我需要使用AD来授权一些在线工具,以便在一个大的国际公司的三个国家中简化软件开发。 工具AD / LDAP部分有一行指定BASE DN,另一行用于应用用户filter。 默认的用户filter是:(&(objectCategory = Person)(sAMAccountName = *)) 我需要到达的人员位于以下广告位置: MyCompany.com/AAA/EMA/RS/Aarhus/Accounts MyCompany.com/BBB/AMR/RS/Atlanta/Accounts MyCompany.com/CCC/AP/COR/Xian/Accounts 每个帐户条目包含4-5个更深的层次,我需要所有这些人。 如果我只将BASE DN设置为DC = MyCompany,DC = com (这是我相信它应该是的),我有超过250000用户返回,其中只有大约2000应该有访问权限。 :-(我的工具caching条目,并且需要很长时间才能同步。:-( 我想使用更具体的filter更具体的目标的位置。 我试过各种各样的东西,search高低,也问工具开发人员和我们的IT部门有关如何做到这一点,但没有发现任何远程可用。 我相信filter应该是沿着以下几点 – 除了我现在知道memberOf检查一个组的成员身份,而不是AD中的层次结构位置 (&(objectCategory=Person)(sAMAccountName=*) (| (memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com) (memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com) (memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com) ) ) 只是为了澄清,我不可能创build(并保持更新)一组应该有权访问的所有人员和子位置。 我急切地等待着你的build议 注意:这是我第一次接触到AD / LDAP,所以我可能忽略了这个解释中的一些东西 – 请尽量填空。 谢谢。
我已经inheritance了一个无证的openLdap设置 – 一个主服务器和两个从服务器。 师父昨晚死得很惨 – 光盘损坏 – 备份是在同一台服务器和磁盘上的克隆系统 – 所以这是没用的。 用户仍然可以使用两台备份服务器进行身份validation。 任何人都可以告诉我如何推动其中的奴隶掌握,然后改变其他服务器指向它? configuration似乎在每个服务器上的slapd.conf文件中 – 它们是相似的 – 副本如下: include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/misc.schema include /etc/openldap/schema/ppolicy.schema pidfile /var/run/openldap/slapd.pid argsfile /var/run/openldap/slapd.args modulepath /usr/lib64/openldap moduleload accesslog.la moduleload syncprov.la moduleload back_bdb.la database config rootdn "cn=admin,cn=config" rootpw {CRYPT}XXXXXXXXXXXXX database monitor access to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read […]
我没有这方面的经验,所以可能有一些我失踪的观点。 最初我试图设置Cyrus Mail w / SASL进行AD身份validation。 经过多次尝试,失败了。 我转向了Dovecot,在Dovecot也没有authentication。 所以,我开始排除故障: 我在AD中创build了一个用户名为“vmail”。 运行`ldapsearch -x -h ad.example.com -D'vmail'-W -b'dc = example,dc = com'“([email protected])”并input密码。 结果是成功的(返回了ldap用户属性) 然后我运行ldapwhoami -x -W -D cn=vmail,dc=example,dc=com -h ad.example.com并input密码。 但是,此脚本失败 ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1 Dovecot和Postfix在参数上都失败了。 在Dovecot和Postfix我设置密码属性为userPassword=password 。 ADauthentication工作(例如,我可以使用[email protected]到连接到域的Windows计算机)。 “vmail”用户是域pipe理员和pipe理员(我想确保pipe理员与绑定无关)。 我真的开始认为这个问题在Windows Server中不允许用Linux机器进行身份validation(这是一种可能性),因为Linux中的所有内容都是正确的(至less看起来是这样) 如果有问题,我正在使用CentOS 7.1.1503(Core)。 编辑:更多的疑难解答后,我发现,如果我不指定域控制器,ldapwhoami成功,并返回用户: ldamwhoami […]
我试图从远程托pipe另一台服务器的LDAPlogin身份validationvsftpd。 在Ubuntu 14.04.2 LTS (GNU/Linux 3.13.0-48-generic x86_64)上托pipe的vsftpd Ubuntu 14.04.2 LTS (GNU/Linux 3.13.0-48-generic x86_64) amazon aws。 从LDAP服务器我有这些细节。 user : cn=demo,dc=ldap,dc=foobar,dc=com Password : testpasswd Base DN : dc=ldap,dc=foobar,dc=com User Base : ou=user,dc=ldap,dc=foobar,dc=com 和一个ca_serv.pem来validation包含在/etc/ssl/certs/ ,并将对/etc/ldap/ldap.conf引用添加/etc/ldap/ldap.conf TLS_CACERT /etc/ssl/certs/ca_serv.pem 我的/etc/pam.d/vsftpd是这样的。 # Standard behaviour for ftpd(8). auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed # Note: vsftpd handles anonymous logins on its […]
我试图build立一个Linux和Windows之间的接受所有环境。 这包括LDAP支持,因为我希望所有login凭据保持在服务器端。 我的目标是让用户为他的Windows 7笔记本电脑和他的Linux Mint桌面使用相同的用户名和密码。 到目前为止,我已经设置Samba作为Active Directory工作。 AD的工作正常,但似乎后端不是OpenLDAP,所以我不能直接将AD绑定到Linux机器上。 什么必须configuration,以便Linux和Windows机器共享相同的LDAP后端?
