当我们开始我们的软件开发公司时,我们决定使用Samba作为我们拥有的几个Windows工作站的PDC 。 我们在OpenLDAP使用了Samba ,它已经成为近6年来使用Windows XP工作站的AD替代品。 现在我遇到了一些与我们的设置有关的问题: PDC运行的Linux服务器非常过时(并且是Gentoo安装,不要问为什么!) 我们开始在一些工作站上使用Windows 7 ,而这些工作站无法joinSamba域(我知道有一个解决方法) 我们的公司已经有了一些增长,现在我们有大约20个工作站(并计划在不久的将来有更多的工作站)。 我必须重新安装我们的PDC ,并正在考虑更新到另一个Linux发行版和最新的Samba 3.4 。 但是,我开始有了第二个想法,现在我认为去PDC的Windows Server是一个PDC的select。 selectWindows Server的主要驱动程序将是其易于pipe理和开箱即用的Windows 7 ,无需任何registry黑客入侵。 我的问题是(是): 我应该如何做这个迁移? 我可以保留相同的域名吗? 用户会发生什么? 即使实际的用户名是相同的,它们是否会被重新创build并且不会被工作站识别为同一用户? 你会推荐什么步骤从Samba迁移到Windows Server ? 奖金问题 :如果您认为在Samba中继续使用我现有的设置,我也对您的想法感兴趣。
Active Directory对象包含一些由其他属性组成的构造属性。 使用ADSI编辑,我可以打开我的特定属性的架构(CN = ms-DS-Principal-Name,CN = Schema,CN = Configuration,…)并查看模式属性,但是我不看到那里的任何东西,定义它如何build立其价值。 我想知道如何做到这一点。
问题: 通过命令行和PHP将LDAP查询保护到具有自签名证书的AD域控制器。 背景: 我正在开发一个项目,我需要启用从PHP Web应用程序到使用自签名证书的MS AD域控制器的LDAP查找。 此自签名证书也使用不是FQDN的域名 – 将people.campus视为域名。 Web应用程序将获取用户的凭据,并将其传递到AD域控制器,以validation该凭证是否匹配。 这似乎很简单,但我有问题试图让PHP和自签名证书工作。 有人build议我在OpenLDAPconfiguration中将TLS_REQCERTvariables从“request”改为“never”。 我担心这可能会带来更大的影响,比如中间人攻击,我不能很好地把这个设置改变为从不。 我还在线阅读了一些可以获取证书的地方,并将其作为可信来源放在openldapconfiguration文件中。 我很好奇,如果这是我能为我所处的情况做些什么? 我可以从命令行获取AD域控制器正在使用的自签名证书,将其保存到一个文件中,然后让openldap使用该文件来获得所需的信任,这样我就不需要调整variables从请求到从不? 我无权访问AD域控制器,因此无法导出证书。 如果有从命令行获取证书的方法,我需要使用哪些命令? 有没有一种处理这个问题的替代方法,从长远来看会更好? 我有一些CentOS服务器和一些我正在尝试使用的Ubuntu服务器。 预先感谢您的帮助和想法。
我有一个Unix系统,用户帐户只存在于LDAP中。 我用nscd使用libnss-ldapd来做到这一点,它工作得很好。 正常情况下,Postfix按预期发送邮件。 但是,如果LDAP服务器closures,并且用户映射没有完全caching在nscd中,用户似乎不存在(即, getent passwd username没有返回结果),因此Postfix的本地(8)硬盘将电子邮件与“未知用户“错误。 这非常糟糕 。 目前的configuration包括: smtpd_smtpd_reject_unlisted_recipient = yes local_recipient_maps = $alias_maps, ldap:/etc/postfix/ldap-passwd.cf mailbox_transport_maps = ldap:/etc/postfix/ldap-passwd.cf 当LDAP服务不可用时,邮件通过SMTP正确进入tempfails。 但是,源自该主机的邮件(例如使用邮件(1))不会。 Apr 25 15:25:33 testmail postfix/local[5972]: warning: dict_ldap_lookup: Search error -1: Can't contact LDAP server Apr 25 15:25:33 testmail postfix/local[5972]: 29B4847DB: to=<ENVELOPE_TO_ADDRESS>, orig_to=<ENVELOPE_FROM_ADDRESS>, relay=local, delay=0.12, delays=0.01/0/0/0.11, dsn=5.1.1, status=bounced (unknown user: "ENVELOPE_TO_ADDRESS_LOCALPART") 我相当肯定地图configuration正确,因为如果LDAP服务可用,所有东西都能正常工作,包括NSS由于nslcd停止而无法看到LDAP地图的情况。 将mailbox_transport_maps设置为默认值(空)会产生相同的结果,除非没有LDAP连接错误。 如果使用代理映射(8),则没有改进。 […]
我绝对把这件事情弄糊涂了,主要是因为没有find关于这个话题的真实文件。 我的盒子是Ubuntu的服务器,我的存储库是完全可浏览 – 我只是不能执行提交。 我的/etc/apache2/mods-available/dav_svn.conf如下所示: <Location /svn> DAV svn SVNPath /svn AuthType Basic AuthBasicProvider ldap AuthzLDAPAuthoritative off AuthName "Subversion Repository" AuthLDAPURL "ldap://dc0001/OU=Users,DC=dc0001,DC=unifybusiness,DC=local?sAMAccountName?sub?(objectClass=*)" AuthLDAPBindDN "CN=administrator,OU=Unify,DC=dc0001,DC=unifybusiness,DC=local" AuthLDAPBindPassword "REDACTED" #<LimitExcept GET PROPFIND OPTIONS REPORT> Require valid-user #</LimitExcept> </Location> 和我从apache日志中的拒绝看起来像这样(我试图validation自己作为“adusername”和“域\ adusername”: [error] [client 172.16.20.13] user unify\\ahand: authentication failure for "/svn/Misc": Password Mismatch [error] [client 172.16.20.13] user ahand: authentication failure […]
