我有一个运行OpenLDAP版本2.4.31的Debian服务器,现在我试图连接我的Mac OS X 10.9服务器,以便我可以validation现有的LDAP用户。 我使用目录实用程序成功连接了它们,并将用户logging映射到服务器返回的值。 我做了以下映射: User: inetOrgPerson EmailAddress: mail FirstName: givenName LastName: sn Password: userPassword PrimaryGroupID: #5000 RealName: cn RecordName: uid UniqueID: uidNumber GeneratedUID: mail 我可以使用目录实用程序和本地networking上运行的服务(如Time Machine)成功进行身份validation。 但是,当我尝试访问可从Internet访问的任何服务(如Wiki服务器或Xcode服务器)时,身份validation将失败。 当我尝试login到Wiki时,这是从我的OS X服务器的日志: Nov 29 21:06:55 osx.example.org collabd[437]: [CSAuthService.m:315 11d8d000 +269ms] Digest did not validate Nov 29 21:06:55 osx.example.org collabd[437]: [CSServiceDispatcher.m:260 11d8d000 +0ms] Caught exception "Invalid Credentials" […]
在Mac世界中,您可以将OS X系统与双目录集成在一起,以便OS X向Active Directory寻找身份validation,并为OpenLDAP寻找OS Xpipe理的首选项。 在Windows世界中可以进行以下设置:我想使用LDAP进行域身份validation,使用Active Directory进行托pipe偏好设置。 这可能吗?
我正在构build一个新的LDAP结构。 我想分离创build我的用户的脚本创build我的结构的LDIF脚本。 该结构必须应用于多个服务器(DTAP),但用户只能用于unit testing/开发。 但是当我创build我的组时,Apache DS(仅用于开发)告诉我member是groupOfNames的必需属性。 ERR_279在条目cn = USER_ROLE,ou = groups,dc = company,dc = com中未find必需属性[member(2.5.4.31)] 更具体; 我期望完成的是以下LDIF。 ### Create the group dn: cn=USER_ROLE, ou=groups, dc=company, dc=com objectClass: groupOfNames objectClass: top cn: USER_ROLE # Not adding a member here ### Create the user dn: uid=myUser, ou=accounts, dc=company, dc=com objectClass: inetOrgPerson objectClass: top # More properties ### […]
我们有一个(老的和增长的)Linux机器的基础设施(主要是debian)。 对于用户身份validation,我们使用LDAP来定义具有不同访问权限的多个组。 不幸的是,其中一个团队被称为debian中的标准团体名称。 结果是,无论何时更新与组有关的软件包(例如passwd ),它都会在计算机上创build一个使LDAP组员工组黯然失色的本地组员。 结果是login不再起作用等等。 由于基础设施不是新的,所以改变组名是非常费力的,因为它出现在不同机器上的各种configuration文件中。 问题是:如何禁用本地组文件(永远)? 或者还有其他解决方法吗? 目前,我们必须在每次更新创build之后手动从/etc/groups删除本地员工组。 什么尝试没有成功: 将nsswitch.conf的顺序从group: files ldap更改为group: ldap files – >效果:系统在引导时挂起。
目前我正在改进一个集成了ldap的程序。 此ldap集成目前无法处理ldap引荐。 我明白,我会回来的条目,将持有的URL的引用域控制器,端口和baseDN。 我的问题是: 对于我的ldap目录search,我做了我的主(根)ldap目录的绑定。 当我遇到其中一个转介条目时,我需要知道什么? 我是否需要一个新的绑定到服务器? 如果是这样,是否必要,我用于根系统的用户名和密码也将为子系统工作? 否则,我将无法连接到它? 有一个更简单的方法来告诉ldapsearch自己追逐引荐? 我正在使用openLdap客户端来通过ldap进行search。
