我试图build立一个系统,访问者可以在表单中input任何用户名来创build一个新用户,最后它build立在LDAP目录上,我也计划把它映射成一个UNIX帐户(在Ubuntu Linux上),使系统查找LDAP上的系统帐户。 这样做很好,但我觉得应该避免使用许多用户名,其中一个显而易见的是“root”,其他所有用户名都是守护进程。 你如何解决这个问题? 你是否通过检查/ etc / passwd来构成不允许的用户名列表? 我在想,如果在内部,用户名可以作为“ldap_”或其他名称前缀,它将避免任何命名冲突,但是当LDAP条目名称是“joe”但系统帐户看起来像“ldap_joe” 。 甚至不知道如何实现。
在我们的活动目录服务器上,我想按照以下方式启用基于SSL的LDAP: http : //support.microsoft.com/kb/321051 。 我想知道,一旦build立起来,LDAP是否仍然会在标准端口上进行监听,389一旦实现,以及安全端口? 或者将安全端口完全取代标准端口作为连接选项? 此外,除了文章中的步骤之外,是否还需要其他configuration? 换句话说,域用户是否仍然能够像正常一样进行身份validation,还是需要进行额外的设置?
我们在Snow Leopard上有一个新的iMac,用于对OpenLDAP目录进行身份validation。 家庭(自动挂载)NFSv3(Linux,内核服务器)。 NFS似乎工作得很好(如果有点慢,但我们不想冒险不使用locking)。 但是,当用户使用LDAP帐户login时,会发生奇怪的事情:有时甚至在所有桌面图标初始化之前,机器都会挂起,有时用户可能会稍微工作一段时间,但是一段时间后机器会挂起:New由用户进程不起飞,旧的进程不能退出(甚至强制退出挂起)。 有时候早些时候,有时候以后,docker根本没有反应(不显示程序的上下文菜单),Finder不会关注。 尽pipe如此,即使所有其他东西似乎挂起,我可以通过SSHlogin,至less干净地重新启动机器。 即使对于LDAP用户,SSHlogin也可以工作 如果我禁用LDAP,一切似乎对本地用户正常工作。 我们使用RFC 2307映射的OpenLDAP目录。 我们只是真的使用它帐户数据,所以我尝试删除目录实用程序中除Person,User和Group映射之外的任何映射。 这两种映射都具有相同的不良行为。 编辑:这似乎是同样的问题,这位先生有:苹果论坛1/2
RHEL 5.4中发布的Apache版本非常陈旧。 我只需要最近发货的function 。 看来Apache上游只是运行tarballs,而省略了二进制包。 显然我可以从源代码构build,但是像这样升级单个包的标准方法是什么? 在现有的SPEC中删除一个更新的tarball是否是普通的程序,或者是否已经有人对RHEL做了这些工作?
我目前有一个设置,让我们的工作,让用户使用他们的活动目录域login名和密码进行身份validation和授权访问Subversion。 目前我需要允许应用程序帐户相同的访问权限。 所以我们的IT部门在活动目录中创build应用程序帐户供我们使用。 但是他们想要“安全”,因此他们将“允许的工作站”/ userWorkstations属性设置为仅有限数量的工作站。 所以,当一个应用程序帐户访问apache2服务器进行身份validation时,他们无法login,出于某种原因,我正在尝试debugging。 错误日志只显示我: [Tue Apr 06 11:24:25 2010] [warn] [client 24.24.24.24] [3469] auth_ldap authenticate: user appuser13 authentication failed; URI /svn [ldap_simple_bind_s() to check user credentials failed][Invalid credentials] [Tue Apr 06 11:24:25 2010] [error] [client 24.24.24.24] user appuser13: authentication failure for "/svn": Password Mismatch 我已经检查了无数次的密码,它似乎是正确的,但我似乎无法让用户进行正确的身份validation。 以下是ldap的apacheconfiguration的一个片段: # Auth providers # Active Directory […]
我有一个单独的SVN仓库/ var / svn /有几个子目录。 工作人员必须能够访问顶层目录及其中的所有子目录,但我想限制使用备用htpasswd文件访问子目录。 这适用于我们的工作人员。 <Location /> DAV svn SVNParentPath /var/svn AuthType Basic AuthBasicProvider ldap # mod_authnz_ldap AuthzLDAPAuthoritative off AuthLDAPURL "ldap.example.org:636/ou=people,ou=Unit,ou=Host,o=ldapsvc,dc=example,dc=org?uid?sub?(objectClass=PosixAccount)" AuthLDAPGroupAttribute memberUid AuthLDAPGroupAttributeIsDN off Require ldap-group cn=staff,ou=PosixGroup,ou=Unit,ou=Host,o=ldapsvc,dc=example,dc=org </Location> 现在,我试图限制访问一个单独的htpasswd文件的子目录,如下所示: <Location /customerA> DAV svn SVNParentPath /var/svn # mod_authn_file AuthType Basic AuthBasicProvider file AuthUserFile /usr/local/etc/apache22/htpasswd.customerA Require user customerA </Location> 我可以使用Firefox和curl来浏览到这个文件夹罚款: curl https://svn.example.org/customerA/ –user customerA:password […]
