我在Ubuntu 14.04上安装了OpenLDAP和phpLDAPadmin 。 我有一个默认的RootDN ,就像这样: cn=admin,dc=example,dc=com 然后我创build了一些这样的users和组织单位: ou=users,dc=example,dc=com ou=groups,dc=example,dc=com 我也创build了一个Main Admin用户,这将是我的所有服务的pipe理员: cn=Main Admin,ou=users,dc=example,dc=com 现在我想要Main Admin作为RootDN (所以,只有一个pipe理员为所有服务包括LDAP服务)。 有可能做到这一点,怎么做? 只需通过更改olcRootDN值? 密码发生了什么? 我应该将olcRootPW设置为与Main Admin密码相同吗?
我试图在Debian 7.7服务器上设置OpenLDAP。 虽然基本身份validation似乎工作,我不能让“成员”覆盖工作。 作为LDAP新手,所有的成员configuration对我来说似乎都过于复杂 – 尽pipe已经阅读了大量的教程。 在我目前的configuration中,我大多遵循http://gos.si/blog/installing-openldap-on-debian-squeeze-with-olc 我主要说,因为我跳过了“ 创buildLDAP数据库 ”一节中的步骤。 原因是,我无法创build我的数据库,因为所需的olcRootDN( cn=admin,dc=indunet,dc=it )已经被使用。 在使用aptitude安装slapd后,它已经在那儿了。 也许这是从以前的安装遗留下来的,但我做了aptitude purge slapd ,甚至删除了/var/lib/ldap/目录,确保没有更多.ldif文件,所以我不知道为什么cn=admin,dc=indunet,dc=it来自。 所以,我试着用这种方式configuration预先存在的数据库olcDatabase={1}hdb,cn=config (我已经添加了突出显示的条目): 作为参考,父组(“数据库”)具有以下属性: (全尺寸在这里 ) 只有使用绑定DN cn=admin,cn=configlogin时才能看到此cn=admin,cn=config 。 我不能添加用户/组(可能是因为这只是configuration,对吧?)。 所以我添加了几个组和一个用户使用DN cn=admin,dc=indunet,dc=it在phpLDAPadmin中。 在Apache DS中,configuration看起来像这样: 我不确定memberOf是否应该在这个屏幕中可见(我猜是这样),但无论如何,这个属性肯定不会被发送到依赖它的客户端。 如果我的configuration完全被破坏,我不会感到惊讶,但我花了2天的时间来解决这个问题,并诚实地用完了想法… 更新 随着时间的推移,我玩弄了LDAP,这是我新的当前树:
我们已经configuration了一个正常工作的OpenLDAP服务器。 FreeBSD,Debian和一个WordPress插件validation没有问题。 我们使用pam_sssconfigurationFedora 21,但是在/var/log/secure出现以下错误: Mar 1 00:15:00 www sshd[1176]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39 user={REDACTED} Mar 1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39 user={REDACTED} Mar 1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): received for user {REDACTED}: 6 (Permission denied) getent passwd {REDACTED}返回 {REDACTED}:*:1000:500:{REDACTED (full user name)}:/home/users/{REDACTED}: 我运行configuration客户端的命令是 […]
我正在尝试将我的CentOS 6.6服务器集成到Active Directory中。 我从Red Hat使用configuration3(SSSD / Kerberos / LDAP)遵循本指南。 当使用Windows Server 2008 R2服务器作为启用了IMU的域控制器时,一切正常。 但是,当我使用启用了IMU的Windows Server 2012 R2服务器时,我能够获得kerberos票据,join域,searchLDAP,但只要我尝试以控制台的AD用户身份login,在/ var / log / messages中获取此错误消息: Jun 6 11:12:30 test [sssd [krb5_child [4760]]]:预authentication失败 而/ var / log / secure显示了这些错误信息: 6月6日11:12:15testinglogin名:pam_sss(login:auth):为用户[email protected]收到:17(失败设置用户凭证) Jun 6 11:12:17 test login:FAILED LOGIN 1 FROM(null)for [email protected],Authentication failed 使用getent passwd aduser或getent group linuxgroup成功返回。 我试过用这个sssd.conf文件: [SSSD] config_file_version = […]
我试图允许外部基于Linux的应用程序服务器的用户通过LDAPS使用他们的Active Directory凭据进行服务validation。 它适用于pipe理员帐户,但正常用户帐户失败。 问题是有一个“login工作站”设置的用户,限制他们login到域控制器(DC)(或创build一个限制,他们只能login到他们指定的工作站) 初始的LDAP查询是以服务帐户的名义工作的,但是在进行HTTPvalidation时,LDAP服务从服务帐户解除绑定并尝试以用户身份进行绑定。 此时失败。 有没有解决的办法? 通过这种方式来限制对DC的访问是常见的做法吗?
