AD DS)和Active Directory轻型目录服务(AD LDS)以要求签名的轻量级目录访问协议(LDAP)绑定。” 所以我不小心做了一些Googlesearch,并设置了强制执行LDAP签名的相关策略。 现在我不记得了,但我可能已经使用本地策略做到了这一点。 现在我已经build立了一个pfsense盒子,它必须通过LDAPauthenticationAD用户。 虽然防火墙可以通过安全通道进行通信,但对于其他软件包(如Squid和SquidGuard)来说,很难对其进行pipe理。 所以现在我必须禁用,即撤消这些政策的变化。 问题是他们变灰了! 有关的策略是LDAP服务器签名和LDAP客户端签名。 我不记得我做了什么,但是当我从服务器上的本地策略编辑器访问这些策略时,它们被设置为“需要签名”并呈灰色。 组策略编辑器中的默认域控制器选项仍然可以设置相同的策略。 那么如何重置这些灰色的政策呢? 谢谢 更新: 我编辑了registry: find并单击下面的registry子项:HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters 用鼠标右键单击LDAPServerIntegrityregistry项,然后单击修改。 将数值数据更改为1(它是2),然后单击确定。 现在,本地策略中的“域控制器:LDAP服务器签名要求”现在设置为“无”。 之前的值是“需要签名”。 但是,它仍然是灰色的。 为什么它是灰色的…我不明白。 pfsense盒现在可以通过LDAPvalidation用户身份…但是在系统重新启动之后,策略再次重置为“Require Signing” 所以….问题依然存在。
我有一个面向互联网的应用程序服务器,我想使用AD身份validation。 这是我第一次做这个没有MS应用程序或没有某种代理。 我脑中已经有了一个想法来说明如何去做。 我想确保我不会错过一个明显的安全漏洞。 我目前的想法是互联网stream量去DMZnetworking应用程序服务器只允许HTTPS / 443stream量和拒绝所有其他,包括传出stream量(不包括LDAPS)。 DMZ内部有一个只读域控制器,除了RODC所需的LDAPS和端口(基于MS RODC DMZ最佳实践)所需的stream量之外,它将拒绝所有input输出。 RODC将不会有任何直接的互联网stream量。 内部networking我将有一个常规的域控制器。 WebApp和RODC之间的所有通信都将是LDAPS。 3台服务器之间的所有IP通信都将使用IPSEC对IPstream量进行身份validation和encryption。 RODC将被过滤为只包含用户名数据,无密码或其他数据。 它将每个需求每次查询内部DC。 WebApp和RODC都将是一个服务器核心安装,没有GUI。 WebApp —- | IPSEC / LDAPS | —> RODC —– | IPSEC / LDAPS | —>内部DC 显然所有的服务器将被locking,只允许直接IPstream量与所需的端口,没有别的。 我错过了什么吗?
我对DNS非常熟悉,但使用LDAP则不太熟悉。 在DNS中,我有能力委派CPU和IO负载的引用追查给定的DNS查询…或者我可以设置norecurse并让客户端执行这些任务(或不是recursion的) 我的目标是将LDAP客户端指向单个公司目录(AD或ADLS / ADAM),然后从我的公司目录ldap.globaltrustpoint.com ( 链接 )或其他目录中下载我认为合适的SMIME证书。 我正在按照这里的说明将globaltrustpoint.com添加到实例,而不确定如何testing并查看LDAP引用是否更像recursion或非recursion查询。 我也想弄清楚如何判断这是一个客户端特定的设置(Outlook,OSX邮件等)。 任何程序上的帮助,将不胜感激。
我们目前有一个设置(在Ubuntu 14.04 LTS上运行),具有混合的LDAP / NIS身份validation和来自多个服务器的自动安装的主目录( auto.home map分布在NIS上)。 只要login的用户(使用NIS或LDAP)已经有一个主目录(即ls /home/user成功触发其安装),一切都将平稳运行。 我想使用pam_mkhomedir.so来为服务器上没有家的人自动创build本地主目录(这在正常设置下工作正常),但是当然这是行不通的(在这个问题中描述的同样的问题: LDAP / NFS / PAM / AutoFS:mkhomedir PAM插件failling ),因为autofs和pam_mkhomedir无法一起工作。 在/home任何mkdir实际上都会在启用了automounting时失败,因此在/home进行绑定安装也不是解决scheme。 有没有人知道有一个很好的解决scheme,为本地主目录创build没有NFS的家庭,知道我们无法控制来自LDAP的信息(即,用户必须在/home/username有他们的家,而autofs是在那里工作),并没有黑客进入autofs的来源? 在login时在NFS服务器上创build一个家庭将是一种可能性,但如何以一种安全的方式做到这一点?
