我有一个使用Apache Directory Server 1.5.7运行的LDAP服务器。 如何备份和恢复数据?
我有一个小的Apache网站,我已经成功地使用mod_authz_ldap实现了基本的LDAPauthentication。 但是,我在尝试实现两个级别的连续authentication时遇到问题。 一旦一个有效的用户被authentication一次,他们从来没有被提示进行二次authentication,这对于该网站的特定部分应该是必需的。 也就是说,所有有效的用户都可以login,但是只有这些用户的一部分访问站点的部分内容时才会重新进行身份validation。 例如,我要求访问example.com的每个人都被authentication为有效的LDAP用户。 然后我在example.com/websvn上有一个subversion版本库,我只想限制为“开发”组,这是有效用户的一个子集。 我的问题是,一旦用户在example.com上被成功validation为有效,那么当他们导航到example.com/websvn时,他们永远不会被重新提示为“开发”用户进行身份validation。 即使有效用户确实不在开发组中,也会发生这种情况。 我可以通过直接连接到example.com/websvn来testingrepo身份validation,但是当我第一次在example.com进行身份validation时,然后访问example.com/websvn,我被授予了访问权限,不会提示input密码。 我如何正确实施这样的两阶段authentication? 我希望所有有效的用户访问主站点,但只有开发用户才能访问websvn。 所以有效的用户必须重新validation以检查他们是否在开发组中。 谢谢!
根据这个问题 ,我们正在将sudoers文件迁移到Active Directory。 根据文档,这需要导入与标准安装sudo一起提供的schema.ActiveDirectory LDIF。 我们的Windows域在Windows Server 2003上。 我遇到了将LDIF架构导入Active Directory的错误。 第144行的错误是“参数不正确”。 这是144行以后的内容: dn: CN=sudoRole,CN=Schema,CN=Configuration,DC=X changetype: add objectClass: top objectClass: classSchema cn: sudoRole distinguishedName: CN=sudoRole,CN=Schema,CN=Configuration,DC=X instanceType: 4 possSuperiors: container possSuperiors: top subClassOf: top governsID: 1.3.6.1.4.1.15953.9.2.1 mayContain: sudoCommand mayContain: sudoHost mayContain: sudoOption mayContain: sudoRunAs mayContain: sudoRunAsUser mayContain: sudoRunAsGroup mayContain: sudoUser rDNAttID: cn showInAdvancedViewOnly: FALSE adminDisplayName: sudoRole adminDescription: […]
看起来好像需要在UNIX客户端和MSAD上的用户名以匹配kerberosauthentication才能运行(我认为也是LDAPauthentication)。 这是绝对的吗? 我们的基础设施所有者习惯于在没有警告的情况下更改samaccountName – 在这种情况下实现UNIX / MASD Kerberos / LDAP身份validation会变得有点噩梦。 我们可以改变用户映射模块来引用不同的AD属性(不会改变)吗?
我有一些用户在一个LDAP目录,我想有一个普通或htpasswd文件中的其他用户可以login,虽然与LDAP服务器的连接不可用。 lighttpd中的同一主机是否可以拥有多个身份validation后端?
