有没有办法configuration活动目录,以便当用户更改密码他们以前的密码将工作几个小时? 基本上希望在密码更改期间有一个宽限期,旧密码和新密码都可以使用。
在大约1年的时间里,我们一直在使用ubuntu 10.04LTS上的openldap来authentication大约20个IT用户,一切运行良好(LDAP服务器上的操作基本上局限于使用apache directory studio创build/删除用户)。 最近(6个月前),我们也开始实施openldap (openldap-2.4.21 / debian)作为我们网站的外部authentication系统,该系统正在从外部CMS迁移到我们正在开发的新平台Drupal CMS 。 我们有一个45K的用户数据库,事情一直没有顺利。 我们遇到的问题是: – 备份恢复后,ldap崩溃,需要恢复 。 – ldap恢复工具无法恢复某些occassions上的ldap数据库 消耗100%的CPU,而在网站上没有validation活动。 由于内部缺乏资源和知识,所以我们到目前为止所做的一切就是find保持LDAP运行的方法,而不必真正调查这些问题(使用db_recover在崩溃时重新启动它, db_recover根据需要恢复数据库,以及slapcat在db_recover失败时重新创build数据库)。 最近我们进行了一轮采访,聘请了一名高级基础设施工程师来帮助我们完成各种各样的工作。 我们遇到的问题。 有几位候选人证实他们在大型生产环境中曾经或曾经听说过有关openldap问题,也从来没有想出一个单独的稳定的独立openldap服务器,而是必须提出冗余部署(复制,负载均衡,自动恢复/重启例程)来保持ldap运行。 有些候选人甚至认为openldap只是不适合生产环境,而是使用Novel eDirectory等替代品。 问:如果您有数千用户在生产环境中处理ldap的经验,您是否有共享的事实certificateopenldap确实对这样的设置不稳定,并且确实推荐使用其他ldap服务器?
由于我一直在这家公司工作,所以我们有一个非常基本的AD设置。 用户进入CN用户,计算机有几个OU,如台式机和服务器。 最近我一直在计划一个更全面的devise,以允许自定义部门GP设置(特别是打印机)。 我想将用户移动到为每个部门创build的OU中。 基于我的testing,除了一个应用程序,一切似乎都工作正常。 JReport是一个具有LDAP设置来导入用户的报告应用程序。 然后使用该信息实施SSO。 用我们当前的设置工作得很好,但第二个我从CN = Users移动到OU = XYZ的用户,他们不能再进行身份validation。 以下是应用程序设置的屏幕截图: 你可以看到这是一个非常简单的设置。 如果我testing目录pipe理器可以访问的连接。 如果我查询用户,我可以看到新OU中的用户。 但是,如果我尝试访问报告,它不起作用。 即使我手动input凭据。 所以我想我的问题是任何人都可以想到任何将用户移动到新的OU将会打破这个原因?
我正在configuration服务器SVN Collabnet(适用于Solaris 10的v1.5.6.1)。 我成功地使用ldap服务器进行SVN身份validation。 如何避免在下面的configuration文件(collabnet_subversion_httpd.conf)中写入一个非encryption密码(XXXXX,在这里)? ServerName mccuatsv10:8080 Listen 8080 User csvn Group csvn <Location /svn> DAV svn SetHandler svn SVNParentPath /appli/svn/repositories/ AuthName "Subversion repository" AuthType Basic AuthBasicProvider ldap AuthzLDAPAuthoritative On AuthLDAPBindDN [email protected] AuthLDAPBindPassword XXXXX AuthLDAPURL ldap://eur.msd.world.ibm:389/OU=Users,OU=Accounts,OU=FR,DC=eur,DC=msd,DC=world,DC=socgen?sAM AccountName?sub?(objectCategory=person) Require valid-user </Location>
我可以通过SysInternals的“AdExplorer”访问我的公司AD。 但是,当我尝试使用通用LDAP浏览器(在我的示例中是ldp.exe)访问相同的AD目录时,我无法获得所需的协议/身份validation方法。 我想我已经尝试过了。 AdExplorer默认使用哪些协议/设置?
我期待部署openvpn作为一个Linux RAS服务器(而不是站点到站点),我想使用双因素authentication,特别是使用ssl证书和密码绑定到ntlm域或ldap服务器。 这甚至有可能吗? 我真的很努力挖掘有关做这样的事情的信息,所以我开始怀疑这一点。 如果有人这么做了,那么知道(或者知道开源的方式来做这样的事情)会更好,或者更好的是需要openvpn服务器configuration来实现这个function。 编辑:我知道一个SSL证书是不是一个理想的因素。 🙂
我正在尝试build立一个活动目录的监控VBScript。 我需要将所有已修改的用户导出到文件。 此脚本将每10分钟运行一次,并导出所有修改后的用户(帐户修改,date修改,修改人员)。 组修改(不同的输出文件)也是一样的。 我不介意使用vbscript,csvde或dget,dsquery或批处理来获取这些信息。 任何可以设定时间表的任务都可以。
我最近开始作为一个networkingpipe理员的公司有2个地点,我们使用VPN来连接他们。 我们需要在第二个位置设置一个Active Directory和Exchange Server,以便与第一个完全集成。 我已经创build并testing了一个具有新的林/域的新服务器。 我的问题是,最好的办法是什么? 记住,我们需要将VPNstream量降到最低,我们需要所有的AD动作保持在本地,只有当我们需要访问其他域的信息时,我们才需要通过VPN。 那么,最好是去一个森林还是两个森林,并在这两个领域之间build立信任? 保持中期,我们也需要将两个交换服务器彼此以及两个AD域完全集成。
开发通过时间表任务运行的脚本; 它的目的是针对less数域控制器,并连续(每2秒)做一个针对特定DC的ldap查询,并将输出转储到csv查找。实质上,我正在执行以下步骤。 $root = [ADSI]"LDAP://CN=$TargetDCName,OU=Domain Controllers,DC=Fabricom,DC=com" $search = [adsisearcher]$root $Search.Filter = "(&(objectClass=computer))" $Search.SearchScope = "base" $Obj = $Search.Findone() $Obj = $Obj.Path $DateFormatted = Get-Date -uformat "%Y-%m-%d_%I-%M-%S-%p" $Data = $DateFormatted + "," + $TargetDCName+ "," + "$Obj" Add-Content -Path $Path -Value $Data 现在我越来越怀疑了; 1.)我上面做的事情是否与LDAP连通性检查一样有意义,因为我使用与ROOT / Base相同的DC来查询DC(以上代码是否确认LDAP连接存在于来自任何应用程序的特定DCconfiguration正确吗?) 2.)这个问题是关于powershell,如何获取PowerShell中的LDAP错误日志? 我想testing一个不存在的DC或closures的DC,我应该期待什么日志事件以及如何捕获它。 3.)与问题2相同,如果DC有复制问题,是否会影响LDAP连接? 应该logging什么日志,以及如何? 以下是一些复制错误,这些事件是否会导致LDAP连接问题? ** – >(1256)远程系统不可用。 有关networking故障排除的信息,请参阅Windows帮助。 – […]
我最近在我的域上启用了基于LDAP的身份validation。 这使我们能够使用一组凭据来pipe理博客,论坛和wiki。 不幸的是,这是以用户能够更改自己的密码为代价的。 理想情况下,用户可以访问一个页面(即mydomain.com/account ),进行身份validation,然后更改密码。 有谁知道一个脚本或应用程序,可以让我做到这一点快速和容易? 我想用PHP编写并不难,但是我宁愿不用麻烦。