我已经build立了一个LDAP服务器与ppolicy覆盖,但现在有麻烦重置用户的密码在某些情况下:如果用户login失败,则pwdFailureTime属性存在和ldapmodify失败,抱怨它没有。 如果我最近的login尝试成功,那么我可以绑定为cn = admin并运行ldif文件: dn: uid=anton,ou=accounts,dc=[redacted],dc=ca changetype: modify replace: userPassword userPassword: foobar – replace: pwdReset pwdReset: TRUE 哪个成功 但是,如果最后一次login尝试的密码错误,ppolicy会为该帐户添加一个pwdFailureTime属性,然后尝试运行上面的ldif文件,结果如下: $ ldapmodify -x -D "cn=admin,dc=[redacted],dc=ca" -W -H ldap:// -f pwreset.ldif Enter LDAP Password: modifying entry "uid=anton,ou=accounts,dc=[redacted],dc=ca" ldap_modify: No such attribute (16) additional info: modify/delete: pwdFailureTime: no such attribute 如果我在重置密码之前尝试删除pwdFailureTime属性,那么我得到: ldap_modify: Constraint violation (19) additional info: pwdFailureTime: […]
我们需要使用LDAP在AIX服务器上针对OID对本地用户进行身份validation。 我们在OID中有一个分支,放置并同步Active Directory用户。 我们还在OID上configuration了外部authentication,以便根据ADvalidation用户名/密码。 有没有人在这种types的环境中为AIXconfiguration了身份validation? 我们相信我们需要在OID中的用户目录条目中填充unix的特定属性,但不确定需要哪些属性。 另外,我们正在考虑根据OID对Oracle数据库用户进行身份validation,但是由于外部身份validation,我们无法在OID(Oracle正在查找密码的属性)上的用户目录条目中填充ORCLPASSWORD属性。 帮助或者两者都是受欢迎的。
我们有一个IIS服务器,它不是尝试使用SSL通过LDAP对用户进行身份validation的域的一部分。 LDAP位于Active Directory上。 似乎IIS服务器在LDAP服务器上遇到问题,因为它无法validation它的真实性。 我们如何去认可AD的证书? 编辑:我添加了CA作为一个受信任的根证书颁发机构,似乎没有任何区别。
最近(在过去的几天),我安装IE8已经花了15到20秒来加载我的主页。 具体来说,事件的序列(由WireShark报道)是: 浏览器发出DNS A查询来parsing主页服务器的IP地址。 然后,浏览器花费接下来的15-20秒广播DNS SRV _LDAP._TCP查询(大约在2秒钟内),而没有收到答复(我们没有LDAP服务器)。 浏览器重新发出DNS A查询并再次parsing服务器的IP地址。 最后,浏览器为主页发出HTTP GET 。 有谁知道这是为什么发生? 可能与这个问题有关 编辑: @Massimo ,LDAP查询是: – Domain Name System (query) Transaction ID: 0x11c5 Flags: 0x0100 (Standard query) Questions: 1 Answer RRS: 0 Authority RRS: 0 Additional RRS: 0 Queries _LDAP._TCP: type SRV, class IN Name: _LDAP._TCP Type: SRV (Service location) Class: IN (0x0001)
我有以下openldap服务器configuration: access to attrs=userPassword by self write by anonymous auth by set="[cn=users,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write by * none # Allow everybody adding and changing Contacts access to dn.subtree="ou=Contacts,dc=my-company,dc=de" by set="[cn=users,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write by * read access to * by self write by dn.base="cn=admin,dc=my-company,dc=de" write by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write by * read 它应该做的是这样的: 允许每个人更改自己的密码 […]