我的服务器上有一组用户,“开发人员”,我希望每当他们login时为他们设置一个环境variables。 更具体地说,当这个组中的任何人login时,我想要相当于: setenv ANDROID_SDK_HOME /Developers/Android/User 在login时设置。 如果需要的话,我可以使用login脚本来做到这一点,但是我所问的是: 可以在configuration文件pipe理器,工作组pipe理器,目录工具等中设置这种types的东西吗?
我想创build几个有权访问特定组/组织单位的用户的用户。 例如, User: uid=testadmin, ou=people, dc=my,dc=net 应该有权限创build新用户/删除用户 ou=People,dc=my,dc=net 我尝试下面的ACI,但没有工作 (target = "ldap:///ou=People,dc=my,dc=net")(targetattr = "*") (version 3.0;acl "testadmin Permissions";allow (proxy)(userdn = "ldap:///uid=testadmin,ou=people,dc=my,dc=net");) 我可以从Directory Server控制台添加pipe理用户,但是这个用户数据并不存储在ldif文件中,只存储在二进制数据库的/ var / lib / dirsrv / slap-ldap / db /目录中。 唯一的问题是这些用户有全部的权力,我不知道如何限制他们的访问。
背景:我使用的是Debian 7系统,我已经使用libnss-ldap , libpam-krb5和nscd与LDAP + Kerberos系统集成。 我修改了sudoers ,允许LDAP组有权sudo并获得超级用户权限。 因此,我可以作为LDAP组login来pipe理机器。 这一切工作正常, sshlogin与LDAP用户很好地工作。 我只是在我的用户帐户Cosmic Ossifrage的主目录中试验一个.k5login文件。 在文件中,我列出了: [email protected] 这是一个有效的Kerberos身份。 SSH用户继续正确使用.k5login文件。 但是,在我的主目录中有这个.k5login文件, 我不再能够使用sudo -i获得超级用户权限。 这似乎没有任何意义,因为.k5login位于我的主目录中,而不是root目录,所以在我看来, root用户和sudo命令都不应受到任何限制。 sudoers文件。 但是,使用上面的.k5login文件, sudo -i和sudo su都不起作用,而之前是这样。 一旦.k5login文件被删除,这个function被恢复,我可以再次sudo 。 在日志文件/var/log/auth.log ,此时报告的许多错误消息中有一个来自sudo,指出: [pam:sudo] krb5_kuserok failed for user cosmic_ossifrage 我是否错过了.k5login应该做什么的定义中的基本内容? 这是预期的行为,如果是这样,为什么?
我有一个RHEL 6.5,AD服务器authenicates,那边工作正常。 该机器还运行使用PAM模块进行身份validation的Web应用程序。 我复制login,使一个pam模块供web应用程序使用。 (rstudio-server)和login正常工作。 但是,如果用户以前没有login过,那么他们的主目录并不是由pam_oddjob_mkhomedir创build的,如果我是该用户,那么将立即创build主目录。 我已经设置了selinux宽容,直到我得到这个sorting,我正在尝试pam_mkhomedir.so和pam_oddjob_mkhomedir.so(这两个都到位,oddjob服务正在运行) 没有概率,我想..它不是开始一个会话,它只是从PAM自动化,所以我尝试把线路调用mkhomedir到auth,但它不工作。 用pamtestertesting: # pamtester rstudio 00064742 "authenticate" Password: pamtester: successfully authenticated # pamtester rstudio 00064742 "open_session" Creating home directory for 00064742. pamtester: sucessfully opened a session 正如你所看到的,如果一个会话被打开,主目录是创build的,但不是在auth下。 这是相关的pam文件。 pam.d]# cat rstudio #%PAM-1.0 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so auth required pam_warn.so auth include system-auth #auth optional pam_mkhomedir.so skel=/etc/skel/ […]
我的networking核心用户数据库由OpenLDAPpipe理。 最近我们需要引入一个用户代表第二个用户的可能性。 由于所有与应用程序相关的权利和权限都存储在LDAP中,我们也希望将新的模式存储在同一个地方。 我的问题是 – 是否有共同的名称模式或最佳做法来存储在LDAP这样的委托权限? 我听说在使用Active Directory的MS Exchange中有这样的function。
我们正在从Linux系统上的NIS迁移到将所有内容绑定到Active Directory。 NIS环境遵循许多Linux发行版使用的通用标准,用户的主要组是与用户(并且其用户通常是唯一成员)相同名称的组。 我已经被告知,在Active Directory环境中,可能没有与用户名称相同的组名(特别是,没有两个AD安全对象可能具有相同的名称)。 这似乎使我们的群组定义进入AD的过程变得复杂。 看起来我们可以使用POSIX属性(例如,不是一个实际的AD安全对象)来维护AD中的NIS组信息,但是这看起来像是次优的修复(因为我们确实想在两个组中都有相同的组成员资格Unix和AD世界)。 您是否将大型传统NIS环境移入Active Directory? 你是怎么处理这种情况的?
