据我所知,如果您尝试使用电子邮件地址(例如[email protected])进行身份validation,则ldap会假定在ldap目录中的域“server.com”(即DC = com,DC = server)中有一个用户“me” 。 我想知道是否有可能让用户使用他们自己的电子邮件帐户(如[email protected])login到我的LDAP服务器,即使我没有所有的电子邮件地址域名在域名ldap目录中定义? 任何指针赞赏。
我是一个完全LDAP新手,可能犯了一些非常愚蠢的错误,所以希望有人能指出我的正确方向。 我在Linux下从openldap 2.4.23运行slapd。 我遇到的问题是,从我在slapd.conf(cn = Manager,dc = example,dc = com)中设置的pipe理帐户中,我可以毫无问题地设置最终用户的密码: # ldappasswd -D 'cn=Manager,dc=example,dc=com' -W -S 'uid=tsuraan,ou=People,dc=example,dc=com' 但是,从最终用户的angular度来看,我可以运行search等,但我不能更改密码: $ ldapsearch -x -D "uid=tsuraan,ou=People,dc=example,dc=com" -W Enter LDAP Password: <results> $ ldappasswd -D 'uid=tsuraan,ou=People,dc=example,dc=com' -W -S 'uid=tsuraan,ou=People,dc=example,dc=com' New password: Re-enter new password: Enter LDAP Password: Result: Insufficient access (50) 我也尝试使用ldapmodify直接更改userPassword属性,并提供相同的访问权限不足(50)消息。 我的slapd ACL部分如下所示: access to * by dn="uid=root,ou=People,dc=example,dc=com" […]
我有一个关于LDAP,pamconfiguration文件和nsswitch.conf的两种configuration的技术和精确的问题。 至于passwd_compatconfiguration和pam_list的区别是什么? 我很困惑…提前感谢。 菲利波
我正在为我的/var/svn目录设置LDAPS身份validation。 这里是我对Apache的configuration文件: LDAPTrustedGlobalCert CERT_BASE64 /etc/openldap/cacerts/Cert.pem <VirtualHost *:80> ServerName myserver.com DocumentRoot /var/www <Location /svn> DAV svn SVNParentPath /var/svn AuthType Basic AuthBasicProvider ldap AuthLDAPBindDN "mybind_dn" AuthLDAPBindPassword "mypassword" AuthLDAPURL "ldaps://my_ldap_server:636/credentials" AuthName "Authorized Personnel Only" Require valid-user </Locaion> </VirtualHost> 当我尝试访问“myserver.com/svn”时,出现“内部服务器错误”(500),在错误日志中什么也没有显示。 我知道LDAPS正在操作系统级别工作(我有一个testing脚本来证实这一点),所以我真的很茫然。 有任何想法吗? 编辑:如果我省略LDAP身份validation,只使用基本身份validation(使用.htpasswd文件),它工作得很好。
我一直在做一些testing与ldapadd和ldapmodify ,我注意到的是: – 如果条目已经存在, ldapadd将会失败: => hdb_tool_entry_put: txn_aborted! DB_KEYEXIST: Key/data pair already exists (-30995) ldapadd: could not add entry dn="[email protected],ou=People,dc=example,dc=org" (line=1): txn_aborted! DB_KEYEXIST: Key/data pair already exists (-30995) – 如果条目没有, ldapmodify将会失败: modifying entry "[email protected],ou=People,dc=example,dc=org" ldap_modify: No such object (32) matched DN: ou=People,dc=example,dc=org 因此,在现有的数据库上恢复备份时,如果存在一些现有的和缺less的条目,则不能只使用这些工具中的任何一个,则需要创build一个例程: – 删除数据库中已经存在并存在于备份中的所有用户,然后使用ldapadd导入。 – 或将备份ldif文件转换为ldapmodify兼容(根据用户是否存在添加或修改)并使用ldapmodify 。 问:没有一种工具可以帮你照顾吗? 其他信息:在ubuntu server 10.04上运行openldap 2.4.21
我正在尝试为Linux服务器find一个统一的身份validationscheme来对Active Directory进行身份validation。 主要是Ubuntu和CentOS服务器。 我需要的: 免费,稳定的解决scheme 统一的UID / GID,使得文件夹的权限是相同的,不pipe它从哪个服务器上挂载 支持recursion组和组映射(EG sudo权限和login权限,以便只允许组X的成员login) 主目录crossmount,使主目录跨服务器跨越统一体验 统一支持至lessUbuntu和CentOS(理想情况下任何味道) 保持本地帐户(至less根) 理想情况下,一个解决scheme不需要计算机帐户,只需使用LDAP绑定进行身份validation,然后执行组查找授权(不知道这将如何影响其他要求) 我发现的替代scheme是: PowerBroker®身份服务开放版(以前也是开放的) Centrify Express 对Winbind 我曾经有过一次糟糕的经历(authentication是随机阻止sshlogin),但我还没有testing更新的版本。 Centrify我还没有尝试,但似乎很有希望,虽然我还没有find一个好的资源,如何实现我的目标。 Winbind我猜是最可定制的,至less为了完成我的最后一点。 我接受任何可以解决我的问题的解决scheme,但是更重要的是,我正在寻找关于如何在Ubuntu和CentOS上完成所有上述内容的安装指南 有没有免费的工具可以解决我的要求相对容易,如果是这样,什么是一个有效的configuration这样做?
