简短forms:我是否应该使用一些知名的uid来validationldap客户端,然后在该客户端中使用其他方法来validation用户input的uid和pw? 长forms:我们有一个基于.NET的商业networking产品,在许多客户站点上实现,目前使用内部用户authentication。 我正在调查使用LDAP进行身份validation目录。 由于我们的产品是在不同的环境中实现的,我希望它能够与LDAP兼容的目录服务和configuration(包括但不限于Active Directory)在最广泛的范围内兼容。 除了身份validation,我想使用用户的目录属性来确定他们是否有权使用应用程序。 我希望这会由用户在特定组中的成员身份来表示。 组的名称将是应用程序的configuration点。 目录服务仅用于确认用户标识,密码和组成员资格。 在处理用户的后续请求时,应用程序将不承担用户的身份。 所以,没有FormsAuthenticationTicket。 我的第一个问题之一来自我已经审查的身份validation示例,如http://tldp.org/HOWTO/LDAP-HOWTO/authentication.html和http://msdn.microsoft.com/en-us/library /ff649227.aspx 。 这些使用用户input的ID和密码来validationLDAP客户端。 我想这是合理的,但在我的情况下,客户端将继续进行其他LDAPsearch以确认组成员资格。 我是否需要担心最终用户可能没有足够的目录权限来进行会员资格检查? 在我看来,为ldap客户端身份validation使用保留凭据会更好,然后通过其他方法确认用户input的uid / pw。 或者,可能绑定两次,一次使用用户凭证进行身份validation,然后使用内置凭证进行search。 我应该这样做,还是只是把事情做得比他们需要的还要多?
我们有一个LDAP目录,里面有超过5万个用户。 LDAP供应商build议每个LDAP组最多限制40,000个用户。 我们有一些非活跃用户,这些用户正在被清除,但是如果我们没有低于40,000用户呢? 切换到在用户logging级别使用多值属性,而不是使用LDAP组会产生更好的性能authentication,添加新用户等? 我知道大多数服务器软件(门户,应用程序服务器等)都使用LDAP组。 但是,我们有一个标准化的Web服务接口来访问控制,而不是依靠服务器软件将LDAP组映射到安全angular色。 每个应用程序使用这个通用的“访问控制Web服务”。 在应用程序中使用安全angular色来构build每个企业应用程序内使用的细粒度ACL。
我们需要在Java的cacerts密钥仓库中为我们的一台通过LDAPvalidation的服务器颁发证书。 我们正在使用Ubuntu服务器。 我们已经成功通过更新/ usr / lib / jvm / java-6-openjdk-amd64 / jre / lib / security中的cacerts文件来完成这项工作,但是偶尔会安装Java更新并且cacerts文件似乎正在被默认一个不包含我们的变化。 这种情况不常发生,但是一旦发生,就会变得有点痛苦。 有没有更好的方法添加到cacerts的东西,以便他们不会迷失在Java更新发生? 谢谢,艾伦
我已经按照这里find的指示,直到ldapsearch用-ZZ执行。 问题是用-ZZ执行ldapsearch之后,没有更多的响应。 这个指南有没有错过? 另外,我确信我已经按照每个步骤。
我想将FreeNAS设置为所有员工访问公司相关数据的中央文件库。 我们的很多基础架构都在Google Apps上运行,包括Android手机。 我想使用相同的login名来访问这些文件。 如果在FreeNAS中不可能直接使用,也许Crowd可以在两者之间使用? 我有Atlassian Crowd的许可证,应该能够使用Google Apps对用户进行身份validation,并充当LDAP服务器。 看起来如此。 我并不是真的想找人帮我一个关于如何从头到尾做这个的教程,我只想知道这是否可能,或者我会浪费我的时间来尝试构build一些赢得的东西没有工作。
我为没有专门的系统pipe理员的小公司工作。 我的任务是将我们的文件和日历服务器升级到10.8,这是我通过升级操作系统,然后从app store安装服务器工具(苹果推荐)来完成的。 Kerberos无法正常工作。 服务器有一堆存储在Open Directory中的networking用户。 当我试图屏幕共享服务器,它使用幕后的Kerberos进行身份validation,我得到一个无效的密码通知。 最初它在Got a canonicalize request for a LKDC realm from local-ipc时失败了,并且说它找不到一个LKDC领域。 我遵循这些说明来重新生成服务器上的LKDC: 重复sudo rm -rf / var / db / krb5kdc sudo rm -rf /etc/krb5.keytab 打开钥匙串访问并search'kdc',然后删除3个com.apple.kerberos.kdc项目。 运行命令重新安装LKDC sudo / usr / libexec / configureLocalKDC,这是非破坏性的,所以可以重新运行而不会造成任何困扰。 重新绑定客户端到服务器。 之后,当我尝试login到从另一台Mac上共享屏幕时,系统日志会说明这一点: kdc[48]: AS-REQ amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA from fe80::cabc:c8ff:fec5:4b93%en0:53175 for krbtgt/LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA kdc[48]: UNKNOWN — amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA: no such […]
