在我继续冒险与LDAP,我不断遇到“多森林环境”的短语。 虽然我非常确定这不适用于我,但我很好奇,知道这意味着什么。
这是一个小型(60名雇员)公司的内部目录。 我被困在OpenDS和ApacheDS之间。 任何build议? 我很担心oracle会杀死OpenDS开发。
我正在使用OpenLDAP工具中的ldapsearch来search我们的公司Active Directory中的电子邮件和电话号码。 这个查询是一个testing,以确保我可以对域进行身份validation,所以我可以build立一个具有NTLM身份validation的Linux维基。 我的理论是,如果我可以成功地查询AD的信息,那么我更接近让我的维基对AD进行身份validation(我有指示在ActiveDirectory下设置moin维基 )。 问题是,我似乎无法得到正确的ldapsearch查询。 我在网上看过许多教程,表明-D应该是-D "Americas\John_Marsharll" ; 但是,我不断收到ldap_bind: Invalid credentials (49)当我使用Americas\John_Marshall时, ldap_bind: Invalid credentials (49)错误消息。 只有当我使用下面的参数进行查询时,才能得到明智的结果。 然而,即使如此,我不知道如何获得电子邮件和电话号码。 [John_Marshall@WN7-BG3YSM1 ~]$ ldapsearch -x -h 10.1.1.1 \ -b "cn=Users,dc=Americas" mail telephonenumber -D "cn=John_Marshall,dc=Americas" # extended LDIF # # LDAPv3 # base <cn=Users,dc=Americas> with scope subtree # filter: (objectclass=*) # requesting: mail telephonenumber -D cn=John_Marshall,dc=Americas # # […]
我有ou =人,在那里我储存了我们的员工。 我必须把它们分成我们现在的员工和前任员工。 我在想的是创build2个组,ou =员工,ou =人员和ou =前员工,ou =人员,但更改uid的entryDN似乎有点棘手… 我应该添加一个自定义属性还是创build一些组? 最佳做法是什么?
我在这里有一个边缘案例。 我的学校有一个RHEL服务器,学生可以login并完成他们的工作。 帐户保存在LDAP中,服务器使用PAM和LDAP进行身份validation。 在学年结束时,我需要locking这台服务器上的学生帐户 – 即保持它们完好无损,但是防止用户login。我尝试了passwd -l和usermod -L ,但是在这两种情况下用户都可以仍然login。 有没有办法locking一个能与PAM LDAP一起使用的帐户?
有谁知道一个解决scheme,可以让我做Windows Active Directory和托pipe在Linux服务器上的LDAP服务器之间的用户帐户同步? 我目前在看FreeIPA(www.freeIPA.org)和389DS( http://directory.fedoraproject.org )。 我期待做帐户同步,因为AD服务器正在部署在我们的总部,没有硬化(没有生成器支持,只有一个互联网连接),而Linux LDAP服务器正在部署到一个硬化的数据中心。 数据中心中的所有机器都是基于Linux的,总部的机器中有90%是Windows。 我知道389DS和FreeIPA有同步的用户,但他们需要安装一个单独的程序来做密码。 我很好奇,如果有人知道如何让Linux中的Kerberos从机与Linux LDAP服务器进行密码authentication,并从Windows服务器接收更新,那么不需要安装额外的应用程序, AD服务器closures后,Linux主机仍然可以通过Linux LDAP服务器进行身份validation。 我们大约50%的用户都是基于Windows的用户,45%的用户使用Windows和Linux,最后5%的用户使用苹果电脑,而我目前正试图build立一个让用户只知道1个用户名和密码login到我们所有的系统。
我是新来的ldap。 我需要指定用户名明文与一些参数没有任何sasl。 所以这个命令会给你一些search结果,但它总是空的,因为没有授权: ldapsearch -h 1.1.1.1 -p 389 -D "OU=SysAcc,OU=Infra,dc=mydomain,dc=com" -b "OU=blg,dc=whatever,dc=whatever2,dc=com" 我发现我可以添加-w mypasswd来指定密码,我可以在哪里指定用户名? 我开始使用ldapsearch因为我很难在我正在尝试设置的Web应用程序之一中configurationLDAP。 只是想检查我的参数是否正确与ldapsearch工具,但我找不到如何指定用户名。 编辑: 从上面的答案只是想写一个最终的命令应该是: ldapsearch -h 1.1.1.1 -p 389 -W -D "CN=sysMYUSER,OU=SysAcc,OU=Infra,dc=mydomain,dc=com" -b "OU=blg,dc=whatever,dc=whatever2,dc=com"
我在仔细研究OpenLDAP的源代码,并且看到了根DSE支持绝对filter的地方。 它看起来像它在RFC4526中指定它看起来像最初起草它的作者是在OpenLDAP项目上工作,所以我不知道这是否是有用的具体实施或什么。 RFC无论如何给出了这个定义: An 'and' filter consisting of an empty set of filters SHALL evaluate to True. This filter is represented by the string "(&)". An 'or' filter consisting of an empty set of filters SHALL evaluate to False. This filter is represented by the string "(|)" 我的问题是:这有什么用处? 我想不出有什么能够做你以前做不到的事情的例子。 如果你想要一个绝对的AND那么你不能(objectClass=*)filter,因为所有的条目必须至less有一个对象类? 我唯一能想到的就是绝对错误。 这可能是因为你只是想在服务器上做一个noop来确保通信仍然正常运行。 这仍然是多余的,因为我会认为查询根DSE和丢弃结果会做同样的事情,不可能是所有的计算成本昂贵。 在ldapsearch使用filter产生的结果,我想我应该期望给出上面的结果: [root@hypervisor […]
我有一个Ubuntu服务器,能够validation用户对我们的域名。 我不能联系谁设置了这个,但我find这些包安装: libaprtil1-ldap libldap-2.4-2 samba 我们的服务器在这一点上花了很长时间来validation任何用户。 我相信是因为我们的一个区议会几个星期前被禁用了。 这会导致许多程序在成功validation之前用于超时。 我不想卸载任何东西,因为我不想为我们的pipe理员做更多的工作。 我只是需要一些build议,我可以如何禁用这一点,直到事情得到解决。
我已经做了LDAPauthenticationconfiguration,并尝试在Ubuntu 14.04 TLS上对LDAP服务器进行authentication。 这是nsswitch.conf文件: # /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. # pre_auth-client-config # passwd: compat ldap passwd: files ldap # pre_auth-client-config # group: compat ldap group: files […]