这可能有点奇怪,因为到目前为止,我还没有成功find解决scheme。 这是安装在CentOS 5.8中,并使用CentOS-Directory / 8.2.8 B2012.041.1227。 简单地说,我正在使用一个会提示用户更改密码的应用程序( OpenAM )。 这大部分工作正常,但如果DS设置为存储密码历史,客户端应用程序无法更改密码,不断地将“历史密码”。 这不是很有用,特别是因为我知道密码以前没有被使用过。 在用Wireshark坐下后,我看到客户端应用程序正在发送以下请求: dn: uid=AUser,ou=People,dc=testldap changetype: modify delete: userpassword userpassword: location – add: userpassword userpassword: american_psycho 哪个龙骨与“历史密码”。 我在命令行上尝试了同样的请求: $ ldapmodify -h host -p 389 -D "uid=AUser,ou=People,dc=testldap" -w location dn: uid=AUser,ou=People,dc=testldap changetype: modify delete: userpassword userpassword: location – add: userpassword userpassword: american_psycho ^D Processing MODIFY request for […]
我试图连接到多个不同的LDAPS服务器。 我见过的很多文档build议TLS_REQCERT never设置TLS_REQCERT never ,但是这TLS_REQCERT never我感到非常不安全,无法validation证书。 所以我已经设定demand 。 我见过的所有文档都说我需要用指向.pem文件的TLS_CACERT指令更新ldap.conf。 我已经得到了来自LDAP服务器#1的证书设置的.pem文件,并且ldaps连接正常。 我现在必须与另一个使用不同证书的组织中另一个分支机构中的另一台LDAP服务器进行安全通信。 我没有看到如何做到这一点的文件,除了1页说,我可以简单地把多个(不链)的证书在同一个.pem文件。 我已经完成了这一切,一切工作hunky dorey。 但是,当我告诉一位同事我做了什么时,他听起来好像天空正在坠落 – 将两个非链式证书放入一个.pem文件显然是自从…以来最糟糕的事情。 有一个更可接受的方式来做到这一点? 或者这是唯一被接受的方式?
我有一个虚拟主机,我正在尝试使用LDAP身份validation。 我的configuration如下所示: <VirtualHost 0.0.0.0:80> DocumentRoot "/var/www/root/" ServerName myServerName ServerAlias http://myServerName.com/ LogLevel debug ErrorLog "/var/log/apache2/svn_error_log" CustomLog "/var/log/apache2/svn_access_log" common <Directory "/var/www/root/"> Allow from all DirectoryIndex index.php </Directory> <Location "/"> AuthType Basic AuthBasicProvider ldap AuthzLDAPAuthoritative off AuthName "Auth" AuthLDAPURL "myLDAPURL" AuthLDAPBindDN "myLDAPBindDN" AuthLDAPBindPassword my-safe-password Require ldap-group OU=Users,OU=A,DC=B,DC=C,DC=D </Location> </VirtualHost> 当我尝试login时,它会拒绝我的身份validation并在日志中声明: auth_ldap authenticate: using URL myLDAPURL auth_ldap authenticate: accepting […]
对DC上的高级LSASS进程进行故障诊断发现,源于几个工作站的查询很昂贵。 每个查询如下: Visited Entries: 1Million+ Returned Entries: <50 (most of the times 0) 比较这些工作站上安装的应用程序; 没有什么尖叫高ldap查询。 我的问题: 如何在工作站上停止这些查询? 如何find这些工作站的罪魁祸首的应用程序(是在Windows 7的现场工程?) 所有这些都发生在单个DC上,可能是硬编码的; 这些查询如何在DC上被阻塞? 如果有任何build议或问题,请让我知道。
更新 我已经能够使用一个简单的PHP脚本来尝试LDAP绑定的小规模重现问题。 从那个脚本我得到更多的debugging输出,让我确定实际的问题。 所以我正在重写这个问题。 脚本 我正在尝试在我的Debian Wheezy服务器上设置一个LDAP环境。 我想要使用有效的SSL证书来保护与服务器的通信(意思是,它不是自签名的)。 我正在使用自编译的OpenLDAP版本,因为Debian版本库中的最新版本不支持SHA2密码散列。 问题的细节 我可以使用这个简单的PHP脚本来尝试绑定到我的LDAP服务器。 <?php error_reporting(E_ALL); ini_set('display_errors', 'On'); /* if I remove this, it doesn't work */ putenv('LDAPTLS_CACERT=/path/to/my/root.ca'); $uri='ldaps://localhost'; if (!ldap_set_option(NULL, LDAP_OPT_DEBUG_LEVEL, 7) ) { die('log level option failed\n'); } $ldap = ldap_connect($uri) or die ('connect failed'); if ( !ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION, 3) ) { die('protocol version set failed\n'); […]
