我正在使用Linux平台上部署的PHP项目进行集成LDAP身份validation。 我成功地从命令行完成了ldapsearch,从php代码完成了非SSL连接。 谈到SSL连接,我无法使其工作。 我在想,如果我可以使命令行的LDAPsearch工作,处理PHP方面将不会是一个问题。 我正在使用CentOS,下面是我的search结果查询模式 – 适用于端口3268上的非SSL请求,但端口3269失败,出现两个错误ldap_start_tls: Can't contact LDAP server (-1)和ldap_bind: Can't contact LDAP server (-1) 。 我已经search了这个查询,它导致我谈论Kerboros身份validation,我不想要的页面。 任何帮助将不胜感激。 SSL [Test]$ ldapsearch -x -h ldap.internal.company.com -D "CN=personName,OU=EUS, DC=company,DC=com" -p 3269 -b "dc=company,dc=com" samaccountname=personName -Z "/etc/openldap/cacerts/test.cer" -w "<<MyPassword>>" ldap_start_tls: Can't contact LDAP server (-1) ldap_bind: Can't contact LDAP server (-1) 非SSL [Test]$ ldapsearch -x -h […]
我运行了Apache 2.2和Gitlab 6。 在Debian Wheezy上安装OpenLDAP并设置Gitlab之后,我可以使用LDAP凭据login到Gitlab。 但是我想知道是否有办法从Apache 2.2 Basic Auth提供LDAPlogin证书给Gitlab。 当在Apache和Gitlab中启用时,我不得不login两次。 (我也需要这种行为螳螂) 编辑我做了一个错误的假设。 使用LDAP向Apache进行身份validation时,这是一个HTTP基本身份validation。 因此,Gitlab必须接受来自Apache的基本身份validation凭据( HTTP_REMOTE_USER ),以基于Gitlabs自己的用户数据库login用户。 据我所见,有一些努力 ,但这个补丁只适用于Gitlab 6(我正在使用版本6.2)。 正如你可以在这里看到的最后一个评论,看来,Gitlab将为企业版本开发这样一个function。
我们目前处理帐户名称更改的方式非常繁琐,并且想知道是否有更简单的方法去处理事情。 名称更改请求通过,我们创build一个新的AD帐户,镜像旧的,然后每周一次我们链接旧邮箱到新帐户,复制其旧的个人networking驱动器(漫游configuration文件),创build新的帐户在特定飙升他们有权访问(一些Ldap,一些不)禁用旧帐户,启用新的,等待用户打电话说他们不能进入。 这个过程留下了很大的空间出错或跳过的步骤。 是否有任何缺点,只是彻底改变原来的对象,而不是创build一个全新的帐户给定的名称,显示名称? 贵公司是如何处理名称变更的? 谢谢。
我有一个Ubuntu 14.04服务器,运行isc_dhcp_server和bind9 DNS服务器。 绑定充当caching, 并在本地networking上维护.m域(和区域)。 服务器的地址是10.0.0.1 ,其FQDN是server.m 。 问题是DHCP服务器没有发送任何DDNS更新到DNS服务器。 我曾尝试以多种方式更改DHCP服务器的configuration(使用LDAP),但无济于事。 例如:我把现在是subnet一部分的所有configuration语句移到它的父group 。 两种configuration似乎同样(不)很好地工作。 我究竟做错了什么? 然而,我确实设法发送一个手动构build的DDNS更新到DNS服务器,就像这个答案显示了怎么做。 这工作完美,更新显示在我的系统日志。 即使我在nsupdate使用了错误的密钥,那也是被logging下来的。 因此,我的绑定configuration应该没问题。 按照本教程 ,我的DHCP服务器是使用LDAPconfiguration的。 生成的configuration文件(在DHCP服务器启动序列期间从LDAP树生成)看起来像下面的代码。 ( ldap-debug-file "/var/log/dhcp-ldap.conf"; ) 你可能想知道“ host在哪里? ”。 在我的LDAP目录中,这些目录位于group ,如objectClass: dhcpGroup ,但它们不出现在派生的dhcp-ldap.conf文件中。 那些使用dhcpHWAddress: ethernet 01:23:45:67:89:ab属性configuration的主机被认为是known-clients ,因为这些known-clients端的地址range 10.0.0.64 10.0.0.127 。 我configuration的所有主机也有一个dhcpOption: host-name "some-host-name"和dhcpStatements: ddns-hostname "some-host-name" 。 尽pipeknown-clients被识别,但我没有看到DHCP服务器试图更新我的日志中的任何DNSlogging的任何尝试。 log-facility local7; default-lease-time 43200; max-lease-time 86400; key DHCP_UPDATER { […]
我正在使用Exchange 2007,并创build了一个房间邮箱。 我想知道房间邮箱的设置存储在哪里? 用于存储房间邮箱信息的属性是什么? 它们是否被存储为AD属性? 我如何查看它们?