我们有一个组织范围的LDAP服务器和一个仅部门的NIS服务器。 许多用户在两台服务器上都有相同的名称。 有没有办法让Leopard / Snow Leopard机器查询一台服务器,然后另一台服务器,并让用户login,如果他的用户名/密码组合匹配至less一个logging? 我可以得到NIS身份validation或LDAP身份validation。 我甚至可以同时启用这两种方法,将LDAP设置为更高的优先级,并使用LDAP服务器上列出的名称和密码进行身份validation。 但是,在最后一种情况下,如果在Directory Utility的searchpath中将LDAP域设置为更高优先级,然后提供NISlogging中列出的用户名/密码对,则即使NIS服务器接受它,我的login也会被拒绝。 find用户名后,有没有办法让操作系统检查其余的searchpath?
我已经build立了一个Ubuntu的清晰LDAP + SAMBA PDC,主要基于这篇文章: http : //ubuntuforums.org/showthread.php?t=1499753 – 它的工作原理。 用户可以通过login到Win PC来改变他们的密码,并按下Ctrl + Alt + Del 。 这样unix的密码也被改变 – 桑巴照顾了这一点。 我也使用LDAP服务器从ubuntu桌面进行身份validation。 他们可以使用/usr/bin/passwdlogin并更改密码,但这样samba密码不会改变。 问题: 1)是否有一种方法来更改不仅userPassword,而且sambaNTpassword属性? 我已经读过pam_smbpass.so但是我不知道如何使用它 – 我甚至在某处读到只有本地smb密码可以更新的地方。 2)如果第一个问题的答案是“否”,那么有没有办法让基于unixPassword slapd同步unixPassword ? 也许设置“ exop ”来做到这一点? 3)如果答案再次是“否”,那么我可以在userPassword中清除明文密码,并运行外部脚本来计算sambaNTpassword的散列sambaNTpassword 。 我尝试了jacksum -a md4 -q "txt:password"但计算出来的散列不等于存储在ldap中的散列。 我不知道为什么。 4)我还能做什么?
我们使用这段代码来查询一个ADAM实例。 DirectoryEntry adRoot = new DirectoryEntry(ConfigurationManager.AppSettings["LdapConnectionString"].ToString()); DirectorySearcher adSearch = new DirectorySearcher(adRoot); adSearch.Filter = "(&(objectClass=user)(objectCategory=person))"; SearchResultCollection searchResults = adSearch.FindAll(); return searchResults; 这是在App.config中的标记: add key =“LdapConnectionString”value =“LDAP:// servername:portnumber / dc = domainname ” 我们使用代码打印出从ADAM实例中检索的所有属性名称。 DirectoryEntry entry = searchResults[0].GetDirectoryEntry(); foreach (string property in entry.Properties.PropertyNames) { Console.WriteLine(property); } PropertiesToLoad是空的StringCollection,PropertyNamesOnly是false。 我们不检索我们的程序需要的proxyAddresses,street,zipCode和许多其他属性。 我在这里发现: 如果不指定属性列表,则search将返回目录中设置的访问控制所允许的所有属性的值。 所以,我的问题…这个访问控制集在哪里,我们将如何修改它,所以我们可以访问这些属性?
我有ldap的问题,当它在线,我login用户/从LDAP数据库传递,然后不能su本地通过根。 当我关掉离线LDAP时,我可以用本地用户/密码login,用本地密码sulogin。 auth.log: Sep 27 12:18:33 intranet sshd[18321]: pam_unix(sshd:session): session opened for user mejmo by (uid=0) Sep 27 12:18:39 intranet unix_chkpwd[18340]: check pass; user unknown Sep 27 12:18:39 intranet unix_chkpwd[18340]: password check failed for user (root) Sep 27 12:18:39 intranet su[18339]: pam_unix(su:auth): authentication failure; logname=mejmo uid=10009 euid=10009 tty=/dev/pts/1 ruser=mejmo rhost= user=r Sep 27 12:18:42 intranet […]