我已经为OpenLDAPconfigurationppolicy覆盖以启用密码策略。 这些东西工作: 密码locking失败的尝试太多 一旦pwdReset = TRUE添加到用户input,需要更改密码 密码过期 如果由于入侵企图(太多错误密码)或时间(到期时间命中)而导致帐户被locking,则该帐户必须由pipe理员重置。 但是,当pipe理员在configuration文件中设置pwdReset = TRUE时,这似乎也覆盖了过期策略。 所以,pipe理员发出的密码(应该是临时密码)永久有效。 OpenLDAP中有没有办法让密码必须改变,但也必须过期?
我正在使用Windows SBS 2008,并且正在创build一个内部Web应用程序,并且想要使用我的LDAP服务器进行身份validation。 什么是最好的方法来确定什么样的连接string我应该使用? 我正在使用python-ldap ,它正在寻找类似的东西: l = ldap.initialize('ldap://192.0.1.220') dn = "cn=myuser,ou=Users,dc=pezcandyinc,dc=com" pw = "mypassword" l.simple_bind_s(dn, pw) 我相信这是它正在寻找,但任何帮助,将不胜感激。
在apache auth中有一个相关的问题:LDAP和htpasswd的组合,但是我想扩展一下。 我想要允许用户在htpasswd文件中,或者他们在LDAP和有效组的成员。 因此, Require valid-user来自另一个问题的Require valid-user不够严格,因为它将允许来自LDAP的任何人。
场景: 我们在LDAP中有用户user1,user2,user3和user4。 和Linux机器linux1,linux2,linux3,linux4,… linux50是在这个LDAP域。 现在的问题是: 如何限制user1仅具有loginlinux1,linux2,linux3和linux4的权限? 其他用户(用户2,用户3,用户4)可以login到所有这些机器(这是微不足道的,我们已经有了)。
我想将用户(从Sun IDM到Active Directory)添加到多个组。 命令memberOf: CN=AAA,OU=AAA,DC=AAA,DC=AAA仅用于一个,我想在第一个之后立即添加第二个; 例如: memberOf: CN=AAA,OU=AAA,DC=AAA,DC=AAA 和 CN=BBB,OU=BBB,DC=BBB,DC=BBB
我根本无法得到这个(TLS连接到openldap)工作,并希望得到一些帮助。 我有一个工作在Ubuntu 10.04 LTS的OpenLDAP服务器,它被configuration为使用cn = config,我可以findTLS的大部分信息似乎使用旧的slapd.conf文件:-( 我一直在这里https://help.ubuntu.com/10.04/serverguide/C/openldap-server.html加上我在这里和其他地方读过的指令,这当然可能是问题的一部分我不完全理解这一切呢! 我创build了一个ssl.ldif文件,如下所示: dn:cn=config add: olcTLSCipherSuite olcTLSCipherSuite: TLSV1+RSA:!NULL add: olcTLSCRLCheck olcTLSCRLCheck: none add: olcTLSVerifyClient olcTLSVerifyClient: never add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/ldap_cacert.pem add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/my.domain.com_slapd_cert.pem add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/my.domain.com_slapd_key.pem 我使用下面的命令行导入它 ldapmodify -x -D cn=admin,dc=mydomain,dc=com -W -f ssl.ldif 我编辑了/ etc / default / slapd,以便它具有以下服务行; SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///" 每当我做出改变时,我都要用/etc/init.d/slapd restart启动slapd 以下testing非TLS连接的命令行工作正常; ldapsearch -d […]
所以我试图以编程方式添加login/注销/ etc脚本与GPO运行。 我将脚本添加到它们各自的/ Sysvol / blah …目录中。 我正确更新scripts.ini文件以反映新的脚本。 我更新了gpt.ini文件以反映新版本(使用正确的十进制来表示正确的hex字节)。 我也更新LDAP值。 我进入组策略pipe理,可以看到GPO。 我可以看到版本号与AD和Sysvol匹配,但是当我转到“设置”选项卡,可以看到我的脚本没有列出。 然后我通过UI编辑GPO(打开gpedit.msc)。 我可以在UI中看到我的login脚本。 我只需点击“确定”确认gpedit用户界面,刷新组策略pipe理界面中的“设置”选项卡,并提示它显示我的脚本。 所以这让我想知道那个UI在做什么,我不是? 哦,我已经尝试过“gpupdate / force”,这是一个不行的:(任何想法?
一位客户询问是否可以通过eDirectory服务器对Windows用户(XP或Win7计算机)进行身份validation,以便能够在Windows 2008服务器上打开会话。 让我试着澄清我的设置: +——–+ +————+ +———+ | Win XP |– ask permision –>| eDirectory |– connects ->| Win2008 | +——–+ +————+ +———+ eDirectory包含集中的用户名/密码列表,可以连接到公司的多台服务器,包括Win2008。 我的客户想用某些凭据login到Windows XP机器,然后能够在Win2008中打开一个会话来使用特定的程序。 如果这是可能的,你能给我一些关于如何做到这一点的指针?
我需要通过LDAP更改Active Directory中的logonHours属性,例如。 使用ldapmodify。 该属性是字节stringtypes。 这可能吗?
我已经安装了Debian Squeeze和sssd。 当我尝试通过SSH用户“alexwinner”login到服务器时,我在日志中看到: (Fri May 11 18:56:03 2012) [[sssd[krb5_child[26281]]]] [get_and_save_tgt] (1): 523: [-1765328360][Preauthentication failed] 但是当我执行kinit alexwinner一切正常,我收到票。 这是我的sssd.conf [sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services = nss, pam domains = MYDOMAIN.COM [nss] filter_groups = root filter_users = root reconnection_retries = 3 ; entry_cache_timeout = 600 ; entry_cache_nowait_timeout = 300 [pam] reconnection_retries = […]