我创build了几个自定义属性,并将它们添加到LDAP和FreeIPA,但是它们在用户页面中的顺序非常混乱。 我想重新安排它们,并把相关的属性放在一起(例如“启动date”应该跟着“终止date”)。 我怎样才能做到这一点??
我想通过从/etc/passwd和/etc/shadow导入数据来更新用户的密码[用户已经存在于LDAP中]。 如何做到这一点? 我将给出我的设置概述。 pipe理节点[xcat]pipe理的节点用户标识和密码,ldap不用于此目的。 我们已经通过以下给定的步骤将用户从pipe理节点导入到ldap服务器: 一个。 我从pipe理节点复制了/etc/passwd , /etc/group和/etc/shadow 。 湾 我跑了以下几点: getent passwd > /tmp/passwd.out getent shadow > /tmp/shadow.out cd /usr/share/migrationtools/ ./migrate_passwd.pl /tmp/passwd.out > /tmp/passwd.ldif ldapadd -x -W -D "cn=Manager,dc=aadityaldap,dc=com" -f /tmp/passwd.ldif 现在我们要更新密码,并保持ldap服务器与outpipe理节点同步。 请给我想法如何实现这一点。 我试图以同样的方式将用户导入到ldap,但它给我一个错误。 [root@iitmserver2 migrationtools]# ldapmodify -x -W -D "cn=Manager,dc=aadityaldap,dc=com" -f /tmp/passwd.ldif Enter LDAP Password: ldapmodify: modify operation type is missing at […]
我有一些与Dovecot / Postfix / LDAP / SASLconfiguration文件的问题:LDAP查询,SASLconfiguration其工作,但我的问题是后缀和dovecot:当我第一次loginoutlook / thunderbird / etc ..它使用户名文件夹下/ var / mail,如果我尝试发送电子邮件的make用户名@域文件夹。 我非常希望你能帮助我。 谢谢 鸽子configuration: auth_gssapi_hostname = oc.test.comp.com auth_krb5_keytab = /etc/krb5.keytab auth_mechanisms = plain gssapi first_valid_gid = 100 first_valid_uid = 100 mail_gid = vmail mail_location = maildir:/var/mail/%u/Maildir mail_privileged_group = mail mail_uid = vmail managesieve_notify_capability = mailto managesieve_sieve_capability = fileinto reject envelope encoded-character […]
我有一个LAMP服务器设置使用Apache2,mod_php和mod_authnz_ldapvalidation到Active Directory。 这承载了一个轻量级的PHP应用程序,用户input和操作数据。 访问基于'require ldap-group …'指令,并且许多组都是有效的。 我们现在需要为其他组添加访问权限,但访问权限必须是“只读”的。 在这种情况下,我们需要在应用程序级别确定用户所在的组,并根据该组成员资格禁用某些function。 应用程序是PHP,所以PHP可以轻松访问的东西是理想的。 理想的解决scheme: AD组名称apache用来授予访问权限可以很容易地暴露给应用程序,类似$_SERVER['AUTHENTICATE_SAMACCOUNTNAME'] 。 我想避免的解决scheme: 1.通过php模块访问ldap 我们已经通过apache进行身份validation,所以这会造成不必要的重复,额外的工作来实现和额外的维护开销(一个更多的绑定URL来改变)。 可行,但这是一个痛苦。 2.修改AuthLDAPURL 再一次,要求我们只为这个主机偏离我们的标准,并且保持这个前进。 可以,但稍微小一些的疼痛。 然而,添加其他ldap指令或虚拟主机更改将是微不足道的。 3.添加具有更多受限访问权限的副本 这实际上似乎是最好的主意,但是这需要我们为新组发布一个新的URL,这是一个糟糕的用户体验,可能会被拒绝。 4.基于SQL的身份validation 这么多的额外开销,这是完全不可行的这种情况下。 (而且技术上也不会回答这个问题)。
我想在不使用yast GUI的情况下在SLES 12中启用/configurationLDAP客户端。 之前12(或11 sp3,如果我记得不错)我曾经这样做: yast2 ldap configure server="myserver" base="mybase" [some other parameters] 基本上这是一个像在RHEL中configurationauthconfig的configuration authconfig –enableldap –enableldapauth –enablemkhomedir [some other parameters] 我的问题是: 有没有一种方法来configuration(或者至less只是启用)没有任何GUI交互的LDAP客户端? 我想在安装完系统之后以脚本的方式来完成。 我不想去autoyast方法。
我试图限制login到Debian 8中的特定LDAP组。系统configuration为使用OpenLDAP(PAM)作为身份validation方法。 我的目标是将系统configuration为允许所有本地用户(包括root)加上属于LDAP组列表的LDAP用户。 在服务器中,组是具有objectClass作为posixGroup的条目,因此memberUid属性包含该组中的用户。
