Articles of ldap

我已经在一个房子里开始了一个新的工作，他们在Linux，xBSD和OpenSolaris盒子里拼凑了一大堆不可思议的东西。 每个盒子都有自己的用户authentication，使用本地/ etc / passwd等等。用户/组在每台机器上都有不同的uid / gid，每台机器都有自己的/ home / tree。 （没有中央NAS /家庭）我的工作是得到一切到LDAP目录，并使用它进行login身份validation。 我如何获得LDAP来处理不同的uids / gids？ 谢谢。

我有一个LDAP服务器上运行： ldap://129.168.0.117:389 要么 ldap://roshd.org:389其中roshd.org = 129.168.0.117 我在phpldapadmin的config.php中有这样的configuration： $servers = new Datastore(); $servers->newServer('ldap_pla'); $servers->setValue('server','name','My LDAP Server'); $servers->setValue('server','host','192.168.0.117'); $servers->setValue('server','port',389); $servers->setValue('login','auth_type','session'); $servers->setValue('login','bind_id','cn=Manager,dc=roshd,dc=org'); $servers->setValue('login','bind_pass','secret'); $servers->setValue('auto_number','search_base','ou=People,dc=roshd,dc=org'); 在我的sldap.conf中： … database bdb directory /usr/local/var/openldap-data suffix "dc=roshd,dc=org" rootdn "cn=Manager,dc=roshd,dc=org" rootpw secret … … database bdb directory /usr/local/var/openldap-data suffix "dc=roshd,dc=org" rootdn "cn=Manager,dc=roshd,dc=org" rootpw secret … 但是当我试图loginphpldapadmin，我得到这个错误。 有什么想法吗？ Unable to connect to LDAP server My […]

我的一个Mac启动脚本需要从AD中获取一个属性，这个属性不是我用内置工具dscl查看的，而这个工具几乎局限于用户，组和计算机search。 通常我只是做一个原始的LDAP查询，但我需要这样的情况发生之前有一个用户login提供凭据。 内置dscl显然可以从AD中获取数据，而无需用户进行身份validation，所以我假设在计算机帐户上下文中必须有一种方法。 不幸的是，我的googlefu到目前为止已经完全失败了。

我得到了可怕的sudo: must be setuid root即使/usr/bin/sudo的可执行文件拥有所有权root:root和mode 4755（ -rwsr-xr-x ），也sudo: must be setuid root错误。 /etc/sudoers是模式440.我的用户是在sudoers与所有适当的设置。 我已经清除并重新安装了该软件包，但无济于事。 我最初没有configuration这台机器。 它的维护已经下降到默认情况下。 这种行为是否可能与PAM进行交互？如果是这样，我该如何解决？ 该机器正在运行Debian 2.6.26-2-686 SMP内核。 没有写入/var/log/auth.log失败，所以它在这之前救援。 更新：这里的sudoers（删除了很​​多多余的注释行），但我很确定这不是问题。 Defaults env_reset Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:\ /usr/bin:/sbin:/bin" # Host alias specification # User alias specification User_Alias SUDOERS=david Defaults:SUDOERS !lecture,!authenticate # User privilege specification root ALL=(ALL:ALL) ALL %sudo ALL=(ALL:ALL) ALL SUDOERS ALL=(ALL:ALL) ALL 是的，我知道这太松懈了。 当我得到它的工作，我会收紧它。 据我所知，它甚至从来没有读到这个文件的阶段，但是当sudo进程本身试图升级它的用户ID时就死掉了。 […]

我有一个用/ bin / bash在LDAP中创build用户的testing，然后将ldap属性修改为/ bin / noshell，但getent和ldapsearch的结果与shell不一致。 该用户在/ etc / passwd中不存在。 当我做一个“getent check72 passwd”时，我得到： check72:*:6072:6072:Johnny Appleseed:/home/check72:/bin/bash 但是当我做一个ldapsearch命令时，我得到： # check72, people, wh.local dn: uid=check72,ou=people,dc=wh,dc=local uid: check72 cn: Johnny Appleseed objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e1NTSEF9OWVHdTdPVHIwVE15ajNQNEphdG9GR1cwZnQxa2Ftb3k= shadowLastChange: 15140 shadowMax: 99999 shadowWarning: 7 uidNumber: 6072 gidNumber: 6072 homeDirectory: /home/check72 loginShell: /bin/noshell # check72, group, […]

有没有什么办法来枚举Puppet中的一个组内的所有用户数组，作为一个事实或东西，所以我可以做这样的事情？ $users = enumusers('wheel') each($users) |$user| { dostuff{"stuff:$user": user=>$user } } 用户通过LDAP进行pipe理，但是我可以让PuppetselectLDAP用户并使其一致。

