所以,我认为我的LDAP工作是完美的,但今天我去login,并validation我,但它显示我是本地pipe理员帐户,甚至whoami这样说,我有本地用户帐户完全的根访问。 任何想法什么寻找? 这是以甜甜圈login的输出,他不是本地用户,而是之前login的。 sysadmin@BASICTEMPLATE:~$ whoami sysadmin sysadmin@BASICTEMPLATE:~$ pwd /home/donut 并输出tail -f / var / log / auth作为甜甜圈login Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: Accepted publickey for donut from 192.168.1.210 port 50472 ssh2: RSA 9c:a7:b6:3c:a8:2d:96:21:e8:d2:47:cb:6f:8f:a0:91 Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: pam_unix(sshd:session): session opened for user donut by (uid=0) Oct 7 21:01:15 BASICTEMPLATE systemd-logind[471]: New session 4 of […]
我正在寻找添加字段到FreeIPA 4.4中的用户定义。 现在我已经修改了用户架构,并在Web UI中添加了各个版本的字段。 现在我想能够通过JSON API并通过CLI工具来更改添加的新字段(国家代码c和国家/地区名称co )。 这将需要改变已经存在的API调用,例如user_add , user_show等 我已经find了这样的插件的例子,但对于FreeIPA 3,似乎从那时起python API改变了,因为这些都不工作,当我适应那些良好的字段名称。 我得到以下错误: $ ipa ipa: ERROR: ImportError: No module named plugins Traceback (most recent call last): File "/usr/lib/python2.7/site-packages/ipalib/cli.py", line 1348, in run api.finalize() File "/usr/lib/python2.7/site-packages/ipalib/plugable.py", line 707, in finalize self.__do_if_not_done('load_plugins') File "/usr/lib/python2.7/site-packages/ipalib/plugable.py", line 422, in __do_if_not_done getattr(self, name)() File "/usr/lib/python2.7/site-packages/ipalib/plugable.py", line 586, in […]
我正在尝试使用Kerberos身份validation和LDAP组成员身份validation来设置Apache SVN存储库,以便只有属于特定组的用户才能访问它。 自己的Kerberos身份validation工作正常,就像LDAP本身一样。 但是我想以这种方式将它们结合起来,这样我就没有纯文本凭据绑定到apacheconfiguration中的LDAP目录。 我目前的configuration(不起作用)是: LDAPVerifyServerCert Off <Location /svn01> DAV svn SVNParentPath /var/www/svn01 AuthType Kerberos Authname "Test Repo" KrbMethodK5Passwd On KrbAuthRealms KOUKOU.LOCAL KrbSaveCredentials On KrbServiceName HTTP Krb5KeyTab /etc/httpd/conf.d/svnusr.http.keytab AuthLDAPUrl ldaps://ad01.koukou.local:636/dc=koukou,dc=local?krbPrincipalName Require ldap-group CN=admins,CN=Users,DC=koukou,DC=local </Location> 我在互联网上看到过这种configuration,但这对我不起作用。 我在浏览器中得到的是“未经授权”,并在Apache错误日志中得到: [Thu Mar 02 09:55:21.817559 2017] [authnz_ldap:debug] [pid 10314] mod_authnz_ldap.c(838): [client 172.21.11.13:57737] AH01711: auth_ldap authorise: User DN not found, User […]
我已经创build了这个自定义和非常基本的模式: objectclass ( 2.25.2.2.1 NAME 'myObjectClass' DESC 'myObjectClass objectclass' STRUCTURAL MUST ( cn ) ) 我已经添加了这个myObjectClass.ldif文件没有问题: dn: cn=myObjectClass,cn=schema,cn=config objectClass: olcSchemaConfig cn: myObjectClass olcObjectClasses: {0}( 2.25.2.2.1 NAME 'myObjectClass' DESC 'myObjectClass objectclass' STRUCTURAL MUST cn ) 使用ldapmodify: sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f myObjectClass.ldif 现在我试图用delete.ldif删除它: dn: cn=schema,cn=config changetype: modify delete: objectClass objectClass: 2.25.2.2.1 使用ldapmodify总是得到ldap_modify:服务器不愿意执行(53): sudo ldapmodify […]