我们有几台Linux机器(运行各种版本的Fedora和CentOS,但不应该是相关的)与本地用户。 这些本地用户中的大多数是相同的login名,但可能根据创build时间和创build人的不同而具有不同的UID / GID。 我们要消除这种情况,并在FreeIPA上落户 如何将现有的本地Linux用户映射到FreeIPA用户? 只是为了更加清楚:鉴于我有一个本地用户在机器上称为abc和FreeIPA用户名为abc ,并且ook被设置为一个FreeIPA主机,可以访问ook ,当我ssh到ook作为abc时(通过ssh abc@ook ),然后提示inputFreeIPA的密码。 更好的是,因为我为用户abc定义了一个公钥,所以我应该在没有密码的情况下login,只要我在ook上进行身份validation和授权。 ~abc是在本地帐户(在FreeIPA被引入之前)中存在的任何东西,而不是具有相同login名但是不同UID / GID的另一个帐户。 这可能吗? 显然,这与https://serverfault.com/q/754922/132934有关。
我有一个OpenLDAP服务器设置。 我目前有两个用户添加到我的服务器。 就我的testing而言,单个用户实例工作得很完美。 我的第一个问题出现在LDAP存储库上有两个用户。 直接添加我的第二个用户后,我试图login到我的Linux机器,它总是要求我改变密码,当它的第一次login(这是完美的)。 虽然,当我用我的第一个临时密码login时,可以在下面的输出中看到User2正在尝试login ,但是当它要求更改密码时, 它正在尝试将其更改为User1 。 login as: user2 Authenticating with public key "user2-rsa-key" Further authentication required user1@xxxx's password: You are required to change your password immediately (root enforced) You are required to change your LDAP password immediately. Last login: 'Date' From 'Hostname' WARNING: Your password has expired. You must change your […]
介绍 好吧,我很快就会成为新的生产networking,这个问题相当复杂(至less对我来说)。 我正在寻找来自更有经验的用户与Linux的build议,特别是安全的方式build立netwerk我是关于描述的build议。 我仍然是一个新手,但我现在负责build立这个新的networking。 目前,我正在使用一个负载均衡器,三个Web服务器和一个Apache数据服务器的设置上运行150多个网站。 现在所有的罚款,但是我正试图build立一个新的debiannetworkingnginx,因为性能的巨大增加。 我读了很多关于nginx和apache的信息,运行了几十个testing来比较两种情况下的性能,并得出结论:nginx在高压下(我们几乎只运行WordPress网站)处理请求的速度比apache快得多由于静态文件(有时在一个页面中有时超过100,浏览器可以明显但仍然可以兑现)。 当前设置 Debian 9 nginx 1.10.3 php-fpm(7.0) ldap 3 我把所有来自网站的数据都安装在每个networking服务器上的/ websites目录中。 nginx和fpm的configuration文件也位于那里的configuration目录中。 每个网站(我将使用example.com)都有自己的用户(通过ldap进行身份validation),并且位于组网站(也在ldap中)。 因此,每个用户的拥有700个所有者example.com和组网站的/ websites文件夹中都有他的主目录。 这样做是为了让每个网站都运行在他自己的孤岛上。 这意味着对于每个网站configuration我有一个php fpmconfiguration,为每个用户使用不同的套接字。 这意味着,它只能在自己的网站目录下执行php文件,对吗? 对于PHP这工作正常,我宁愿不改变这种configuration。 问题 问题在于,nginx的速度更快,因为它直接与静态文件相比,而mpm-itk模块为每个用户创build单独的进程,然后为静态文件或PHP提供服务。 Nginx做了这样的不同,通过使用不同的套接字为每个用户(至less在php),与mpm-itk模块为apache做的一样。 然而,nginx无法做到这一点,并尝试提供所有的静态文件,因为用户nginx运行(默认为www数据)。 所以输出是由PHP生成(工作正常),但nginx没有权限来显示静态文件。 我一直在努力寻找更多的一天的解决scheme,并得出了几个不同的结论。 以root身份运行 我的同事说,以root身份运行nginx将会解决这个问题,当然这样做对我来说似乎并不安全。 如果我在这里,也可能删除整个“每个网站都有自己的用户”政策。 将www数据添加到网站组 如果我可以添加一个unix用户(在这种情况下www数据)到一个LDAP组(显然我不能),我可以给组(网站)读取权限(而不是当前的700),所以它可以读取静态文件到处。 唯一的问题是,网站可以读取彼此的文件,而我试图避免。 所以这似乎也不是一个合适的解决scheme。 SELinux的 我读了一些关于SELinux的文档和介绍,对我来说,这似乎是一个解决这个问题的复杂的方法。 我从来没有使用它,并在这样的生产networking上运行这似乎不是一个好主意,因为我不知道我在做什么。 结论 那么,我现在从哪里经验丰富的用户将采取什么样的path? 在SELinux做更多的研究? AppArmor的? 还是有另一种更简单的方法来获得相同的安全apaches mpm_itk提供。 这是我有的最后一个问题,我没有find所有的configuration文件来设置这个,我需要执行的确切命令都完成了。 我希望有更多经验的人能给我一些build议,或者指点一下正确的方向。 无论如何非常感谢!
现在我已经通过SSL使用PAM + LDAP进行了工作设置,但是我只能在ldap树中passwd用户,关于如何能够passwd每个用户的任何想法? 这里是一些conf文件:/etc/pam.d/common-password:password可选pam_unix.so nullok obscure try_first_pass密码足够pam_ldap.so ignore_unknown_user密码pam_deny.so /etc/nsswitch.conf:passwd:compat ldap组:compat ldap shadow:compat ldap 主机:文件DNSnetworking:文件 协议:db文件服务:db文件ethers:db文件rpc:db文件 netgroup:nis 任何想法 ? 注意:我在每个系统上运行Debian Lenny。