在我学习AD DS生态系统时,我遇到了这个定义[link] : 通过使用WindowsServer®2008 ActiveDirectory®轻型目录服务(AD LDS)angular色(以前称为Active Directory应用程序模式(ADAM)) ,可以为启用目录的应用程序提供目录服务,而不会产生域和林的开销,整个森林的单个模式的要求。 我不太明白这是什么意思最后一句话。 上个月我第一次开始使用AD DS,现在我确保了很多意义。 我正在展示和总结你的知识和我所了解的内容,以便了解我目前的知识: 目录:结构。 目录服务:目录的pipe理员。 就像一个数据库pipe理器,但为目录devise和增强。 X.500是定义目录服务的最被接受和已知的标准协议集合。 LDAP:用于定义通过TCP / IPnetworking工作的目录服务的最常用和已知的协议。 广告 AD是一个Microsoft数据库,用于存储用户login和组信息以及驱动组策略和其他应用程序软件的configuration信息。 ( Active Directory解释 ) AD DS: 微软的目录服务器。 ( 什么是Active Directory域服务,它是如何工作的? ) 一套服务和应用程序使Microsoft能够通过networkingpipe理资源,用户,authentication,授权等。 AD LDS:属于AD DS的目录服务。 AD定义我也已经知道:域,域控制器,树,森林和命名空间。 架构:它定义目录内的对象类结构。 目录启用的应用程序: 启用目录的应用程序是使用命名或目录服务的应用程序。 ( http://docs.oracle.com/javase/jndi/tutorial/getStarted/concepts/java.html ) 现在,“ 你可以为支持目录的应用程序提供目录服务,而不会导致域和森林的开销以及整个森林中单个模式的需求 ”是什么意思? 什么是单一模式? 为什么这是一个优势? 提前致谢。
长标题要求简短的回答:) 我有一个默认模式的ldap服务器。 在一些组织单位下,我有一些具有结构objectClass person和另外两个claudss uidObject和top的 条目 。 我需要为这些名为enabledServices的条目添加一个属性,并且我希望在其中存储特定人员可以访问的每个服务(主要是针对vpn)。 从我目前为止所理解的,我可以创build一个新的objectClass只有一个属性,我可以添加到我的项目类。 我的问题是我如何创build这样一个类? 我的设置涉及到Ubuntu机器上的slapd和phpldapadmin。
我在OpenLDAP中散列并腌制密码,以便在Linux中通过PAM进行login。 当散列是SHA-1types(含盐或无盐)或纯文本时,设置工作。 在这些情况下,一切正常,用户可以使用这些凭据login。 如果我切换到盐渍SHA-256(SSHA-256)密码,则用户无法使用正确的密码login。 可能pam_ldap不理解SHA-256? 我找不到任何文件说明这个限制,但也找不到configuration示例显示这是可能的。 我需要做什么? 为SHA-256configuration/编译pam_ldap? 使用比PAM更别的东西? 我不得不使用腌制的SHA-256,因为证书已经存在于另一个(领先的)数据存储中,必须同步到OpenLDAP。
在SFU和IdMU被微软认为不被使用的情况下,如何在Active Directory中以可扩展和可靠的方式实现RFC2307属性的自动化和pipe理?而在Server 2016中将不可用? 我的目标是在Active Directory中创build用户或组时自动设置uidNumber,gidNumber,unixHomeDirectory和loginShell。 将用户添加到组时,还应将该用户添加到该组的memberUid属性中。 我已经考虑过使用自制的Powershell或者VB脚本,但是当多个pipe理员使用高可靠性要求的生产系统中的数以千计的用户使用它时,感觉并不是非常可扩展的。 我觉得这应该是一个普遍的问题,应该有好的解决办法,但是我找不到。
我们有一个openldap服务器,不想允许未encryption的通信,所以可以接受的是通过端口389( starttls )或ssl超过636( ldaps )。 当我们使用slapd.conf进行configuration时, olcSecurity不是一个选项。 TLSCipherSuite似乎是用slapd.conf来完成的。 但是,当使用该slapd要么不启动或忽略设置(即接受未encryption的请求)。 在使用时slapd不会启动(错误:TLS init def ctx失败:-1): – TLSCipherSuite ALL – TLSCipherSuite Default – TLSCipherSuite ALL:!NULL – TLSCipherSuite ALL:!aNULL – TLSCipherSuite AES256-SHA #one of the ciphers offered by openssl slapd启动,但在使用时接受未encryption的请求: – TLSCipherSuite NORMAL – TLSCipherSuite NORMAL:!NULL #would be acceptable – TLSCipherSuite !NULL #would be acceptable 我们testing ldapsearch -L -x […]