在Windows Server 2003 Active Directory中,没有用户界面来访问FullName字段 – 请参阅此博客post以获取关于此的讨论,以及“显示名称”与“全名”的不同之处。 在Windows Server 2008 Active Directory中,可以在ADUC的“用户”窗口的“常规属性”部分中看到“全名”字段。 “全名”字段用于全局地址列表中。 我发现在某些情况下,全名字段已经填入了用户名,而不是全名,这意味着用户无法在GAL中find这些同事,因为他们是乱序的。 我想从AD中提取用户名和FullName字段,以便我可以find两个字段相同的所有帐户(我不试图与LDAP查询进行此比较 – 我可以在Excel中提取一次所有的值)。 但是,我无法find任何地方,我实际上是否会提及标有“全名”的字段。 有人知道吗?
我试图设置ConTagged – LDAP地址簿,但我有一些问题的一些属性。 问题是,其中一些是未定义的,他们似乎并没有在inetorgperson.schema。 我如何设置这些自定义属性? 作为参考,这里是每当我改变一个联系人,我收到的确切的错误。 The LDAP server returned the following errors Invalid syntax Undefined attribute type(del anniversary) Undefined attribute type(del marker) Object class violation(mod c) Undefined attribute type(del custom1) Undefined attribute type(del custom2) Undefined attribute type(del custom3) Undefined attribute type(del custom4)
我想用Apache 2.4设置LDAPauthentication。 LDAP Sever是Windows 2008。 我的.htaccess看起来像: AuthType Basic AuthName "Login" AuthBasicProvider ldap AuthLDAPBindDN "CN=user,OU=Dienstkonten,DC=company,DC=lan" AuthLDAPBindPassword "pwd" AuthLDAPURL "ldap://dc.company.lan/DC=company,DC=lan?sAMAccountName?sub?(objectClass=*)" NONE require ldap-group CN=Login-Group,OU=Dienstkonten,DC=company,DC=lan 但是我总是得到错误 : (70023)This function has not been implemented on this platform: AH01277: LDAP: Unable to add rebind cross reference entry. Out of memory? 我错了什么? 我如何使用ldap和apache 2.4来validation用户?
我使用Kerberos和LDAP在计算机上设置了远程login。 我还configuration了NFS挂载到/home以便用户的主目录在他们login的任何地方都是一样的。 Kerberos身份validation似乎正常工作。 我可以使用kinit user1 (假设user1是一个远程用户)获取一张票,并使用klist查看票证。 我很确定LDAP正在工作,因为我看到getent passwd的正确输出,它列出了所有的远程用户。 列出文件时, /home的内容会出现。 问题是:当我尝试以远程用户身份login时,会话立即结束。 为什么不让我保持login? 以下是login尝试后的/var/log/messages的输出: # /var/log/messages: Oct 9 10:57:53 tophat login[6472]: pam_krb5[6472]: authentication succeeds for 'user1' ([email protected]) Oct 9 10:57:53 tophat login[6472]: pam_krb5[6472]: pam_setcred (establish credential) called Oct 9 10:57:53 tophat login[6472]: pam_krb5[6472]: pam_setcred (delete credential) called 编辑: 发行版是openSUSE。 以下是/etc/pam.d中的common-*文件: # /etc/pam.d/common-account account required pam_unix.so # […]