我有一个运行Gitlab CE安装LDAP身份validation。 现在我想限制基于组成员资格的访问。 选项user_filter似乎是一个select。 但是,我似乎无法让任何人被允许根据组成员login。 我试过的是( gitlabaccess是应该被允许login的组): user_filter: '(&(objectclass=group)(samaccountname=gitlabaccess))' 要么: user_filter: '(memberOf=cn=gitlabaccess,DC=my,DC=domain,DC=com)' 该文件声明以下,但它也不起作用,我不知道应该是什么数字: user_filter: '(memberOf:1.2.840.113556.1.4.1941:=cn=gitlabaccess,DC=my,DC=domain,DC=com)' 特定用户的工作是这样的: user_filter: '(&(objectclass=user)(samaccountname=jon.doe))' 从omnibus软件包安装的Gitlab CE版本9.5.5。 如何限制基于LDAP组成员资格的访问Gitlab?
我在Ubuntu上find了大量有关安装OpenLDAP的资源/教程,并且已经成功configuration了我的服务器(启动并运行并成功validation)。 我的问题涉及到如何设置架构,因为我似乎无法find任何有用的资源。 我也开始认为我正在尝试让LDAP做更多的事情,然后打算这样做,如果是这样,请随时指出。 这是我的情况: 3个服务器,每个用户(开发人员,实习生,客户,经理等)都具有各种具有LDAP能力的应用程序(每个类别主要是基于Web的),每类用户都需要访问所有应用程序的子集 我曾经想过要将每个用户分配给一些“angular色”,然后授予应用程序权限给angular色,而不是用户。 这样,当我添加新用户,我只需要分配一个angular色,而不是访问单个应用程序。 也就是说,如果我们添加了一个新的应用程序或决定一类用户应该有权访问某个现有的应用程序,那么只需要更新angular色,而不是每个用户。 这是一些我可以/应该做的LDAP,或者我应该看看一个替代,如桑巴?
我正在使用LDAP + Kerberos来对Windows 2003 R2上的Active Directory进行身份validation。 我的krb5.conf和ldap.conf似乎是正确的(根据我在网上find的几乎所有样本)。 我可以使用密码和ssh密钥login到主机。 当我运行getent passwd时,我所有的ldap用户帐户都列出了所有重要的属性。 当我运行getent组时,所有ldap组和它们的gid被列出,但是没有组成员。 如果我在任何组上运行ldapsearch和filter,则所有成员都以“member”属性列出。 所以数据在那里,只是没有被正确parsing。 看起来我只是在ldap.conf中使用了一个不正确的映射,但我看不到它。 我已经尝试了几个变化,都给出了相同的结果。 这是我目前的ldap.conf: host <ad-host1-ip> <ad-host2-ip> base dc=my,dc=full,dc=dn uri ldap://<ad-host1> ldap://<ad-host2> ldap_version 3 binddn <mybinddn> bindpw <mybindpw> scope sub bind_policy hard nss_reconnect_tries 3 nss_reconnect_sleeptime 1 nss_reconnect_maxsleeptime 8 nss_reconnect_maxconntries 3 nss_map_objectclass posixAccount User nss_map_objectclass posixGroup Group nss_map_attribute uid sAMAccountName nss_map_attribute gidNumber msSFU30GidNumber nss_map_attribute […]
我使用FreeBSD 7.2作为NFS服务器,并作为OpenLDAP服务器(运行Debian etch)的客户端。 当用户访问NFS服务器上的文件时,用户的UID在ldap服务器中查找并映射到用户名(通过nsswitch)。 我的问题是,即使在将FreeBSDconfiguration为ldap服务器的客户端之后,也无法进行身份validation。 我知道configuration是正确的,因为input“ldapsearch”给我一个ldap服务器上所有用户的列表。 我使用http://www.freebsd.org/doc/en/articles/ldap-auth/client.html上的文档来进行configuration。 这些文档中是否有缺失? 这是PAM / NSS使用的ldap.conf: [root@csastorage /csastore]# cat /usr/local/etc/ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. #BASE dc=example,dc=com #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 BASE dc=cl,dc=csa,dc=iisc,dc=ernet,dc=in URI ldaps://<server address>/ TLS_REQCERT allow TLS_CACERT /usr/local/etc/openldap/server.pem #SIZELIMIT 12 #TIMELIMIT 15 #DEREF […]