由于各种原因,我们希望将我们的文件服务器从OS X Server 10.9迁移到在Ubuntu 14.04LTS上运行的真正的Samba实现。 我们已经安装了Ubuntu并运行了Samba,甚至还安装了PAM设置来对照我们的Apple OpenDirectory服务器对用户进行身份validation。 但是,让Samba以我们想要的方式validation用户是相当具有挑战性的。 看来我们有两个select。 选项1只是让Samba将其委托给已经正常运行的PAM子系统; 选项2是使用Samba对LDAP和Kerberos的内置支持。 在Ubuntu的开箱即用的configuration似乎赞成选项1,并且确实看起来像这将是最简单的设置来pipe理长期。 (scheme2需要更多的configuration,包括对苹果模式的修改,我的理解在实践中并不是一个好主意。) 所以,所有人都说,我打算试图让选项1工作,(几乎这样做)。 目前, 针对OD的PAMauthentication已经起作用。 我可以sshlogin作为系统OD用户整天的系统。 但是,不好的是用户在Samba将它们识别为UNIX用户之前必须先执行此操作。 换句话说,在用户至less通过SSH成功连接一次之前,Samba将不会识别他们的凭证。 此外,我不相信Samba会看到OD组,因为试图限制连接到基于组名的某些共享也不起作用。 一旦用户使用SSHlogin了一次(或者在尝试使用标准的本地用户帐户时),Samba会永远接受他们的名字和密码。 在此之前,它只是拒绝他们。 smb.conf文件包含以下相关条目: server role = standalone server obey pam restrictions = yes passdb backend = tdbsam unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* […]
我在大量的Suse服务器上configuration了一个LDAP客户端。 我知道这样做的唯一方法是使用Yast,这种方式很慢。 我找不到另一种方式。 我在RHEL,Debian和其他Linux发行版上做了这个,但是我不能映射在Suse上被Yast修改过的所有文件。
我部署了一个由389目录服务器支持的FreeIPA身份解决scheme。 由于需要将用户密码定期同步到其他平台(Google Apps for Work),因此我需要用户帐户存储scheme为SHA1而不是SSHA(盐渍SHA)。 我可以很容易地将passwordStorageScheme切换到SHA,但是我不知道IPA是否依赖于SSHA的密码,并且会破坏某些东西,所以: 我可以'快乐地'从SSHA切换到SHA passwordStorageScheme没有打破任何东西? 相反,我可以configuration389保存一个额外的哈希自定义属性(可以说,“userPasswordSHA”),每当密码更改,所以我可以轻松地处置这两个?
我正在尝试使用PHP通过LDAP编辑Active Directory中的用户。 我的testing机器使用一个简单的WAMP设置,并没有连接到Windows域。 这台机器可以连接到域控制器上的LDAP就好,没有encryption。 经过反复尝试,我无法通过SSL进行连接,但是我能够使用TLS(ldap_start_tls)来更改用户密码,这是终极目标。 在testing框上没有问题。 实际的networking服务器虽然是域的成员,它拒绝工作。 与TLS的连接失败,并且域控制器报告schannel致命警报48,这意味着在cert链中存在不受信任的根CA. 我已经在Web服务器上安装了证书,并在Web服务器和DC上都安装了根CA证书,但无济于事。 我不确定该从哪里出发。 我究竟做错了什么? 为什么通过TLS的LDAP可以在域外的计算机上正常工作,但不在域的一部分上? 最近我一直在比较所有3台机器上的证书和链。 我发现的唯一区别是工作(非域)Web服务器和DC上的链是三个步骤:COMODO – > COMODO RSA域validation安全服务器CA – >我的证书域上的Web服务器是除了一切都向下移动一层,顶层证书说“USER信任” 这种差异是否导致了这个问题? 在非工作的Web服务器上validation原始证书文件上的命令:颁发者: CN=COMODO RSA Domain Validation Secure Server CA O=COMODO CA Limited L=Salford S=Greater Manchester C=GB Subject: CN=cjtrainor.com OU=COMODO SSL Unified Communications OU=Domain Control Validated Cert Serial Number: bd4d0f693ab0104ac9f1b45003d6138d dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = […]
有没有人在CoreOS上设置ldap? 如果是这样,一个人怎么做这样的工作呢? 我有一个CoreOS机器的集群,我试图挂钩这个服务Foxpass https://www.foxpass.com/到它的用户pipe理。 然而,我似乎无法得到适当的二进制文件来运行这个。 我试图得到nslcd,我似乎没有罚款作为内置版本。 我看了一下nss-pam-ldap http://arthurdejong.org/nss-pam-ldapd/nslcd.8,但是我需要编译一下,哪个CoreOS不是真的有能力也不应该。 有一个值得信赖的回购的地方,我可以curl一个内置版本? 我正在考虑使用docker工具,但是我可以想出一种方法可以使ldap有效。