我正在尝试使用LDAP作为我的用户目录,将我的Apache服务器configuration为使用客户端证书的HTTPS身份validation。 我想要做的是Apache要求用户使用证书进行身份validation(所以没有login名/密码),然后Apache必须在LDAP中检查它:如果用户提供的证书是有效的,那么Apache将返回“它起作用“,否则将返回401所需的授权。 到目前为止,我所做的是:保护用户和Apache之间以及Apache和LDAP之间的连接。 用户在尝试validation自己时也向Apache提供他的证书。 我的问题是,用户向Apache提供证书,但Apache不检查用户提供的证书是否与LDAP目录中与用户关联的证书相匹配。 这是我的configuration文件: < VirtualHost *:443> SSLEngine on SSLCertificateKeyFile "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/certs/apache.pem" SSLCertificateFile "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/certs/apache.crt" SSLCACertificateFile "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/certs/root.crt" SSLCACertificatePath "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/certs/" SSLProtocol all -SSLv3 -SSLv2 <Directory "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/htdocs"> AuthType Basic AuthName "Authorized Personnel Only" AuthLDAPBindDN "cn=ldapadm,dc=ldap,dc=domain" AuthLDAPBindPassword "password" […]
我已经阅读了数以百计的互联网上的post,我找不到任何解决我的问题。 所以我决定写这个post,希望有人能帮助我。 首先我要为我的坏英语道歉,希望你明白我的意思,如果不是不要麻烦的提问。 问题: 我有限制saslauthentication的用户发送邮件只是从后缀configuration的问题。 我知道这可以通过使用postfix main.cf中的“reject_sender_login_mismatch”和“smtpd_sender_login_maps”标签来完成。 但问题接缝,后缀不匹配的邮件字段对smtpd_sender_login_maps相反,它匹配sasl用户名(在我的情况下,也是一个电子邮件地址)。 清楚的是,这个条件总是成立的,因为sasl用户名不存在真正写在FROM字段中的东西。 当我打开debugging(debug_peer_list = client ip )时,我注意到了这一点,并从Thunderbird的欺骗地址any_other@any_other.xy发送邮件到[email protected]。 我没有在mail.log中看到真正的FROM字段,而是将sasllogin名([email protected])解释为FROM地址。 解压缩表格/var/log/mail.log: …. postfix/smtps/smtpd[3525]: watchdog_pat: 0xXXXXXXXXX postfix/smtps/smtpd[3525]: < unknown[XXXXXXXXX]: AUTH PLAIN XXXXXXXXX postfix/smtps/smtpd[3525]: query milter states for other event postfix/smtps/smtpd[3525]: milter8_other_event: milter local:/opendkim/opendkim.sock postfix/smtps/smtpd[3525]: xsasl_dovecot_server_first: sasl_method PLAIN, init_response XXXXXXXXX postfix/smtps/smtpd[3525]: xsasl_dovecot_handle_reply: auth reply: [email protected]? postfix/smtps/smtpd[3525]: > unknown[XXXXXXXXX]: 235 2.7.0 Authentication successful […]
我正在search的方式实现自动添加一些属性和值(所有相同的)在用户的search响应,如果用户是组的成员(成员的覆盖被启用)。 例如:用户是uid=test,ou=users,dc=test,dc=local它具有操作属性 memberOf : cn=testgroup,ou=groups,dc=test,dc=local 如果我searchuid=test,ou=users,dc=test,dc=local ,则需要在结果对象属性列表中获取属性/值testattribute : testvalue 。 我发现dynamic列表覆盖可以实现类似的东西。 有谁知道如何执行它?
环境: 〜Prod IPA注册的400台服务器 Prod IPA设置为两台服务器之间的主/主复制 昨天下午4:40左右,用户开始报告无法通过SSHlogin服务器。 系统pipe理员可以通过sshkeylogin。 客户端日志只说“身份validation失败,密码无效”或“无法validation” 对于用户和主机,IPA服务器日志除了类似于以下内容的行外没有提供任何内容: Sep 28 17:51:24 hostname123 krb5kdc[2134](info): AS_REQ (4 etypes {18 17 16 23}) 192.111.1.111: NEEDED_PREAUTH: host/[email protected] for krbtgt/[email protected], Additional pre-authentication required 我们在两台机器上都重新启动了IPA,重新启动了虚拟机等,没有修复。 唯一的解决办法是进入每个客户机和sss_cache -E;rm -rf /var/lib/sss/db/*; 在这个用户能够通过puTTylogin后。 任何人都有类似的问题? 我们几年前build立这个系统的主要系统pipe理员已经不在我们这里,这是我们的第一个主要问题。 注意:此时,所有IPA命令也停止在IPA服务器上工作。 例: ipa user-show xxxx(“ipa:ERROR:无法连接到Gettext('任何configuration的服务器',domain ='ipa',localedir = None)
是否可以通过WinXP上的cygwinconfigurationsshd来使用LDAP进行用户身份validation? 如果是这样,我在哪里可以find一个howto指导来做到这一点?
我已经看到OpenLDAP目录对LDAP目录上的查询具有最小字符要求,我想在我的设置。 例如,以下search失败: (uid=*) 并且以下search成功: (UID = ABC *) 我不记得错误代码是什么时候失败了,但我认为这是不愿意做的。 有人知道我需要改变什么设置来添加这个要求吗?