我在CentOS 6.5下运行Apache 2.2.15。 正在使用mod_authnz_ldap模块对Microsoft AD服务器进行身份validation。 这里是Apache中的LDAPconfiguration: AuthType Basic AuthBasicProvider ldap AuthzLDAPAuthoritative on AuthLDAPURL ldap://[ad server ip address]/[basedn]?mail AuthLDAPBindDN [binddn] AuthLDAPBindPassword [bindpass] AuthName "LDAP: myhost.example.com" Require ldap-group cn=[foo],ou=Permissions,ou=Groups,ou=[bar],dc=[baz],dc=com 大多数情况下,浏览器对这个Apache主机的请求工作正常。 它对AD服务器进行正确的身份validation,页面正常加载。 然而,平均每隔几分钟,请求就会从浏览器端挂起。 tcpdump显示Apache正在发送一个TCP RST数据包,显然是响应来自AD主机的PSH ACK数据包。 交换看起来像这样: 53 600.408744 Apache AD TCP 74 42804 > ldap [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=2665219285 TSecr=0 WS=128 55 600.469478 AD […]
我有一个问题。 3个月前,我们在自己的工作场所部署了一个zentyal dc,因为这是在同一台服务器上validationwindows,linux和mac的好方法。 我在Windows上获得authentication,就像一个魅力。 我通过LDAPauthentication的Ubuntu客户端,他们工作的很好,但我遇到了下一个操作系统的问题。 在我们的Centos客户端上,我首先尝试实现与我们的ubuntu客户端相同的ldapconfiguration。 然后我尝试用winbind和kerberos进行身份validation。 工作的亚伊,但是一个大问题发生了。 当我运行getent passwd时,发现UID和GID与zentyal DC不匹配,这意味着当我挂载home文件夹时,用户没有权限进入它们,因为home文件夹有zentyal dc的UID和GID。 我研究过它与idmaps有关。 我尝试了一些不同的方法,但最终放弃了。 这就是为什么我认为我应该再次尝试ldap,因为它在ubuntu客户端上工作。 所以我现在的问题是:如何configuration一个centos 6-7机器通过ldap对zentyal DC进行身份validation? 我在Ubuntu机器上的ldap.conf如下所示: base dc=mosek,dc=zentyal uri ldap://172.16.0.5:390 ldap_version 3 binddn cn=zentyalro,dc=mosek,dc=zentyal bindpw secretpasswd scope sub bind_policy soft pam_password md5 nss_base_passwd ou=Users,dc=mosek,dc=zentyal?one nss_base_passwd ou=Computers,dc=mosek,dc=zentyal?one nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,colord,daemon,dnsmasq$ 我如何将这个configuration转换成centos可以使用的东西? 我迄今为止所做的事情: 运行authconfig-tui并将其设置为ldap /etc/openldap/ldap.conf和/etc/ldap.conf在centos客户端上: TLS_CACERTDIR /etc/openldap/cacerts SASL_NOCANON on URI ldap://172.16.0.5:390 BASE dc=mosek,dc=zentyal /etc/nsswitch.conf在centos客户端上: passwd: […]
我很难将我们的OpenID安装从Debian迁移到RedHat。 两个openldap实例正在运行,它们具有相同的configuration,除了一个处理ldap:requests,另一个处理ldaps:requests。 netstat显示他们都在监听: sudo netstat -avp –tcp | grep ldap tcp 0 0 *:ldap *:* LISTEN 11348/slapd tcp 0 0 vldap-test-1.ceti.etat-:ssh 10.137.79.116:50842 ESTABLISHED 10461/sshd tcp 0 0 vldap-test-1.ceti.etat-:ssh 10.137.79.116:49164 ESTABLISHED 7993/sshd tcp 0 64 vldap-test-1.ceti.etat-:ssh 10.137.79.116:50815 ESTABLISHED 10281/sshd tcp 0 0 *:ldaps *:* LISTEN 11344/slapd tcp 0 0 *:ldap *:* LISTEN 11348/slapd 我不知道为什么两行显示ldap,只有一个ldaps …不pipe… ldap:请求工作正常,但ldaps:请求不。 […]
我正在为OpenLDAP构build一个LDAP模式,其中一个属性是一个具有固定长度的数字标识符(例如10)。 我正在使用numericString语法(1.3.6.1.4.1.1466.115.121.1.36)。 我已经find了如何设置最大长度,但没有办法设置最小长度或固定长度。 基本上,如何设置它,使属性具有固定的长度?