以下是迄今为止不起作用的东西; (&(objectCategory =人)(objectClass的=组)(CN = group_in_question)) (&(objectClass的=组)(objectCategory =组)(成员= CN = group_in_question)) (&(=的samAccountName%USERNAME%)(=的memberOf CN = group_in_question)) (&(objectCategory =人)(objectClass的=用户)(=的memberOf CN = group_in_question,OU =组,DC = MYDOMAIN,DC = COM))
我相信你们中的一些人已经处理了同样的问题。 我希望有人比我现在做的有更好的答案。 所以,你在LDAP目录中有一些用户,有一天你会说:“嗨!我可以通过SSHvalidation这个东西!” 这很好。 然后有一天,你意识到你只想要某些用户能够进入一台机器。 比方说,开发者应该只能进入开发箱,而不是产品。 你做一些search,find你的LDAPconfiguration( /etc/ldap.conf )中的pam_groupdn ,如下所示: pam_groupdn CN=developers,OU=groups,DC=yourcompany 而且,这又是好事。 你制造另一组产品,另一组作为质量保证等。也许有一天,你有第二个产品开发组,所以他们得到自己的组。 随你。 然后有一天,你有一个服务器,开发人员和QA都需要能够login。 呃…事实certificate, pam_groupdn不会取多个值。 你是做什么? 那么,如果你没有多想,你会说:“哦,我只是做一个开发者和QA团队!”。 pam_groupdn CN=developers-and-QA,OU=groups,DC=yourcompany 这是…不好,但没关系,对吧? 那么有一天,你会得到另一个开发人员,你意识到你需要把他们添加到15个组,因为有developers-and-QA , product1-and-product2 , developers-who-have-access-to-prod等等。 废话。 有一个更好的方法来做到这一点,对吧? 我发邮件给pam_ldap的开发者,他们说,不幸的是,没有办法让pam_groupdn取得多个值(而不需要在代码中pam_groupdn )。 任何人都希望分享他们如何pipe理LDAP中的组,而不诉诸复制/粘贴?
我们的用户和组LDAPconfiguration正在工作。 我们的服务器使用LDAP来存储用户和组。 # /etc/nsswitch.conf : passwd: compat ldap group: compat ldap shadow: compat ldap 但是今天我们在LDAP中添加了一个新的组,其中有3个用户,然后添加了其他用户。 3个用户在组中,而不是其他用户。 我们可以通过使用“groups”来看到:更确切地说,“getent group GROUPNAME”显示组中的用户,而“groups”不显示该用户的组… …! 所以我想了解: 是否有某种组的caching – LDAP列表? 或者是否有可能同步失败,如果是的话,如何手动重新启动呢? 对不起,我的问题不是更确切,但我真的不知道从哪里开始… PSconfiguration文件 # /etc/ldap/ldap.conf URI ldap://172.16.1.232 TLS_CACERT /etc/ssl/certs/ca-certificates.crt # /etc/pam_ldap.conf base dc=ourdomain,dc=ch uri ldap://172.16.1.232/ ldap_version 3 rootbinddn cn=admin,dc=ourdomain,dc=ch pam_password crypt
我需要确保我的LDAP服务器,我不太确定最好的方法去做。 我正在运行Debian“Lenny”,并使用OpenLDAP(slapd)。 我注意到,如果我运行: ldapsearch -x -W -b 'dc=example,dc=com' -H 'ldap://127.0.0.1:389/' 'objectclass=*' 当它提示input密码时,只需按ENTER键,即可获得目录条目列表。 匿名访问是不可接受的,如果我打开这个互联网,但不能find一种方法来禁用匿名访问。 我已经尝试修改/etc/ldap/slapd.conf到以下内容: 进入 * 由dn =“cn = admin,dc = example,dc = com”写入 由*无 …但这并不能解决问题。 在此之后,我会通过TLS运行它,但是仍然允许匿名访问,但是这样做毫无意义。 有任何想法吗?