我正在RHEL 5系统上为通过Apache托pipe的Subversion存储库设置LDAP身份validation。 当我尝试使用Active Directory进行身份validation时,遇到两个不同的问题。 <Location /svn/> Dav svn SvnParentPath /srv/subversion SVNListParentPath On AuthType Basic AuthName "Subversion Repository" AuthBasicProvider ldap AuthLDAPBindDN "cn=userfoo,ou=Service Accounts,ou=User Accounts,dc=my,dc=example,dc=com" AuthLDAPBindPassword "mypass" AuthLDAPUrl "ldap://my.example.com:389/ou=User Accounts,dc=my,dc=example,dc=com?sAMAccountName?sub?(objectClass=user)" NONE Require valid-user </Location> 如果我使用上面的configuration,它会不断地提示我提供基本提示,最后我必须selectCancel,它将返回401(需要授权)。 如果我注释掉绑定部分,它返回500(内部服务器错误),抱怨authentication失败: [Mon Nov 02 12:00:00 2009] [warn] [client xxxx] [10744] auth_ldap authenticate: user myuser authentication failed; URI /svn [ldap_search_ext_s() for user failed][Operations […]
我们有一个Linux服务器场以及一些Windows机器,最后我们从两个并行身份validation系统(使用Fedora目录服务和Active Directory)移动到了一个 – 只是Active Directory。 我configuration了LDAPS,除了一件事以外,一切正常。 我在部署前检查了我可以更改我的密码,我仍然可以。 但我是pipe理员。 (实际上,我是一个在电视上播放pipe理员的工程师,但这又是一个故事。) 我的用户都不能更改他们的密码(在Linux命令行上使用passwd)。 他们得到错误 LDAP password information update failed: Can't contact LDAP server 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 围绕Google运行并没有给出任何明显的答案,但很明显,当pipe理员可以做到这一点时,用户有权通过LDAPS更改密码时会遇到一些问题。 (当然,我已经检查过用户有权更改密码)。 有任何想法吗?
我有3个完整的信任域(2个孩子和一个根)。 我需要使用LDAP来允许域用户进行身份validation。 诀窍是,我需要应用程序使用AD服务器的子域BUT代理根域的LDAP查询和身份validation。 我发现它可能与AD LDS和一些信任和同步,但它看起来很毛茸茸,过于复杂。 它的缺点是: 3个域(Parent,ChildA,ChildB) 我的第三方应用程序将需要使用ChildA域名服务器来validation:a。 父域中的用户或b。 ChildB域中的用户 我已经在所有域之间有完全的信任,并且常规NTLM身份validation正常工作(除非您尝试使用LDAP进行身份validation)
我在RHEL 5.4上设置了一个OpenLDAP服务器,并configuration其他服务器来对其进行身份validation。 我有两个StartdLS ldap和ldapsconfiguration和工作。 在我的客户端机器上,我的/etc/nsswitch.conf包含: passwd: files ldap shadow: files ldap group: files ldap 我可以用一个只在LDAP中定义的用户成功login到一个客户端(也就是说,在/ etc / passwd中找不到它,并且成功地向LDAP请求用户信息,并通过存储在LDAP中的密码哈希进行身份validation)。 我的问题是,当我试图locking访问LDAP服务器中的属性时,特别是在/etc/openldap/slapd.conf中 ,ldap用户不能再login: access to attrs=userpassword by self write by anonymous auth by * none 我loggingslapd,它出现(我的解释,纠正我,如果我错了),pam_ldap正试图读取 poxixAccount objectClass中的所有属性: filter: (&(objectClass=posixAccount)(uid=cthompson)) attrs: uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 在我的openldap日志logging,我没有访问或acl错误,但我得到: access_allowed: search access to "uid=cthompson,ou=People,dc=domain,dc=com" "objectClass" […]
我将使用一些DSQUERY / DSMOVE脚本来清理我的AD Domin。 一种select是将非活动对象移动到应用了限制性GPO的OU。 就像是: DSQUERY computer -inactive 10 | DSMOVE -newparent <distinguished name of target OU> 我的问题是什么值定义一个对象,用户和计算机,在一段时间内为“非活动”? 这是计算机最后一次login计算机帐户的时间,对于用户而言,这是用户帐户最后一次login到计算机的时间吗? 但是,举个例子来说,如果我有一台networking服务器没有重新启动,或者login了几个月,但是仍然保持开机并正常运行,它会被定义为“非活动”,在技术上它仍然在服务网页等? 谢谢您的帮助!
我有一个命令来清除我们的活动目录(AD)结构并重build它进行testing。 该命令还将用于Prod进行AD结构的初始设置。 在我们的开发沙箱AD服务器,它工作正常。 在QA AD服务器中,我收到错误消息 此请求的pipe理限制已超出。 谷歌search已经表明,我需要在循环中调用删除方法,例外,或者让pipe理员更改设置。 设置它的是需要改变,如果有硬编码的最大值? 他们是不同的活动目录。 这一个是Server 2008 R2,另一个是Server 2003。