我目前有Mac OS X Lion Server从MacMini运行,并希望纯粹作为一个LDAP服务器用于FreeNAS 8的身份validation。我有FreeNAS安装和运行在一个虚拟机,所有function工作正常,如预期的,但我无法连接到我的LDAP服务器(MacMini)。 错误信息; **Nss_ldap: could not search LDAP server – server is unavailable** 对于FreeNAS中的LDAP服务设置,我知道我的主机名和基本DN是正确的(我最初设置的和服务器中显示的完全相同:打开目录概述),但是我不确定要为根绑定DN,密码和后缀的。 我已经研究了哪些地方可以find这些,而不是遵循FreeNAS的例子,看起来有一种方法可以find特定于我的设置的服务器工作组pipe理器 – 但是这个function对我来说是不可用的,不能被勾选查看一些奇怪的原因。 一些论坛解释如何根绑定DN应该是uid=admin, dc=…和其他cn=admin, dc=… – 我很困惑,并感谢您的帮助或build议与此。
我对LDAP是什么以及它是如何工作的知之甚less,除了知道我可以使用我的LDAP帐户用户名/密码login到多个linux服务器。 现在我们正在使用mercurial进行版本控制,但是我正在研究如何转换为git。 现在我的第一个问题,我很确定我知道答案,但只是想validation(我认为答案是肯定的),但由于git可以使用ssh连接到存储库,只要LDAP帐户有权访问服务器git存储库托pipe,我可以假设LDAP帐户将像一个普通的SSH帐户,并连接到git存储库工作,正确的? 第二个问题我不太确定,如果LDAP可以挂钩gitolite,那么我可以获得gitolite提供的访问控制function。 为了得到gitolite提供的访问控制,我个人很喜欢抓取LDAPauthentication,尽pipe我不确定我的老板是谁。
我已经安装了RHEL 6.2,并configuration了使用LDAP与设置实用程序,我可以login。 什么是stange是每个用户只能识别三个LDAP组。 这是不同的群体,即使是属于同一群体的用户。 gid范围从500到30000+。 LDAP服务器是使用SLES的标准模式的openldap。 我不知道如何configuration任何限制或filter,为什么只select三个任意组?
我有一个使用Apache在Ubuntu 11.04上运行的Subversion服务器,我试图用LDAPS来挂接authentication。 我得到的Apacheconfiguration文件设置为LDAP(无s)就好,但安全的版本给我…问题。 显然这是一个证书问题。 不幸的是我是一个证书n00b。 我发现这个问题 ,这似乎是我得到的同样的问题。 我尝试将LDAPVerifyServerCert off放在我的httpd.conf中,并且工作正常 – 但是我不认为如果它出现问题,我只想忽略证书,是吗? 我认为我们的LDAP服务器有一个自签名的证书…也许你可以从确认或否认这一点开始。 这是我运行openssl s_client -connect myldap.xyz.edu:636 -showcerts时得到的openssl s_client -connect myldap.xyz.edu:636 -showcerts : CONNECTED(00000003) depth=0 /CN=myldap.xyz.edu verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /CN=myldap.xyz.edu verify error:num=27:certificate not trusted verify return:1 depth=0 /CN=myldap.xyz.edu verify error:num=21:unable to verify the first certificate verify return:1 — Certificate […]
我使用Ubuntu 10.04.4上的FreeRADIUS 2.1.8进行WPA2 802.11x EAP身份validation设置,并使用PEAP / MSCHAPv2,TTLS / MSCHAPv2和TTLS / PAP(均通过AP和eapol_test )进行身份validation 。 我现在试图根据用户所属的LDAP组来限制对特定SSID的访问。 我在/etc/freeradius/modules/ldapconfiguration了组成员身份检查,如下所示: groupname_attribute = cn groupmembership_filter = "(|(&(objectClass=posixGroup)(memberUid=%{User-Name}))(&(objectClass=posixGroup)(uniquemember=%{User-Name})))" 并且我已经根据Mac Auth wiki页面将从被叫台ID中提取的SSIDconfiguration为被叫台SSID。 在/etc/freeradius/eap.conf我已经启用了将外层隧道的属性复制到内层隧道中,以及在外层隧道(对于PEAP和TTLS)中使用内层隧道响应。 然而,在更改这些选项之前,我有相同的行为。 copy_request_to_tunnel = yes use_tunneled_reply = yes 我正在运行eapol_test来testing设置: eapol_test -c peap-mschapv2.conf -a 172.16.0.16 -s testing123 -N 30:s:01-23-45-67-89-01:Example-EAP 使用以下peap-mschapv2.conf文件: network={ ssid="Example-EAP" key_mgmt=WPA-EAP eap=PEAP identity="mgorven" anonymous_identity="anonymous" password="foobar" phase2="autheap=MSCHAPV2" } 在/etc/freeradius/users : DEFAULT […]