服务器: DALCON2 (Windows 2008R2,DC,NPS) DALCON3 (Windows 2008R2,DC) DALCON-WWW (Ubuntu服务器) 目标: 在DALCON-WWW ,使用带有TLS的adLDAP连接到域控制器LDAP服务 如果我连接到DALCON2 ,我得到: Server returned an error: [2] ldap_start_tls(): Unable to start TLS: Server is unavailable 。 如果我连接DALCON3 ,它的工作原理。 DALCON2有一个Network Policy Service (NPS)来pipe理VPN连接。 政策中没有任何具体的“否认”。 LDAP端口已打开,将在不使用TLS的情况下响应,但无法使用(需要更强的authentication)。 我在NPS中找不到与LDAP或TLS相关的任何内容。 DALCON2可能出现什么问题,我无法连接到它? 编辑 我有更多的debugging信息: 警告:ldap_start_tls():无法启动TLS:服务器在第12行的/var/www/dalcon-inc.com/dev/test/test_ldap.php中不可用 绑定到LDAP的错误:00002028:LdapErr:DSID-0C0901FC,注释:如果SSL \ TLS尚未在连接上处于活动状态,则服务器需要绑定才能打开完整性检查,数据0,v1db1 编辑 在组策略pipe理编辑器:计算机configuration,策略,Windows设置,安全设置和本地策略中,然后单击安全选项。 在右窗格中,双击域控制器:LDAP服务器签名要求策略。 同时将其设置为“无” DALCON2 : 平原:好的 SSL:绑定到LDAP的错误:推送function中的错误。 /收到一个意外长度的TLS数据包。 TLS:警告:ldap_start_tls():无法启动TLS:服务器不可用 DALCON3 […]
我正在为Apache2 HTTPD进行LDAP身份validation,并想知道是否有可能让Apache根据组进行LDAPvalidation,还取决于提供的URL。 例如,如果用户请求以下内容: http://www.example.com/(组名)/ Apache将请求凭证并检查LDAP目录服务(OpenLDAP),以确保用户属于“<a group name>”组。 本质上,用户应该能够请求任意资源,Apache应该能够获取URL,提取被请求的特定资源,并确保用户属于同一个名称的组。 我找不到任何有关从URL请求中提取信息并处理Apacheconfiguration文件中的信息的相关信息。 有没有人做过类似的事情?
如何确定上次使用Open Directorynetworking帐户的时间? 我正在完成用户/组审核,并正在寻找最近未使用其networking帐户的用户。
我已经使用本指南为Ubuntuconfiguration了LDAP身份validation。 身份validation的作品,但我有重新启动和暂停后连接问题。 虽然PC是使用静态IPconfiguration的,但在login屏幕加载后,PC仍需要10-15秒才能启动并运行networking接口。 因此,当我在启动后立即input我的用户名和密码时,login屏幕会挂起并提示消息Invalid user/pw 。 那么当服务器不可用时,是否有一个简单的解决scheme来configurationldap-auth来使用本地caching? 还是有可能加快networking初始化? 编辑 在/etc/network/interfaces添加一个静态configuration后,我在login屏幕上有一个正在运行的networking连接,但不幸的是启动现在需要10-15秒(Boot-Splash-Text:“等待networking连接”)
我有完整的pipe理员权限访问我正在尝试进行身份validation的AD '08服务器。 错误代码意味着无效的凭据,但我希望这是像我input错误的密码一样简单。 首先,我有一个工作在相同的域的Apache mod_ldapconfiguration。 AuthType basic AuthName "MYDOMAIN" AuthBasicProvider ldap AuthLDAPUrl "ldap://10.220.100.10/OU=Companies,MYCOMPANY,DC=southit,DC=inet?sAMAccountName?sub?(objectClass=user)" AuthLDAPBindDN svc_webaccess_auth AuthLDAPBindPassword mySvcWebAccessPassword Require ldap-group CN=Service_WebAccess,OU=Groups,OU=MYCOMPANY,DC=southit,DC=inet 我展示了这一点,因为它可以在不使用任何Kerberos的情况下工作,因为许多其他向导都build议将系统身份validation用于AD。 现在我想把它翻译成pam_ldap.conf来与OpenSSH一起使用。 /etc/pam.d/common-auth部分很简单。 auth sufficient pam_ldap.so debug 这行在任何其他之前被处理。 我相信真正的问题是configurationpam_ldap.conf。 host 10.220.100.10 base OU=Companies,MYCOMPANY,DC=southit,DC=inet ldap_version 3 binddn svc_webaccess_auth bindpw mySvcWebAccessPassword scope sub timelimit 30 pam_filter objectclass=User nss_map_attribute uid sAMAccountName pam_login_attribute sAMAccountName pam_password ad 现在我一直在使用wireshark监视AD主机上的ldapstream量。 我从Apache的mod_ldap中捕获了一个成功的会话,并将其与来自pam_ldap的失败会话进行了比较。 第一个绑定请求是使用svc_webaccess_auth帐户成功的,searchrequest是成功的,返回1的结果。使用我的用户的最后一个绑定请求失败,返回上述错误代码。 […]