我们有一个OpenLDAP(2.4.45)服务器,其中包含我们所有的用户,组,sudo规则等。 我需要将新应用程序连接到此服务器,但是此应用程序要求匿名用户可以读取属性(它将知道它需要读取属性的确切DN)。 现在假设结构为: o=Example(dc=example,dc=com) ou=People uid=user1 uid=user2 ou=Groups cn=group1 cn=group2 我需要限制匿名用户如果知道确切的dn(比如dn =“uid = user1,ou = People,dc = example,dc = com”),并且完全无法发现其他logging(如果他们不知道确切的dn给他们)。 通过OpenLDAP文档阅读我假设下面的ACL应该工作: olcAccess: {0}to dn.children="ou=Groups,dc=example,dc=com" by * read break olcAccess: {1}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by anonymous none stop by * read 然而,似乎break和stop不产生预期的结果作为直接查询“cn = test,ou =组,dc = example,dc = com”导致No such object (32) 什么是实现上述的正确方法?
我对ldap完全陌生(在这种情况下是openldap)。 我的老板给了我创build第二个ldap服务器的任务,并将数据从现有的ldap服务器复制到我创build的新服务器上。 我能够通过阅读文档和做很多谷歌来实现这一点。 无论如何,对于新的ldap服务器,我从现有的ldap服务器复制了slapd.conf文件,然后运行'slaptest -f slapd.conf -F slapd.d',这就创build了cn = config。 我的老板testing了环境。 它工作正常,但现在他要求我做一个从现有的ldap服务器到刚创build的新的单向同步。 再次阅读文档,并做了很多谷歌,我想我终于知道需要做什么。 这个新的ldap服务器没有被使用,我不知道如何使用ldapmodify或任何ldap客户端工具来添加下面的参数。 实际上我打算删除slapd.d目录中的内容,用新参数更新slapd.conf文件,然后重新运行'slaptest -f slapd.conf -F slapd.d'来重新创buildcn = config新的参数。 我知道这不是最好的办法,但它应该工作。 – 同步消费者 的syncrepl 摆脱= 123 键入= RefreshandPersist 提供商= LDAPS://ldap-master.example.com:389 bindmethod =简单 searchbase = “DC =例如,DC = COM” 重试=“10 6 60 +” ATTRS = “CN,SN,显示名,给定名称,邮件,UID” 指定binddn = “CN =pipe理器中,DC =testing,DC =例如,DC = COM” 凭证= […]
MS SSRS可以使用除AD之外的LDAP服务器进行身份validation吗? 这是一个简单的configuration,还是把自己挖到一个洞里?
我正在对Novell eDirectory服务器进行直通authentication。 目前我执行以下请求: results = server.search_s( self.basedn, ldap.SCOPE_SUBTREE, '(objectClass=user)', attrlist=['uid', 'networkAddress']) (这是Python的,让我知道如果你想我解释它。) 这个方法的问题是每个查询都会返回服务器上的每一个用户,然后我必须循环查找我感兴趣的用户。我caching它,但是我真正想要做的是这个: results = server.search_s( self.basedn, ldap.SCOPE_SUBTREE, '(&(objectClass=user)(networkAddress=#9#\x00\x00\xc0\xa8\n\x1e))') (那个古怪的#9#东西是如何存储的IP – 它实际上是192.168.10.30) 当我做一个查询networkAddress我得到一个'Invalid Syntax'错误(即使我做了像networkAddress=blah ,没有所有的东西)。 有没有办法做一个特定的IP的LDAP查询?
我有几台电脑…只有其中一台无法对我的交换机或TFS服务器进行身份validation。 (其中2台计算机在我家试图连接到我们的交换/ tfs服务器在工作,其中之一作为问题)。 其他几名员工没有任何连接问题。 我看到的错误是 401 2 2148074254 401 1 0 401 1 2148074252 经过大约2天的狩猎,我准备好重新开始计算机,并从头开始。 据我所知他们是一样的。 我无法使用Firefox连接到Exchange OWA,但不能连接到IE。 TFS也一样。 我已经重置IE浏览器(使用这个工具在这个URL: http : //support.microsoft.com/kb/923737 – 如果你没有看到它,你应该阅读说明,这是相当有趣的)。 我已经比较了可信的网站设置之间的工作和没有。 我也比较了“先进”的设置,可以find没有区别。 凭据完全从第二台计算机,这消除了防火墙相关的过滤问题。 我完全不知道还有什么可以尝试的。 有没有人有任何想法?
