好消息是,我通过在Red Hat Directory Server上工作的ldap获得了sudoers 。 这个软件包是sudo-1.7.2p1。 我在LDAP组中有一些名为wheel的LDAP / Kerberos用户,并且在LDAP中有这个条目: # %wheel, SUDOers, example.com dn: cn=%wheel,ou=SUDOers,dc=example,dc=com cn: %wheel description: Members of group wheel have access to all privileges. objectClass: sudoRole objectClass: top sudoCommand: ALL sudoHost: ALL sudoUser: %wheel 所以,团轮成员通过sudo具有pipe理权限。 这已经过testing,工作正常。 现在,我已经设置了这个sudo权限,允许一个名为Administrators的组成员执行两个命令,作为这些命令的非root用户。 # %Administrators, SUDOers, example.com dn: cn=%Administrators,ou=SUDOers,dc=example,dc=com sudoRunAsGroup: appGroup sudoRunAsUser: appOwner cn: %Administrators description: Allow members […]
我已经在Centos 6上设置了一个389目录服务器。用户身份validation工作正常,但是,我必须在目录服务器上创build用户后,在每台客户机上创build单个用户。 如果用户已经存在于本地系统中,则pam_mkhomedir.so模块似乎会创build主目录。
有人可以给一个build议如何更改LDAP密码已过期? 我有一个LDAP用户,该用户的密码已过期: # su user You are required to change your password immediately (password aged) su: Authentication token is no longer valid; new one required (Ignored) 那么我可以使用'passwd'来更改密码。 但是,如果我尝试再次login,消息仍然显示。 如果我尝试使用sshlogin,我也会收到以下消息:“您需要立即更改密码(密码过期)” 然后我改变密码。 但是,如果我尝试再次login,消息仍然… 先谢谢你。 PS我也试过了: user@server$ ldappasswd Please enter your password: ldap_sasl_interactive_bind_s: Invalid credentials (49) additional info: SASL(-13): user not found: no secret in database
LDAP服务器上的SLL证书最近已过期,因此不可能将其他严格依赖LDAP的Linux机器SSH。 作为一个自签名的证书,我的理解是它不能被更新。 知道我需要生成一个新的证书,关于如何certificate在客户端机器上传输的任何想法,因为旧的SSL已经过期,因此无法进行远程authentication。
我最近在Ubuntu 12.04 LTS Srv上安装了phpldapadmin。 在config.php我修改了下面的参数来启用简单的用户login: $servers->('login','bind_pass','secret'); 和 $servers->('login','attr','uid'); 通过修改这两个参数,我可以login为“eric”/“密码” 但是,当我尝试authentication为 cn=admin,dc=ubuntu,dc=example,dc=com 与我的根源,它根本不认识我。 是否有另一个参数config.php文件,我需要改变,以便能够使用DN和UIDlogintypes? 我现在pipe理testingLDAP站点的唯一方法是来回切换我的config.php文件,这非常烦人。
我们有一个运行LDAP的Fedora Directory Server,其中有几百个用户。 我们需要一种方法,可以根据项目创buildsamba共享,并限制跨多个Linux服务器访问这些共享。 在这里,我们有15-20台服务器,每台运行不同版本的CentOS。 想法是根据读/写访问仅限于该组或特定组的用户子集的组创build文件夹。 我们如何validation用户身份并在同一子网中的另一台服务器上创buildSamba共享。 用户使用Windows Professional,他们应该访问特定的samba共享来为特定服务器备份文件。 我需要创build一个表单,pipe理员可以通过select服务器创build一个文件夹,并相应地分配用户。 想法欢迎如何去做这件事。
我一直在我们的服务器上实现LDAP。 我们使用SSSD而不是nscd / nslcd与LDAP服务器进行通信。 SSSD的其中一个选项是枚举。 启用它解决了我们在RHEL上实现LDAP客户端时遇到的问题。 有人可以更清楚地解释LDAP枚举的含义吗? 启用/禁用LDAP枚举如何影响环境? 这是一个LDAP特定的还是SSSD特定的术语? 我无法find有关此function的更多信息,所以希望此默认问题也可以帮助其他人。
系统是ArchLinux,我正在使用nss-pam-ldapd(0.8.13-4)将自己连接到ldap。 相关的configuration文件: /etc/nsswitch.conf中 /etc/nslcd.conf 我有我的用户和LDAP中的一些组: [root@kain tmp]# getent group <localgroups snipped> dkowis:*:10000: mp3s:*:15000:rkowis,dkowis music:*:15002:rkowis,dkowis video:*:15003:transmission,rkowis,dkowis,sickbeard software:*:15004:rkowis,dkowis pictures:*:15005:rkowis,dkowis budget:*:15006:rkowis,dkowis rkowis:*:10001: 而且我有一些setgid video目录,以便video组保留,并且它们被configuration为g = rwx,以便video组的成员可以写入它们: [root@kain video]# ls -ld /srv/video drwxrwxr-x 8 root video 208 Oct 19 20:49 /srv/video 然而,该组的成员,说dkowis不能写入该目录: [root@kain video]# groups dkowis mp3s music video software pictures dkowis dkowis所在的组的总数是7,我在这里编辑了一些。 [dkowis@kain wat]$ cd /srv/video [dkowis@kain video]$ […]
我正尝试使用厨师来添加/修改一些本地用户帐户。 无论出于何种原因,在LDAP中都有重复的帐户。 由于系统使用sssd / pam / ldap,因此它将用户视为存在,但无法修改它们,因为它们不在/ etc / passwd中。 有没有办法彻底绕过ldap帐户,以便他们不ID? 然后厨师会正确创build它们。
我已经在Windows Server 2012上运行了Apache 2.4。 我有mod_authnz_ldap工作,除非用户把一个空白的用户名。 这会导致500内部服务器错误。 这是httpd.conf中“staff”区域的条目… <Location "/staff"> AuthType Basic AuthName "Staff Area" LDAPReferrals Off AuthBasicProvider ldap AuthUserFile /dev/null AuthLDAPBindDN [email protected] AuthLDAPBindPassword MyPassword AuthLDAPURL "ldap://server-dc1:389/ou=DomainUsers,dc=school,dc=com,dc=au?sAMAccountName?sub" Require ldap-group cn=staff,ou=staff,ou=DomainUsers,dc=school,dc=com,dc=au </Location> 任何明显的我失踪? 其他人使用mod_authnz_ldap吗? 你的服务器不喜欢空白的用户名吗?