可能重复: nagios – Web界面:通过kerberos进行身份validationOK,cgi.cfg上的授权是什么? 我想通过使用活动目录组(下面的代码中的“NagiosWebfrontend”)来授予用户对nagios 3核心前端的访问权限。 login工作正常,如下所示: AuthType Basic AuthName "Nagios Access" AuthBasicProvider ldap AuthzLDAPAuthoritative on AuthLDAPURL "ldap://ip-address:389/OU=user-ou,DC=domain,DC=tld?sAMAccountName?sub?(objectClass=*)" AuthLDAPBindDN CN=LDAP-USER,OU=some-ou,DC=domain,DC=tld AuthLDAPBindPassword the_pass Require ldap-group CN=NagiosWebfrontend,OU=some-ou,DC=domain,DC=tld 不幸的是,每一个nagios页面都只显示“看起来好像你没有权限查看你请求的任何服务的信息……”。 我得到了提示,我缺less一个与我的login相同的nagiosconfiguration中的联系人,但创build一个与域用户同名的联系人对此问题没有影响。 但是,如果不为每个新用户手动编辑nagios.conf,find一个解决scheme是非常好的,所以pipe理员可以通过将用户设置为“NagiosWebfrontend”组来授予对nagios的访问权限。 什么是解决这个问题的最好方法?
我已经能够设置389 LDAP服务器和SSSD客户端身份validation。 但是,每次login后使用ldap用户login时都会显示错误 ttt@dsl's password: Last login: Thu Dec 6 12:52:06 2012 id: cannot find name for group ID 6006 我尝试了多个不同的用户和多种types。 我在服务器和客户端都使用Centos 6。 getent shadow不会返回ldap用户,这个function请求被Redhat拒绝。 https://bugzilla.redhat.com/show_bug.cgi?id=751291 。 或者我应该切换回nss_ldap / pam_ldap,但是我可能不会获得sssd提供的密码caching。 更新: root@dsl etc]# cat /etc/sssd/sssd.conf [domain/default] ldap_tls_reqcert = never ldap_id_use_start_tls = True cache_credentials = True ldap_search_base = dc=ma,dc=net #krb5_realm = EXAMPLE.COM #krb5_server = kerberos.example.com ldap_group_member […]
我一直在search谷歌一段时间,找出最好的方式来同步用户数据库之间的OpenLDAP和ActiveDirectory,但没有一个明确的结果! 我想要实现的是,在OpenLDAP中有用户数据库,然后将它们填充到AD中,以便这些用户可以访问我所有的应用程序(电子邮件,VPN,文件服务器,打印服务器几乎所有的开源应用程序)。基本上我正在尝试做的是创build一个单一的SignOn数据库,所有用户可以有基于Windows和Linux的应用程序相同的密码,但我也想确保密码双向更新。 如果有人能分享他的经验,我将不胜感激。 谢谢!!
我遇到问题执行一个validation绑定对服务器。 这些问题似乎没有在代码中,但也许是一个服务器问题。 就这样你知道; LDAP在Apache / PHP中启用 我以[email protected]身份进行连接 域控制器有LDAP运行,并在防火墙(Windows Server 2008 R2)中的条目问题可能在这里,这是作为一个DC设置,并在默认情况下运行LDAP。 我没有在LDAP上进行特殊configuration 我可以执行一个匿名绑定,但不是一个authentication的 我可以用这个脚本匿名绑定; $ldapconn = ldap_connect("machinename.domain.com") or die("Could not connect to LDAP server."); if ($ldapconn) { // binding anonymously $ldapbind = ldap_bind($ldapconn); if ($ldapbind) { echo "LDAP bind anonymous successful…"; } else { echo "LDAP bind anonymous failed…"; } } 但是,当我尝试使用此脚本进行身份validation的绑定时,它将失败。 // Authenticated Bind […]