对于LDAPpipe理员帐户,属性sambaLMPassword / sambaNTPassword的最低权限是什么,以便Samba只是启用它来用于ldapsam后端的身份validation。 这似乎是auth是不够的,这是真的吗?
我目前正在debian / wheezy主机上运行samba-3.5.6,作为我们部门的w32客户端的文件服务器。 身份validation是通过OpenLDAP完成的,其中每个用户dn都有一个objectclass:sambaSamAccount(持有smb凭证)和一个objectclass:shadowAccount / posixAccount用于“普通”身份validation(例如,pam,apache,…) 现在我们想转储我们部门的用户数据库,而是使用我们的上游组织的用户数据库进行身份validation。 这些用户帐户在novell-edirectory中进行pipe理,我已经可以使用pam进行身份validation(例如,在另一台主机上使用ssh-logins进行身份validation)。 我们的上游组织提供基于smb / cifs的访问(通过一些novell服务)到一些目录,我可以通过smbclient从我的Linux客户端访问。 我目前无法做到的是使用upstream-ldap(eDirectory)来validation我们机构的桑巴舞: 我configuration我的samba服务器对上游ldap服务器auth: passdb backend = ldapsam:ldaps://ldap.example.com 但是当我尝试validation用户,我得到: $ smbclient -U USER \\\\SMBSERVER\\test Enter USER's password: Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.6.6] tree connect failed: NT_STATUS_ACCESS_DENIED 日志文件显示: [2012/10/02 09:53:47.692987, 0] passdb/secrets.c:350(fetch_ldap_pw) fetch_ldap_pw: neither ldap secret retrieved! [2012/10/02 09:53:47.693131, 0] lib/smbldap.c:1180(smbldap_connect_system) ldap_connect_system: Failed to retrieve password from secrets.tdb […]
我想在DB2中configurationLDAPauthentication。 从IBM 文档中,我了解到,首先我需要在操作系统中configurationLDAP身份validation。 但在文档中描述了为操作系统configurationLDAP的旧方式。 RedHatbuild议只使用新的SSSD工具。 因此,我使用SSSD(但没有SSL,在authconfig文件FORCELEGACY参数设置为YES )对其进行了configuration。 现在我可以以LDAP用户身份login到系统。 但IBM文档中的步骤(步骤1.e )之一假定我们使用旧的LDAPconfiguration方式(我这样认为)。 所以我不能在DB2中正确configurationLDAPauthentication。 任何人都可以在我们使用SSSD时帮助我在DB2 9.7上configurationLDAPauthentication? 我使用CentOS 6.3。
我想知道是否有可能使用LDAPencryption主密码teamcity ? 这个想法是能够使用LDAP和Teamcity,而无需访问LDAP主密码(创build/编辑知道此密码的用户)。
我即将build立一个LDAP目录。 它被用作一个工具来将用户权限从Web应用程序传递到WebDav文件系统访问,例如,将用户添加到Web平台应允许使用相同凭证login到文件系统。 没有其他用途的意图。 遵循这个鼓励使用属性c , o , ou等dc 德语教程 ,我configuration了以下后缀和root: suffix "ou=webtool,o=myOrg,c=de" rootdn "cn=ldapadmin,ou=webtool,o=myOrg,c=de" 服务器启动,我可以连接到LDAPpipe理员 ,它报告“LDAP错误:对象缺乏”。 那么,还没有任何物体。 我现在想要从shell创build根和pipe理元素。 我创build了一个init.ldif文件: dn: ou=webtool,o=myOrg,c=de objectclass: dcObject objectclass: organization dc: webtool o: webtool dn: cn=ldapadmin,ou=webtool,o=myOrg,c=de objectclass: organizationalRole cn: ldapadmin 试图加载文件运行到一个错误,告诉我, ou是不允许的: server:~ # ldapadd -x -D "cn=ldapadmin,ou=webtool,o=myOrg,c=de" -W -f init.ldif Enter LDAP Password: adding new entry "ou=webtool,o=myOrg,c=de" ldap_add: Object […]
我们公司有多个目录(Active Directory,Domino,OpenDS)。 多米诺骨牌(似乎AD)给予同一用户(别名)多个login的能力。 有没有办法实现与OpenDS目录相同的东西? 我试图把一个用户(这是授权)多个cn没有成功:用户只能绑定与他的主cn。 我也看看LDAP别名对象,但我发现一个资源,说明它显然是有限的search,而不是绑定。 Active Directory 有类似的问题,有一个工作的解决scheme。
我正在运行以下命令尝试从我的域中导出所有组。 ldifde -f export_Groups_NO_Members.ldf -s XXX -d“dc = XXX,dc = XXX,dc = XXX”-p subtree -r“(&(ObjectCategory = group)(objectclass = group)(name = *))” l“cn,name,sAMAccountName,grouptype,objectclass”-jc:\ 当我运行这个,我得到了错误无效参数:错误的参数'-r',但我几乎肯定LDAP语法是正确的。 有人可以看到这里有什么问题吗?
可能重复: 一个分配SSH公钥的系统 在我们的系统上需要帮助pipe理开发者authentication 我们有多个CentOS服务器(数据库,Web,Redis等),能够以集中(希望)简单的方式控制对它们的访问是非常重要的。 我们现在使用的是authorized_keys文件,我们从开发人员生成的密钥中复制密钥数据。 但是,这样做的可扩展性和灵活性并不高,因为无论何时有人进入/离开团队,我们都需要更新多台服务器。 我们可以利用的一个可能性是在执行sshd restart之前,将一个集中式文件复制到每个服务器上。 然而,我感兴趣的是在确定是否有更好的模式或替代方法来做这件事情之前,我会投入时间来实现这一点。 通常authentication多个用户的模式是什么,特别是在多服务器环境中? 一个解决scheme的红利点也让我们定义某种angular色,封装访问(即前端开发人员可能不需要访问数据库服务器,作为一个非常人为的例子)。 非常感谢!
我需要在现有的ldap中存储账户创build和失效date。 没有一个标准的现有模式似乎很适合这个法案,甚至没有ppolicy或桑巴。 我到目前为止所遇到的答案是:“使用自定义模式”。 很好,但我似乎无法find一个现有的自定义架构来保存帐户创build和过期date。 舒服地说,有人已经不得不在他们的LDAP中存储这种信息,因此使用(甚至可能创build)这样的架构,不是吗? 如果我找不到一个,这是否意味着我将不得不写我自己的自定义模式和所有? 好像我会再次发明轮子,坦率地说,我确定我错过了一些东西,但是我根本找不到一个现有的模式(或者至less我可以从中获取现有的属性和objectClasses和plonk他们在我的模式…)。 我在这里错过了很明显的东西吗 谢谢。
我想这个问题更像是我可以使用单个字作为用户的默认AD用户组(目前是“AD \ Domain Users”)。 如果可以,我想使用“用户”或类似的东西。 我怎么能这样做?