我有一个Windows 2008域，我通过ldapsearch查询，如果我使用一个域pipe理员帐户，我得到所有用户，但我如果使用我为此创build的服务帐户，我错过了随机对象。 例如： #> ldapsearch -LLL -H ldap://domain-controller.my-domain.com:389 -b 'dc=MY-DOMAIN,dc=COM' -D 'MY-DOMAIN\administrator' -W '(&(objectClass=Person)(sAMAccountName=*)(memberof=cn=StashTeam,ou=MyTeams,ou=MyDomainUsers,dc=MY-DOMAIN,dc=COM)(!(userAccountControl=514)))' | grep cn: 我得到一个列表： cn: Homer Simpson cn: Marge Simpson cn: Bart Simpson cn: Lisa Simpson cn: Maggie Simpson 但是，如果我运行（使用我的服务帐户）： #> ldapsearch -LLL -H ldap://domain-controller.my-domain.com:389 -b 'dc=MY-DOMAIN,dc=COM' -D 'MY-DOMAIN\ServiceUser' -W '(&(objectClass=Person)(sAMAccountName=*)(memberof=cn=StashTeam,ou=MyTeams,ou=MyDomainUsers,dc=MY-DOMAIN,dc=COM)(!(userAccountControl=514)))' | grep cn: 我得到一个像这样的列表： cn: Homer Simpson cn: Lisa Simpson […]

我想构build一个LDAP查询来查找属于我的OS X 10.9服务器上的“Google Apps用户”组（简称：googleappsusers）的所有用户。 当我在Google Apps Directory Sync（GADS）中运行以下查询时，它将返回零个用户，尽pipe事实上我确实在googleappsusers组中有一个用户。 (&(objectCategory=users)(memberOf=cn=googleappsusers,cn=groups,dc=nyc1,dc=domain,dc=com))

我正在尝试configuration在Centos 6.5上运行的SASL，以允许对企业活动目录服务器进行身份validation。 最终目标是validation在这个服务器上运行的一些subversion repos的访问权限，但是在这个阶段，我只是想让saslauthd进行身份validation，然后使用testsaslauthd进行testing。 每次在日志中使用以下命令validation都会失败： saslauthd[20843] :do_auth : auth failure: [user=MYUSER] [service=svn] [realm=MYREALM] [mech=ldap] [reason=Unknown] saslauthd[20843] :do_request : response: NO 这是我的/etc/saslauthd.conf： ldap_auth_method: bind ldap_servers: ldaps://ldap.ad.mycompany.com:3269/ ldap_bind_dn: MYBINDDN ldap_password: xxxxxxxxxx ldap_search_base: DC=mycompany,DC=xx ldap_filter: (&(cn=%u)(objectClass=person)) ldap_referrals: yes log_level: 10 请注意，我知道ldap服务器的URI，绑定的DN，密码，search的基础和filter是正确的，因为我有一个Perl脚本，使用这些来执行Web站点的身份validation，它工作正常。 perl脚本使用Net :: LDAP，绑定到AD，使用search基础search用户并筛选，然后尝试使用用户的DN和密码进行绑定。 据我所知，这正是SASL应该按照我configuration的方式进行的尝试。 我的第一个观察是，尽pipe设置了log_level为10，但我只有一行告诉我它失败，原因不明。 我使用-d（debugging）选项从shell启动saslauthd。 还有什么可以获得更多的debugging输出？ 有什么办法可以loggingLDAP交互吗？ 最后，任何人都可以看到我的configuration有什么问题吗？ 也许一些AD怪癖需要SASLconfiguration中的特殊设置？

我正尝试在Apache上运行的网站上使用Active Directory用户进行身份validation。 我的设置 活动目录：用户“steven”是“员工”组的成员。 用户“cindy”是属于“职员”（= cindy是“职员”组的一个子组）成员的“财务”组的成员。 Apache： Apache 2.4与mod_authnz_ldap 我的Apache网站configuration： AuthName "Please enter your login data." AuthType Basic AuthBasicProvider ldap AuthLDAPBindDN [email protected] AuthLDAPBindPassword "userpassword" AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)" Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local 问题 Steven（或其他任何可能是“staff”组的直接成员的用户）authentication成功，但是cindy等子组的成员将不会进行authentication。 我已经尝试添加“AuthLDAPMaxSubGroupDepth 10”（10无论如何应该是默认值），但这也没有帮助。 任何人可能会帮助？