我刚刚安装了Oracle Weblogic Server。 服务器开始罚款,我可以到达pipe理控制台并使用它,但是一旦我部署了控制台,我就开始在服务器上获得exception,并以100%挂起处理器。 期待是: <Nov 4, 2009 11:14:00 PM EST> <Critical> <EmbeddedLDAP> <BEA-000000> <java.lang.NegativeArraySizeException at com.octetstring.vde.EntryChanges.readBytes(EntryChanges.java:274) at com.octetstring.vde.EntryChanges.<init>(EntryChanges.java:72) at com.octetstring.vde.replication.BackendChangeLog.getChange(BackendChangeLog.java:548) at com.octetstring.vde.replication.Replicator.run(Replicator.java:180) at com.octetstring.vde.replication.Replication.run(Replication.java:339) 每秒钟都会重复例外。 我还没有尝试使用LDAP服务器的任何东西。 我该如何解决?
我已经在ldapsam环境中安装了samba服务器(3.4.0,Ubuntu),突然一个login的用户被自动添加到grups 10002,10003和10005.这是不好的,因为这些gid被其他用户使用(默认情况下,我们有uid = gid),所以这些用户可以看到错误的目录等 桑巴3.0.33没有这样做。 经过大量的debugging,我发现这对应于: sid S-1-1-0 -> gid 10002 sid S-1-5-2 -> gid 10003 这些可能对应于:“每个人”和“networking摆脱”(???) 而我找不到10005的SID值,大概可以用gdbfind它… 有没有办法将这些价值至less重新映射成无害的东西? 最好的办法是不要让用户拥有这些组织。
我想我的.conf文件设置是正确的,但似乎我无法validation我的密码。 我知道密码是正确的,因为我已经login了。 查看Apache日志,看起来好像Apache能够查询LDAP服务器,但它不能匹配密码。 [Wed Feb 10 10:51:53 2010] [debug] mod_authnz_ldap.c(377): [client 10.0.xx] [1544] auth_ldap authenticate: using URL ldap://ldapserver:389/DC=corp,DC=example,DC=net [Wed Feb 10 10:51:53 2010] [warn] [client 10.0.xx] [1544] auth_ldap authenticate: user jdoe authentication failed; URI /sitejunk [LDAP: ldap_simple_bind_s() failed][Invalid Credentials] [Wed Feb 10 10:51:53 2010] [error] [client 10.0.xx] user jdoe: authentication failure for "/sitejunk": Password Mismatch […]
我通过NSS使用冗余的OpenLDAP服务器对PAMvalidation和目录服务。 到目前为止,它一直是100%可靠的,但是永远没有完美的运行。 我现在应该采取哪些步骤,以便我有机会从LDAP服务器故障中恢复? 在我的非正式testing中,似乎甚至已经通过身份validation的shell在很大程度上是无用的,因为所有用户名/用户名查找都会挂起,直到目录服务器回来。 到目前为止,我只想出两件事: 不要在LDAP服务器上使用NSS-LDAP和PAM-LDAP。 在所有只接受来自本地子网的公钥authentication的盒子上创build一个根级帐户,并保护好密钥。 我不确定这样做会有多好,因为一旦我login了,我怀疑我将无法完成任何事情,因为所有的用户名查询都将被挂起。 还有其他build议吗?
我正在设置SquidGuard(1.4),以针对Active Directory域validation用户,并根据组成员资格应用ACL; 这是我的squidGuard.conf的一个例子: src AD_Group_A { ldapusersearch ldap://my.dc.name/dc=domain,dc=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=Group_A%2cdc=domain%2cdc=com)) } src AD_Group_B { ldapusersearch ldap://my.dc.name/dc=domain,dc=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=Group_B%2cdc=domain%2cdc=com)) } dest dest_a { domainlist dest_a/domains urllist dest_b/urls log dest_a.log } dest dest_b { domainlist dest_b/domains urllist dest_b/urls log dest_b.log } acl { AD_Group_A { pass dest_a !dest_b all redirect http://some.url } AD_Group_B { pass !dest_a dest_b all redirect http://some.url } […]