我想检查一下用户是否已经通过Windows域的身份validation。 为此,我想使用LDAP查询。 我了解到,有一个“authentication用户”组(S-1-5-11)可能会有窍门。 但如何将其包含到LDAP查询? (memberOf =authentication用户)不起作用。 谢谢,亚历山大
我正在尝试使用FusionDirectory作为前端来安装OpenLDAP服务器 遵循本指南: http : //documentation.fusiondirectory.org/en/documentation/admin_installation_redhat_6 http://documentation.fusiondirectory.org/openldap_install_rhel6 我有我的ch_domainSettings.ldif以下 dn: olcDatabase={1}monitor,cn=config changetype: modify replace: olcAccess olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=example,dc=net" read by * none dn: olcDatabase={2}bdb,cn=config changetype: modify replace: olcSuffix olcSuffix: dc=example,dc=net dn: olcDatabase={2}bdb,cn=config changetype: modify replace: olcRootDN olcRootDN: cn=Manager,dc=example,dc=net dn: olcDatabase={2}bdb,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}RbncgBcs8McqwMMAjx4CFdENpLycUc4w dn: olcDatabase={2}bdb,cn=config changetype: modify add: olcAccess […]
我正在阅读关于LDAP的两篇( link1 , link2 )文章,他们提到了相对专有名称(RDN),专有名称(DN)和CN,它应该和RDN一样。 我理解RDN是LDAP定向图中节点的键值对中的关键字,但是作者并没有多说这些术语的含义。
我的实验室里有30多个系统(独立的个人电脑),将近200名学生将使用它。 每个系统都有一个名为USER的帐号,其密码为123456,这是200人所知道的。 因此,他们访问任何系统是免费的,工作一段时间。 他们的使用logging只是注册簿条目。 我想给每个用户单独的login名和密码,很容易通过LDAP服务器实现。 但我不想在每台PC上创build200个用户帐户。 我想映射所有的200人login到USER帐户本身。 他们将有相同的configuration文件和相同的主目录。 我只想将个人实验室使用的时间和datelogging在一个文件中。 这可以使用LDAP或其他软件来完成吗?
我有一个LDAP数据库,我们用它来pipe理我们的主机上的用户帐户,这些条目有account和posixAccount作为objectClass。 现在我们想扩展这个,把它当作地址簿来使用。 据我所知,这意味着我应该添加inetOrgPerson objectClass,以及必要的属性,人民的条目。 但由于某些原因,这对于phpLdapAdmin是不可能的。 当我单击objectClass上的add valuebutton时,它不会popup,如果我手动input它,它想要删除account和posixAccount objectClasses。 我已经读过不同的地方,应该可以将objectClass:es分配给条目,那么为什么phpLdapAdmin会抱怨呢? 有一个真正的原因,这不起作用,或者它只是phpLdapAdmin是愚蠢的?
我想知道是否有自动填充字段或我们可以在创build时使用唯一ID号填充我们可以查询的帐户的字段。 我要求这样做的原因是,我们需要一个用户帐户的LDAP查询,在帐户重命名后,这个用户帐户将持续存在。
有很多 答案有效地说,应该用ldap来代替puppet来pipe理实际的用户。 我倾向于基于扩展视angular达成一致。 新员工的入职应由支持团队完成,而不是由系统pipe理员添加新的用户资源。 然而,pipe理SSH密钥和授权密钥(以及sudo访问和用户configuration文件)似乎是一个完美的木偶工作。 pipe理每个用户的密钥和configuration的标准方式是什么? 木偶可以在这里增加ldap吗? 如果员工变成stream氓,我们需要从1000个不同的authorized_keys文件中撤销密钥,会发生什么?
我正在研究构build一个更加统一的用户和工作站pipe理系统,我认为向别人询问他们是如何解决这些明显的问题是一个好主意。 我将使用LDAP进行用户pipe理,并通过NFS将主目录装载到工作站,这非常简单,并且也会导致“漫游configuration文件”。 但是,pipe理工作站的最佳做法是什么呢? 在这种情况下,pipe理将包括更新,安装和删除软件包,更新configuration文件,dist-upgrade:s等等。 准备新的工作站(半)自动也可能是有用的。 我在Debian上构build了所有的东西,我想以“Debian的方式”来实现。 请告诉你的经验,即使他们与其他发行。 // DGnome
我已经能够得到我的一些Linux服务器对我的LDAP目录服务器的用户进行身份validation,但是我在使用FreeBSD的nss_ldap和pam_ldap时遇到了一些麻烦。 从FreeBSD官方文档到这里: http : //www.freebsd.org/doc/en/articles/ldap-auth/client.html 我安装了2个软件包,并创build了一个configuration文件/usr/local/etc/ldap.conf,并且在同一目录nss_ldap.conf中创build了一个符号链接。 根据文档,他们都可以使用相同的configuration文件。 我保持它非常简单,直到我能得到它的工作: 的ldap.conf / nss_ldap.conf: base dc=corp,dc=example,dc=org host 192.168.0.100 ldap_version 3 binddn cn=admin,dc=corp,dc=example,dc=org bindpw secret NSS的工作,据我所知。 “getent passwd”显示来自LDAP目录的信息以及本地信息。 现在我想validation,所以我添加一行到/etc/pam.d/sshd: # auth auth sufficient pam_opie.so no_warn no_fake_prompts auth requisite pam_opieaccess.so no_warn allow_local #auth sufficient pam_krb5.so no_warn try_first_pass #auth sufficient pam_ssh.so no_warn try_first_pass auth sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass debug auth required […]
我试图根据用户和计算机的AD组成员来设置对外部网站的精细控制。 一般来说,我们会封锁YouTube,Facebook,MySpace等网站,但我们的video部门需要YouTube访问; 市场部门需要访问Facebook等等。 我们也有一些PC应该有不受限制的Web访问。 目前,这是通过使用input到我们的防火墙configuration中的静态IP进行pipe理的 – 这是非常耗时且容易出错的,而且通过AD组成员身份可以更容易地完成,而且我们现有的硬件防火墙不支持这种情况:( 所以,我们的要求是: 通过Active Directory组成员身份控制对特定网站的USER-LEVEL访问。 Active Directory中“Facebook用户”组成员的用户可以在办公时间内访问Facebook,无论他们使用的是哪台计算机,而非“Facebook用户”成员的用户不应该能够在办公时间访问本网站。 我们希望为5-6个不同的网站重复这一点,并通过AD组成员完全pipe理访问。 控制计算机级访问特定的网站 – 即我想能够使一个特定的域计算机成为“Facebook用户”组的成员,使任何使用该计算机的用户都可以访问Facebook,无论用户的AD组成员身份。 理想情况下,所有这些对最终用户来说都是完全透明的 – 他们不需要再次inputnetworking凭证。 而且,只要可以通过组策略pipe理,设置本地代理等就没有问题。 谢谢, 迪伦