我做了一些Googlesearch,并且无处不在,它说Windows Home无法join域或LDAP或不推荐。 但有没有办法? 我们不需要一个Active Directory,简单的LDAP与Z驱动器就足够了? 我们有很多Windows Home 7用户的原因,并希望将它们添加到我们的LDAP?
我已经获得带有SSL的OpenLDAP,并且在带有签名证书的testing框中工作。 我可以在Windows上使用LDAP工具来查看LDAP上的LDAP(端口636)。 但是,当我运行dpkg-reconfigure ldap-auth-config来设置我的本地login使用ldaps时,我在该目录下的用户名下login不起作用。 如果我改变configuration使用普通的ldap(端口389),它工作得很好(我可以在目录下的用户名login)。 当它的设置ldaps我得到Auth.log显示: Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: reconnecting to LDAP server… Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server 我会提供任何需要的。 我不知道还有什么要包括的。
我在使用运行时configuration(cn = config)修改OpenLDAP安装模式时遇到问题。 我想要做的是修改现有的属性,并添加新的自定义架构。 我在尝试应用更改时遇到的错误是“没有这样的对象”或“没有这样的值”。 使用JXplorer浏览器时,错误是: javax.naming.NameNotFoundException: [LDAP: error code 32 – No Such Object]; remaining name 'cn={15}mySchema,cn=schema,cn=config' 从命令行在ldif文件上使用ldapmodify会引发同样的错误: ldapmodify -h ldap://localhost/cn=config -x -p 389 -D cn=admin,cn=config -W -f modify.ldif modifying entry "cn={15}mySchema,cn=schema,cn=config" ldap_modify: No such object (32) 但奇怪的是,即使发生此错误,也会为当前的slapd服务实例提交更改。 例如,如果我添加了新的属性并修改了一个对象以包含这些属性,那么这些属性在使用该对象的条目中可用。 我可以继续,如果变化的工作。 然而,如果slapd服务重新启动,则更改将被恢复。 如果我删除ldif文件中DN的前导{15},或者属性值的类似前缀,我会得到相同的错误(虽然可能是由于不同的原因): modifying entry "cn=mySchema,cn=schema,cn=config" ldap_modify: No such object (32) matched DN: cn=schema,cn=config 更重要的是,我可以毫无问题地修改cn […]
我已经在EC2的CentOS 6.2 x86_64上安装了Graphite Web 0.9.9,并试图使用LDAP身份validation来对抗389 Directory Server。 我已经configurationlocal_settings.py: USE_LDAP_AUTH LDAP_URI LDAP_SEARCH_BASE LDAP_BASE_USER LDAP_BASE_PASS LDAP_USER_QUERY 但每次尝试login时,我仍然会收到“validation尝试失败”。查看LDAP服务器上的日志,看起来并不像graphite-web正在连接到LDAP服务器。 不幸的是,我在石墨服务器上的日志中没有看到任何有用的东西 – 我只看到“access.log”和“info.log”。 “error.log”和“exception.log”是空的。 有什么好的想法可以做些什么来进一步解决这个问题?
我想在我的Subversion Edge“版本库访问规则”中使用LDAP组。 例如,如果LDAP用户smokris是LDAP组dev的成员,我希望能够授予dev组访问test-repository权限,而无需将组dev每个成员显式添加到资源库访问规则中。 这是什么语法? 我试过了: [test-repository:/] dev=rw [/] *= …但用户smokris被拒绝访问。
我在将第二个LDAP服务器添加到客户端configuration时遇到问题。 如果我configuration客户端使用任何一个,它工作正常。 所以我敢肯定,两个CA证书的工作。 我曾尝试在/etc/pam_ldap.conf和/etc/openldap/ldap.conf使用TLS_CACERT选项,但不起作用。 当我执行ldapsearch时,出现此错误。 这是我目前configuration的。 uri ldaps://ldap.abc.com:636/ ssl no tls_cacertdir /etc/openldap/cacerts pam_password md5 /etc/openldap/cacerts的CA证书已通过使用openssl进行散列处理。 我也试过在最后添加第二个哈希sym链接,但没有运气。