出于某种原因,我还没有find准确的地方,在我的Windows 7计算机上使用Network ,Samba服务器不显示。 我已经使用LDAPconfiguration了Samba,并成功完成了所有步骤。 两台计算机都在同一个工作组上,并连接到相同的路由器。 我的问题是,是什么决定了这个Samba服务器是否会在networking上显示为一台计算机? 编辑:我知道我提供的信息是非常有限的,我只是不确定我需要提供什么。 请请求任何有用的信息,我会马上发布。
我试图设置一对LDAP服务器运行389(以前的Fedora DS)高可用性使用Pacemaker与浮动IP。 另外,389支持多主复制,其中一个节点上的所有更改都自动复制到一个或多个其他节点上。 我相当接近一切工作。 故障转移工作得很好。 而多主复制工作正常。 但是,我当前的Pacemakerconfiguration会停止非活动节点上的目录服务。 这意味着备份节点没有从其他节点接收复制数据。 build立起搏器的正确方法是什么? LDAP目录服务始终在两个节点上运行 浮动IP被分配给其中一个节点 如果主节点死亡或 LDAP服务停止在主服务器上运行,则会发生故障转移 最初,我的Pacemakerconfiguration如下所示: property stonith-enabled=false property no-quorum-policy=ignore rsc_defaults resource-stickiness=100 primitive elastic_ip lsb:elastic-ip op monitor interval="10s" primitive dirsrv lsb:dirsrv op monitor interval="10s" order dirsrv-after-eip inf: elastic_ip dirsrv colocation dirsrv-with-eip inf: dirsrv elastic_ip 然后我探索了使用Pacemaker 克隆 : property stonith-enabled=false property no-quorum-policy=ignore rsc_defaults resource-stickiness=100 primitive elastic_ip lsb:elastic-ip op […]
我遇到了FreeBSD(8.2-STABLE)上的OpenLDAP使用Kerberos票证进行身份validation的一些问题。 我希望我的脑子有毛病,所以请随时告诉我,我错过了一些明显的事情。 这里是事情的地方: Kerberos工作得很好。 我可以使用kinit获取凭证,并且可以使用这些凭证进行身份validation(例如,用于ssh或telnetlogin)。 OpenLDAP已安装并与基本身份validation配合使用。 slapd显然与SASL库链接; ldd …/slapd报告: libsasl2.so.2 => /usr/local/lib/libsasl2.so.2 (0x800d07000) 存在/usr/local/lib/sasl2/slapd.conf,内容如下: mech_list: GSSAPI 支持GSSAPIauthentication的slapd报告: $ ldapsearch -x -b '' -s base supportedSASLMechanisms dn: supportedSASLMechanisms: GSSAPI 存在/etc/krb5.keytab其中包含host/<myhostname>和ldap/<myhostname> 。 示例SASL服务器/客户端似乎与gssapi身份validation正常工作: # server -p 2222 -s ldap -m gssapi 其次是: # client -p 2222 -s ldap -m gssapi 最终导致: successful authentication 但是… 我一直无法让slapd接受GSSAPIauthentication。 简单地尝试使用有效的Kerberos票证运行ldapwhoami导致以下错误: SASL/GSSAPI […]
在我的工作场所,我们使用sudo–ldap从一个集中的商店中通过networking提供sudo特权。 我们根据用户名和他们正在运行sudo的主机名来做到这一点,例如: sudoHost: foo1 sudoUser: user1 我希望能够匹配基于FQDN而不是短主机名的sudoHost属性,以便我们可以将DNS子域用于不同的环境 – 例如在开发环境中使用web1.dev.example.com , web1.test.example.com在testing环境中等等。 但是,现在sudoHost只匹配短主机名。 即这工作: sudoHost: foo1 但是这不起作用: sudoHost: foo1.dev.example.com 只有短主机名( foo1 )的问题是,它匹配所有环境 – foo1.dev , foo1.test , foo1.staging等。我希望它比这更细粒度。 是否有可能得到sudo-ldap查询基于FQDN(由hostname -f返回),而不是只是简短的主机名? 我用googlesearch没有成功。 我在man page或online上找不到任何东西; 在讨论sudoHost属性时最接近的是: sudoHost 主机名,IP地址,IPnetworking或主机networking组(以“+”为前缀)。 特殊值ALL将匹配任何主机。 没有提到FQDN与短主机名。 在configurationldap.conf部分中没有提到FQDN和简短的主机名。 有问题的主机正在运行Ubuntu 10.04。
我正在寻找一个满足以下标准的邮件列表解决scheme: 基于Active Directory或LDAP组/filter/其他的默认成员资格 默认包含的用户可以select退出 默认情况下未包含的用户可以selectjoin 邮件列表分发给所有其他用户(即这是一个组,而不是单向广播) 电子邮件只接受从名单上的用户(虽然我可以没有这个生活) 最终目标是创build一个邮件列表(或列表),默认情况下(例如,所有技术部门)包含某些员工,但用户可以select自由进出。 我希望确保所有新员工能够自动添加,但是如果他们愿意,也可以selectjoin或退出(如分技术人员或技术团队中的项目经理)。 我们同时使用活动目录和LDAP,使他们都充满了有用的数据。 我们也使用Exchange,所以如果有办法,我们可以在那里做,我会很高兴听到它。 商业解决scheme绝对不排除,但免费(如美元)将是首选。 我不介意一些手动胶水脚本,但是一切都包含在内是优选的。 Linux或Windows操作系统都可以。 TIA!