我们尝试为公司范围的身份validation设置Active Directory服务器。 一些应该对AD进行身份validation的服务器放置在DMZ中,因此我们考虑使用LDAP服务器作为代理,以便DMZ中只有一台服务器必须连接到放置AD服务器的LAN )。 用一些Googlesearchfunction来configurationslapd是没有问题的(参见下面的slapd.conf),而且在使用ldapsearch工具时似乎可行,所以我们试图在apache2 htaccess中使用它来通过LDAP代理对用户进行身份validation。 问题来了:我们发现AD中的用户名存储在属性'AMAccountName'中,所以我们在.htaccess中configuration了它(见下文),但login无效。 在系统日志中,我们发现ldapsearch的filter不是(它应该是)' (&(objectClass = *)(sAMAccountName = authtest01)) 'but' (&(objectClass = *)(?= undefined))我们发现这是slapd的方式来显示该属性不存在或值在语法上是错误的这个属性。 我们想到了一个丢失的模式,并find了microsoft.schema (和它的.std / .ext文件),并试图将它们包含在slapd.conf中。 哪个不行 我们没有find工作模式,所以我们只是select了关于sAMAccountName的部分,并构build了一个包含我们的microsoft.minimal.schema(见下文)。 现在我们在syslog中获得更精确的日志: Jun 16 13:32:04 breauthsrv01 slapd[21229]: get_ava: illegal value for attributeType sAMAccountName Jun 16 13:32:04 breauthsrv01 slapd[21229]: conn=0 op=1 SRCH base="ou=xxx,dc=int,dc=xxx,dc=de" scope=2 deref=3 filter="(&(objectClass=\*)(?sAMAccountName=authtest01))" Jun 16 13:32:04 breauthsrv01 slapd[21229]: conn=0 op=1 […]
我正在为公司内部通信build立一个Openfire XMPP服务器。 我有它authentication对我们当地的直stream罚款。 我们公司有两个不同的办事处(一个在美国,另一个在欧洲),每个都有自己的领域。 我们的两个系统是完全可信的,并通过VPN连接。 我想要做的是设置Openfire以允许来自任一域的用户login到单个主服务器。 我想保持群聊function,所以在每个域名上安装一个服务器并不是一个好的select(但是如果我不能得到这个工作,它是开放的)。 我可以看到Openfire中的所有可信用户(它正在检测他们的联系人列表),但我不能让他们进行身份validation(他们得到一个Not Authorized. Please Try Again消息)。 任何想法如何进行?
我正在使用FreePBX,并希望使用与ldap集成的电话簿。 我search了一下,没有什么特别的东西出现。 你们有没有关于这个问题的经验?
我试图让我的FAS2040使用LDAP来操作用户查找,下面是filerconfiguration选项: filer> options ldap ldap.ADdomain dc1.colour.domain.local ldap.base OU=Users,OU=something1,OU=something2,OU=darkside,DC=colour,DC=domain,DC=local ldap.base.group ldap.base.netgroup ldap.base.passwd ldap.enable on ldap.minimum_bind_level anonymous ldap.name domain-admin-account ldap.nssmap.attribute.gecos gecos ldap.nssmap.attribute.gidNumber gidNumber ldap.nssmap.attribute.groupname cn ldap.nssmap.attribute.homeDirectory homeDirectory ldap.nssmap.attribute.loginShell loginShell ldap.nssmap.attribute.memberNisNetgroup memberNisNetgroup ldap.nssmap.attribute.memberUid memberUid ldap.nssmap.attribute.netgroupname cn ldap.nssmap.attribute.nisNetgroupTriple nisNetgroupTriple ldap.nssmap.attribute.uid uid ldap.nssmap.attribute.uidNumber uidNumber ldap.nssmap.attribute.userPassword userPassword ldap.nssmap.objectClass.nisNetgroup nisNetgroup ldap.nssmap.objectClass.posixAccount posixAccount ldap.nssmap.objectClass.posixGroup posixGroup ldap.passwd ****** ldap.port 389 ldap.servers ldap.servers.preferred ldap.ssl.enable off […]