我知道有关迁移到LDAP的问题并不是什么新鲜事。 我现在已经search了很多信息,但是我发现的问题是信息在主题上似乎相当分散。 所以我希望有经验的人能指点我正确的方向。 目前的情况: 小型企业,在用户和桌面上不断增长 大约10个Fedora-20桌面/ 3个Fedora-20服务器 1 Synology NAS DS1813 + 约10个用户 所有login在本地桌面上 用户在整个机器networking上没有相同的UID和GID。 显然,使用诸如LDAP之类的集中式用户目录变得越来越有吸引力。 问题是 : 不幸的是,我无法find覆盖真实情况的整个过程的可靠和完整的指南。 设置服务器和configuration客户端:好的,从我读的,不是最简化的过程,但即使有点棘手,我相信这是可行的。 从所有机器迁移所有用户:这里是“微妙”的部分。 显然,我不想冒任何信息损失的风险。 再次,我find了一些关于迁移和MigrationTools的指南,但是这些来源都没有给我一个值得信赖的指导。 典型的情况是:有一个维基页面或者其他的一些说明和大量的评论,抱怨程序在某个时候失败了。 提出的问题往往不仅仅是给出的答案。 这怎么能让我觉得我可以安全地开始这个过程呢? 一些具体问题: 是否有一套最新的最佳实践/build议的工具,对于这样的迁移过程当然应该考虑? 特别是关注真实情况? 要遵循哪些顺序,要注意什么,如何最大限度地减less数据丢失的风险,如何最大限度地减less用户的停机时间等? 假设用户'roberto'在两台机器上存在(具有不同的ID)。 通过将两台机器上的/ etc / passwd信息迁移到LDAP,它们在整个过程中是否“合并”? 如果不是,应该做什么? 迁移是否可以分阶段进行,仅供一个用户开始使用? 这是可取的吗? 我想到的另一个(也许是天真的)方法是:创build新的LDAP用户,然后将所有文件从旧本地用户的所有权更改为这些新用户,然后删除旧的本地用户。 这是否有意义呢? 任何以前的经验? LDAP与ACL有什么关系? 他们一起去吗? 以下所需步骤是将用户的主目录集中到NFS上的共享空间。 任何指向以下步骤的指针也将受到欢迎,特别是在链接到LDAP迁移时。
我已经设置了一个Active Directory服务器并configuration了LDAP-over-SSL,这对于域中的机器来说工作正常,但是因为它使用由AD的证书服务提供的证书,所以在其他地方引发了问题。 我正尝试使用openssl s_client从Debian框连接到LDAP-over-SSL端口,并且出现此错误: Verify return code: 21 (unable to verify the first certificate) 我已将新的根CA证书添加到/usr/share/ca-certificates/extra/my-new-root-ca.crt并运行update-ca-certificates ,并使用以下命令: openssl s_client -CAfile /usr/share/ca-certificates/extra/my-new-root-ca.crt -showcerts -connect my.domain.com:636 而这个: openssl s_client -showcerts -connect my.domain.com:636 在输出的顶部将这些错误传给我: depth=0 verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 verify error:num=27:certificate not trusted verify return:1 depth=0 verify error:num=21:unable to verify the first certificate […]
当我用root帐户ssh到我的CentOS 6服务器时,一切工作正常。 但是,当我尝试与LDAP用户,我被拒绝权限。 我尝试使用rootlogin,然后su到LDAP用户,以查看用户是否存在,并确实存在。 苏看起来工作正常,我最终在LDAP用户家庭目录,所以家里的目录也在那里。 我想这一定是与ssh有关,所以我看着/var/log/secure : Feb 11 10:49:46 centosy sshd[1157]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=harbinger.mosek.zentyal user=tomas Feb 11 10:49:46 centosy sshd[1157]: pam_ldap: ldap_search_s No such object Feb 11 10:49:47 centosy sshd[1157]: Failed password for tomas from 172.16.0.179 port 47961 ssh2 Feb 11 10:50:16 centosy sshd[1158]: Connection closed by 172.16.0.179 […]
我正在尝试为我们的域中的Active Directory启用SSL。 我遇到的问题是,服务器无法识别我为它所做的证书。 每当我尝试使用ssl(使用ldp.exe)来查询服务器,我得到事件36886,基本上说,在服务器上找不到合适的证书。 我已经通过这篇文章进行故障排除,这里是我得到的 我已将证书放在本地计算机的证书存储区的“个人”容器下。 我在Linux机器上使用openssl作为CA,并将其证书放置在“受信任的根证书颁发机构”容器下。 我的域控制器FQDN位于证书的主题中。 在extendedKeyUsage部分中也添加了一个备用名称,查询时也不起作用。 我在EnhancedKeyUsage部分有serverAuth和clientAuth 当我双击mmc控制台中的证书时,它在底部指出“你有一个对应于这个证书的私钥”, 然而,按照KB指令,我运行certutil -verifykeys命令并返回The system cannot find the file specified 。 当我双击证书并去authenticationpath,它列出我的CA,然后证书,然后下面说这个证书是好的,所以我假设这意味着链是有效的。 这是电脑个人存储中的唯一证书 当我做了类似certutil -verifystore MY 0事情时,它列出了证书,唯一的抱怨是关于撤销列表,因为我从来没有做过crl,但是仍然认为证书在最后是有效的。 我猜测它失败的原因与certutil -verifykeys失败的原因certutil -verifykeys ,但是当我得到我所做的错误时,我一直无法find它的实际含义。 任何人都可以指向正确的方向吗?
我正在使用FreeIPA,并且已经成功扩展了它的属性,但是注意到Python插件中添加到FreeIPA中的validationfunction仅适用于通过命令行input的值。 通过networking用户界面input的值按原样存储,无需validation。 因此,我想知道将下列修改添加到服务器: 启用FreeIPA Web UI以在存储属性值之前validation属性值。 创build一个由LDAP使用的新语法types(如血型的语法)。 将Web UI中的属性文本框更改为下拉列表。