Articles of ldap

从2.3开始，OpenLDAP使用一个名为slapd-config的configuration引擎。 他们说使用它可以使所有的LDAPconfiguration都可以立即改变。 这是/etc/ldap/slapd.d/cn=config.ldif的头文件： # AUTO-GENERATED FILE – DO NOT EDIT!! Use ldapmodify. 我已经改变了它的数据和一些其他文件，有了这个头，重新启动slapd后，我的变化产生了影响。 如果我手动更改这些文件，还有什么事情发生吗？ 如果我不需要“即时更改”，我应该手动编辑这些文件，而不是使用ldapmodify？ 哪个应用程序生成这些文件，什么时候？ 注意：我在Ubuntu 12.04上使用openldap-2.4.28

我需要将计算机join我们的Active Directory域。 这些电脑在不受信任的networking上。 如何强制客户端计算机使用安全协议（LDAPS而不是LDAP）来join域？

我正在使用Sun Directory Server（LDAP）5.2和现在的6.3来运行Solaris 10环境来pipe理用户帐户。 到目前为止，我一直在通过脚本pipe理环境来添加用户和组，但是想将这个责任传递给服务台。 由于他们不是LDAP精明的，我想给他们像LDAP树的人员和组织单位的Web前端。 你能否提出一个合适的工具来掩盖非技术用户对LDAP的复杂性，但仍然可以让他们pipe理用户帐户？

什么是Windows最好的免费LDAP客户端？ 应该很容易浏览目录并编辑值。 理想情况下，整个目录树的批量更新会很好…

（道歉，如果我有错误的术语，我是相当新的LDAP） 我使用以下结构设置本地LDAP服务器（Apache Directory Server）： o={my organization name} [objectClass=organization] ou=groups [objectClass=organizationalUnit] cn=someGroup [objectClass=groupOfUniqueNames] cn=otherGroup [objectClass=groupOfUniqueNames] … ou=users [objectClass=organizationalUnit] cn=user1 [objectClass=inetOrgPerson] cn=user2 [objectClass=inetOrgPerson] cn=user3 [objectClass=inetOrgPerson] … 我也根据手册设置了一些基本的授权 。 一切都很好。 现在我有一个问题。 我有另一台运行Atlassian Crowd的服务器需要访问这个LDAP，我想给这个服务自己的LDAP授权条目来分区访问权限。 但这不是用户 ，而是服务 。 什么objectClass用于服务标识？ （作为LDAP的新手，你如何发现groupOfUniqueNames用于组，inetOrgPerson用于用户input？这似乎是常态。）

我们在这里configuration了Openldap ，用户可以使用ldaplogin到客户机。 但任何方式来检查当前用LDAPlogin到机器的用户？ 我想find哪个用户使用LDAPlogin到哪台机器？

我有一个计算机的OU结构，看起来像这样： Workstations |– Building | |– Floor, Department, or Approximate Location … 我想在该build筑的OU中创build一个名为“3 North”的子OU，但是出现以下错误： Windows cannot create the object 3 North because: An attempt was made to add an object to the directory with a name that is already in use. 首先，OU的名字不要紧， 您可以在AD中拥有多个具有相同名称的容器，只要它们出现在树的不同部分中;其次，唯一存在的其他“3 North”是完全不同容器中的电子邮件分发列表。 为什么这个错误发生，我怎样才能解决它？