我已经成功configuration了LDAP和SSH。 另外我还添加了一个要求,即用户应该在一个名为admin的组中。 这样可行。 /etc/ldap.conf中用 … pam_groupdn cn=admin,ou=Groups,dc=example,dc=com … 上将/etc/pam.d/sshd …default ubuntu values here… … auth required pam_ldap.so account required pam_ldap.so password required pam_ldap.so session required pam_ldap.so 但是我想在LDAP不可达的紧急情况下为本地backup用户添加一个例外。 这个用户有sudo和authorized_keys 。 我怎样才能做到这一点? 现在我只能看到这个错误信息: sshd[12345]: fatal: Access denied for user backup by PAM account configuration [preauth]
我想authentication和授权一个LDAP组的所有用户(Windows上的ApacheDS 2.0.0-20,使用组中的多个uniqueMember属性和httpdconfiguration中的“Require ldap-group”语句)来访问Web资源。 尝试进行身份validation的用户也是此LDAP组的一部分,如果我在httpdconfiguration中使用“Require valid-user”语句而不是“Require ldap-group”,则授权用户。 build立: 基于Linux的Apache 2.4.23(来自OpenSuse 42.1 Apache Repository) LDAP:基于MS Windows的ApacheDS 2.0.0-20 ApacheDS LDAP中的组configuration: httpd的configuration摘录: <AuthnProviderAlias ldap ldapconfig> LDAPReferrals Off AuthLDAPBindDN "cn=query,ou=users,o=WJWext" AuthLDAPBindPassword secretpassword AuthLDAPURL "ldap://ldap.hostname:10389/o=WJWext?uid?sub" </AuthnProviderAlias> … LogLevel trace7 <Location /xy> … AuthType Basic AuthName "xy" AuthBasicProvider ldapconfig AuthLDAPGroupAttributeIsDN on AuthLDAPGroupAttribute uniqueMember AuthLDAPMaxSubGroupDepth 0 AuthLDAPSubGroupClass groupOfUniqueNames Require ldap-group cn=groupname,ou=groups,o=WJWext … </Location> […]
我正在尝试保护现有的OpenLDAP安装,要求允许匿名用户检索有关logging的信息(如果它知道LDAP中特定用户条目的使用情况)。 假设结构如下: dc=example,dc=com ou=People uid=user1 uid=user2 ou=Groups cn=user1 memberUid:user1 cn=user2 memberUid:user2 cn=common memberUid:user1 memberUid:user2 现在,如果匿名人员知道在LDAP中存在条目uid = user1,他们应该能够检索该用户所属的组的列表。 但是,他们不应该能够发现其他群体。 因此, ldapsearch -b "ou=Groups,dc=example,dc=com"将不会返回任何内容,而ldapsearch -b "ou=Groups,dc=example,dc=com" "(&(objectClass=posixGroup)(memberUid=user1))"应该返回user1所在的所有组。 到目前为止,我已经尝试了几个不同的ACL。 它既可以是search工作,也可以列出所有组,或者不能列出所有组,但search不起作用。 有没有办法使用ACL实现所需的行为? PS:数据库使用标准的nis架构,因为数据库已经有数据更改为rfc2307bis不是一个选项(还有其他原因,为什么在这种情况下这种改变是不可能的)。
不能解决这个问题,这是我的.htaccess: AuthPAM_Enabledclosures AuthType基本 AuthBasicProvider ldap AuthzLDAPAuthoritative on AuthName“MESSAGE” 要求ldap-group cn = CHANGED,cn = CHANGED AuthLDAPURL“ldap:// localhost / dc = CHANGED,dc = CHANGED?uid?sub?(objectClass = posixAccount)” AuthLDAPBindDN已更改 AuthLDAPBindPassword CHANGED AuthLDAPGroupAttribute memberUid AuthLDAPURL是正确的,BindDN和BindPassword也是正确的(用ldapvi -D ..validation)。 Apache版本:Apache / 2.2.9(Debian) 错误信息似乎对我来说是神秘的,我有AuthzLDAPAuthoritative所以问题在哪里。 编辑: LDAP模块被加载,问题不在于它们丢失。 #ls / etc / apache2 / mods-enabled / * ldap * /etc/apache2/mods-enabled/authnz_ldap.load /etc/apache2/mods-enabled/ldap.load EDIT2: 解决它通过改变时髦 要求ldap-group cn […]
突然之间,在过去的几天中,build立到大多数(但不是全部)Amazon EC2实例的SSH连接需要很长时间(最多30秒)。 这个问题与亚马逊一起提出,看看它是否与他们的环境,但我不知道是否有什么我可以检查自己的实例。 大部分时间都花费在这一步: 使用公钥“imported-openssh-key”进行身份validation 一旦在实例上,通过改变用户 su – 新用户名 无限期地挂起。 其他命令(ps,top,find)像以前一样快速运行。 运行在实例上的应用程序(一个Web服务)响应速度非常快。 实例中的CPU,IO和磁盘负载不是很高。 编辑: 最后几行输出从strace su – myusernamebuild议由戴夫: connect(4, {sa_family=AF_INET, sin_port=htons(389), sin_addr=inet_addr("WXYZ")}, 16) = -1 EINPROGRESS (Operation now in progress) poll( 这条线以10秒的间隔持续循环……它在轮询时挂起( 10秒钟,然后重复相同的输出。 引用的IP地址是我们的LDAP服务器的公共IP地址。 问题是这些实例试图通过公共IP地址而不是私有地址来parsingLDAP服务器。 打开公共IP到其他实例解决了这个问题。