我们试图执行LDAPS绑定到一个服务器阻止389防火墙,所以所有的stream量必须超过636。 在我们的testing实验室中,我们连接到一个没有防火墙的testingldap(位于同一台服务器上),因此两个端口都是暴露的。 在testing服务器上运行ldp.exe,我们生成了下面的trace,似乎表明它已经成功绑定了636.但是,如果我们使用wireshark监视stream量,则所有stream量都将被发送到389,而不会尝试连接636。 其他工具只能在636上绑定SSL或者在389上没有SSL绑定,似乎表明它的行为正确,但Wireshark显示为389。 只有我们使用RawCap的testing服务器来捕获本地环回stream量。 有任何想法吗? 0x0 = ldap_unbind(ld); ld = ldap_sslinit("WIN-GF49504Q77T.test.com", 636, 1); Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 0 = ldap_connect(hLdap, NULL); Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv); Host supports SSL, SSL cipher strength = 128 bits Established connection to WIN-GF49504Q77T.test.com. Retrieving base DSA information… Getting 1 entries: Dn: (RootDSE)
这是一直困扰我的事情:我最好如何处理LDAP用户的Debian标准组? Debian有许多默认定义的组,例如plugdev,audio,cdrom等等。 这些控制在标准的Debian安装访问。 当我想要一个来自LDAP的用户成为他们login的所有机器上的“audio”组的成员时,我尝试了一些不同的东西: 把它们添加到机器上的本地组(这个工作,但很难维护) 在LDAP中使用相同的名称和不同的GID创build一个组,然后将该用户添加到该组(打破反向/转发GID映射,似乎不起作用) 在LDAP中使用相同的名称和相同的GID创build一个组,并将用户添加到该组(似乎根本没有工作,事情看不到LDAP组成员) 使用相同的名称和相同的GID在LDAP中创build一个组,然后删除本地组(这样做但是在升级过程中扰乱了Debian的维护脚本,检查本地系统的完整性) 这种情况下的最佳做法是什么?
Ubuntu 12.04服务器上的389-ds启动并运行。 启用Fine-grained password policies并且User must change password after reset在整个树User must change password after reset 。 之后创buildtesting用户。 从CentOS客户端login:提示用户更改密码: You are required to change your password immediately. 从Ubuntu客户端login:用户login, 没有提示 。 复制CentOS客户端configuration文件到Ubuntu客户端,正好是/etc/pam_ldap.conf(在Ubuntu上是/etc/ldap.conf),/etc/nslcd.conf,/etc/openldap/ldap.conf(在Ubuntu / etc / ldap / ldap.conf) – 没有骰子。 两个客户端都authentication成功,都可以更改用户密码。 所有login都是terminallogin,不涉及GUI。 两个客户端上的PAM: Ubuntu的: 将/etc/pam.d/common-account 帐户[成功= 2 new_authtok_reqd =完成默认=忽略] pam_unix.so帐户[成功= 1默认=忽略] pam_ldap.so帐户必需pam_deny.so帐户所需 pam_permit.so 将/etc/pam.d/common-auth auth [成功= 2默认=忽略] […]
Samba是否包含创build内部LDAP服务器的function? 我在Fedora 18上使用Samba版本4.0.3,它是从包pipe理器安装的。 如何设置Samba附带的内部LDAP服务器? 需要启动内部LDAP服务器运行的stream程? 在讨论Samba和LDAP时,我仍然要加快讨论许多术语的速度,所以有更多的介绍性答案,我们将不胜感激。
出于各种原因,我已经成为我工作场所中事实上的LDAPpipe理员。 我已经在工作中学习了大约一年了。 所以,当我描述的东西,随意提出更好的做事方式。 我有一个Novell eDirectory,用于存储员工信息。主要用于validation各种Web服务,如Moodle或Drupal。 但是我也将其用作新员工目录的后端。 我没有看到任何重复数据的点,而已经被重复了。 另外,员工目录听起来正是LDAP所做的事情。 我为每个办公室创build了条目,然后为每个用户build立一个属性,引用其办公室的办公室条目的dn。 我现在面临的问题是每个办公室都有自己的电话号码。 因此,拥有多个办公室的员工(例如,如果他们在多个校园工作)拥有多个电话号码。 由于电话号码跟随员工,我不能只将该号码分配到办公室条目。 所以,我需要一些方法来说,“这个电话号码是为这个办公室。” 如果这是一个MySQL数据库,我只是创build一个表,映射的东西,无论我想要的。 有没有类似的结构,我可以在LDAP中使用? 或者相当的方法? 给我一个详细的例子,我在说什么这里是一个雇员条目的伪ldif: dn: cn=user,ou=staff,dc=college,dc=edu officedn: cn=DC107,ou=locations,dc=college,dc=edu officedn: cn=MAIN222,ou=locations,dc=college,dc=edu phone: 555-555-5555 phone: 111-111-1111 departmentdn: cn=it,ou=departments,ou=groups,dc=college,dc=edu departmentdn: cn=math,ou=departments,ou=groups,dc=college,dc=edu title: web systems admin title: professor of discrete math 那么,我将如何处理: officedn: cn=DC107,ou=locations,dc=college,dc=edu到phone: 555-555-5555 ? 或者officedn: cn=MAIN222,ou=locations,dc=college,dc=edu到phone: 111-111-1111 ? or departmentdn: cn=math,ou=departments,ou=groups,dc=college,dc=edu to title: professor […]