我有一个EC2上的Ubuntu服务器11.04（我提到这一点，因为它看起来事情已经改变了以前的Ubuntu发行版，当它涉及LDAPconfiguration）。 我想把它configuration成一个带有trac的subversion服务器，用于私人仓库（即用户必须有一个用户名：密码和权限来查看或提交svn，以及查看或更改trac）。 既然我想确保它是安全的，我首先select了svn + ssh选项，这意味着我必须为每个需要访问svn的人创build一个linux用户。 但我找不到一种方法来使用同一个用户trac – 这意味着我将不得不手动创build一个trac用户为我在linux机器上创build的每个用户，这可能会导致svn和trac之间的不同密码简而言之：一团糟。 所以我决定去实现一个openldap服务器，这个服务器将来可以select将ldap用户用于其他function。 我发现的唯一一个在configurationopenldap部分工作的指南是这个 （“ 指南 ”）。 然而 ，当我到了Kerberos部分 – 我有一些问题，我不知道如何回答他们，然后我得到了错误，所以没有Kerberos。 一些说明： 服务器最终会像svn.myserver.com一样。 但是，目前还没有DNSlogging。 考虑到前面的注意事项，在configurationopenldap时，我使用了svn.myserver.com名称（如上面的指南中所述）（我没有做指南的前两部分，所以我必须运行sudo dpkg-reconfigure slapd命令重新configuration，并使用dc=svn,dc=myserver,dc=com而不是dc=danbishop,dc=org或svn.myserver.com而不是danbishop.org ）。 在指南的kerberos部分，当运行sudo apt-get install krb5-kdc krb5-admin-server命令时，我被问到以下问题： 领域 – 我写了SVN.MYSERVER.COM 关于服务器的东西 – 我写了localhost 关于pipe理员服务器 – 我写了localhost 当问题结束后，继续configurationkerberos，有一些File or directory not found错误，并且发生an error has occured, see logtypes的消息。 但是，我没有find任何日志文件。 有可能是一个更好的方法来做到这一点，也可能有另一种解决scheme，以获得我想要的（svn，trac和其他未来的应用程序统一的用户pipe理），但由于svn和错误跟踪function假设生存很长一段时间，没有任何困难，对我来说select正确的解决scheme，并以正确的方式进行configuration是非常重要的（我确信有多个正确的方法，但我不想select一个糟糕的方法办法）。 我真的很感谢这方面的帮助，因为我现在已经搞乱了几天，觉得自己在浪费时间。

我有一个在RHEL上运行的Novell LDAP服务器。 我想在我的一台拥有HTTP的机器上从网站validation我的LDAP用户，所以我在httpd.conf中使用 <Directory /var/www/html> AuthType Basic AuthName "Stooges Web Site: Login with user id" AuthBasicProvider ldap AuthzLDAPAuthoritative off AuthLDAPURL "ldaps://ldap1.server.com:636/o=ae-name?cn" AuthLDAPBindDN "cn=psg_admin,o=ae-name" AuthLDAPBindPassword ldappass require valid-user </Directory> 我收到的错误是…… [31231] auth_ldap authenticate: user ldap-user1 authentication failed; URI / [LDAP: ldap_simple_bind_s() failed][Invalid credentials] [Thu Feb 02 08:04:39 2012] [error] [client 10.231.101.113] user ldap-user1: authentication failure for […]

我们有一些PAM + LDAP的服务器。 configuration是标准的（请参阅http://arthurdejong.org/nss-pam–ldapd/setup或http://wiki.debian.org/LDAP/PAM ）。 例如，/etc/pam.d/common-auth包含： auth sufficient pam_unix.so nullok_secure auth requisite pam_succeed_if.so uid >= 1000 quiet auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so 当然，它适用于ldap和本地用户。 但是，每个login首先到达pam_unix.so，失败，然后才成功尝试pam_ldap.so。 因此，我们对每个ldap用户login都有一个众所周知的失败消息： pam_unix(<some_service>:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<some_host> user=<some_user> 我每天有多达60000个这样的日志消息，我想要更改configuration，所以PAM将首先尝试ldap身份validation，并且只有在它失败时 – 尝试pam_unix.so（我认为它可以提高I / O性能服务器）。 但是，如果我将common-auth更改为以下内容： auth sufficient pam_ldap.so use_first_pass auth sufficient pam_unix.so nullok_secure auth required pam_deny.so 然后，我不能再用本地（非LDAP）用户（例如，通过SSH）login。 […]