我们有一对ASA 5510s(8.4.3),我们使用LDAPauthentication进行VPN和SSH访问。 在所有使用RADIUS的Catalyst交换机上,我们可以在RADIUSconfiguration(2008R2 NPS)中将shell:priv-lvl设置为15。 但是,在ASA(包括所有的思科文档)上,我能find的最好的办法是通过在其中embedded“15”并将其映射到“权限级别RADIUS属性”来滥用其他字段(如标题或公司) AAAconfiguration。 我真正想要做的是在AD组中为每个人分配L15权限,而不必键入共享密码。 任何人都知道是否有办法做到这一点?
我正在configurationApache以针对LDAP进行身份validation,并要求存在多个组。 我已经做了这个要求陈述,但是我需要authentication是成功的,如果所有组在那里,而不只是一个。 我如何告诉Apache经历所有的需求陈述?
有我的configuration(httpd 2.4): <AuthnProviderAlias ldap zzzldap> LDAPReferrals Off AuthLDAPURL "ldaps://ldap.zzz.com:636/o=zzz.com?uid?sub?(objectClass=*)" AuthLDAPBindDN "uid=zzz,ou=Applications,o=zzz.com" AuthLDAPBindPassword "zzz" </AuthnProviderAlias> <Location /svn> DAV svn SVNParentPath /DATA/svn AuthType Basic AuthName "Subversion repositories" SSLRequireSSL AuthBasicProvider zzzldap <RequireAll> Require valid-user Require ldap-attribute employeeNumber=12345 Require ldap-group cn=yyy,ou=Groups,o=zzz.com </RequireAll> </Location> Require valid-user是工作。 但是ldap-attribite,ldap-filter,ldap-group不起作用 – 在日志中一直denied 。 我花了很多时间,但不知道发生了什么。 这是我的日志的例子: [Tue Sep 25 16:42:26.772006 2012] [authz_core:debug] [pid 23087:tid […]
我正在尝试在Server 2008 R2上使用ssl的ldap。 得到它所有设置,并能够连接使用ldp.exe到sslcheckboxdomain.example.org端口636。 这是本地服务器本身。 但是 – 我无法使用SSL和SSL端口636使用ldapsearch连接。没有ssl和端口389使用ldapsearch工作正常。 有任何想法吗? 我的客户需要安装证书吗? 我主要只是想encryptionldap连接。 谢谢你的帮助! *编辑* 有效的命令: ldapsearch -x -b "dc=XX,dc=example,dc=org" -D "[email protected]" -H ldap://XX.example.org -W '(&(proxyAddresses=smtp*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))' 不起作用的命令: ldapsearch -x -b "dc=XX,dc=example,dc=org" -D "[email protected]" -H ldaps://XX.example.org:636 -W '(&(proxyAddresses=smtp*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))' 我已经尝试了-h的变体,并使用-p来指定端口。 我将如何去从服务器2008安装证书到客户端?
我将不胜感激在以下问题的任何帮助: 我有一个openladp(2.3.39)服务器(Fedora 8),它从其他ldap客户端(各种版本的Fedora)authentication用户。 在尝试升级整个基础架构时,使用tcsh(作为默认shell)的ldap用户无法login运行CentOS 7的新客户端。相反,ldap用户使用bash以及本地用户(不pipe其默认shell)login没有问题。 Ldap tcsh用户既不能从控制台也不能从sshlogin。 从控制台,我收到的消息是: pam_unix(login:auth) authentication failure pam_unix(login:session) session opened for user 并从ssh(没有失败部分): pam_unix(sshd:session) session opened for user 但是,用户永远不会得到一个shell提示符,表明login挂起。 我不知道这个问题是否与pam有关,但在我的/etc/pam.d/system-auth-ac下面find,因为它是由system-authconfig自动创build的: #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= […]
在小型机器networking(<1000)上,我们有一个用户,在密码更改之后的不确定间隔后,其帐户被locking。 我们在查找无效login尝试的来源方面遇到了严重的困难,如果你们中的一些人能够通过你的思考过程和为了解决问题而执行的检查,我将非常感激。 我所知道的是,这个帐户每天被locking几次(5+),我甚至不能确定这是由于login尝试失败所致,因为在帐户被locking之前没有任何失败logging。 到目前为止我已经尝试过; 将帐户logging在我们所能想到的所有内容之后,并使用新密码重新login 扫描用户的邮箱,查找可能执行LDAP查找的任何非标准软件 检查我们的生产箱上的所有已安装的服务以确定没有任何服务正试图在该帐户下运行 将用户更改回旧密码(问题仍然存在,所以也许密码更改是一个红鲱鱼) 在执行大量LDAPvalidation的盒子上的Wireshark – 拒绝只发生在帐户已被locking之后 在“控制面板” – >“用户帐户” – >“高级”中清除凭证caching 看当地的 我不知道该怎么尝试。 我很乐意尝试您的任何build议来诊断问题。 我认为我的问题归结为一个简单的要求。 我需要一种技术来推导导致帐户被locking的无效login尝试的源(应用程序/主机)。 我不确定这是否可能,但我怀疑还有更多我可以尝试。 非常感谢, 市景 编辑 – 解决 TLDR – 在具有旧凭证的Client Box上configuration的RSS Feed Reader会导致连续生成软件(读者试图login)来locking帐户,因为它每5分钟进行一次失败的login尝试。 战略 我查看了我们所拥有的关键基础设施的日志,查找了用户名。 很显然,连续构build软件的尝试失败了很多。 那么就是在这两个盒子之间进行捕捉电线的情况,试图找出我们来自哪里的要求。 我们杀了进程,直到find合适的进程。 谢谢大家的帮助,这听起来很容易,现在它已经sorting了!
我不太了解LDAP,所以我提前道歉。 我正在查看使用LDAP进行一些身份validation的应用程序中的错误。 客户端设置的LDAP目录结构包含嵌套组,如下所示: UAT Group DEV Group portfolio_mangers 在DEV集团下,我们有一些用户: DEV Group jsmith cwilson plo 用户要求authentication将recursion地遍历input组以确定用户是直接还是间接(嵌套)input组的成员。 因此,如果我们开始在UAT集团或DEV集团的遍历,用户jsmith,cwilson和plo将被authentication。 这是可能的,正确的? 从我的阅读中,我相信我必须指定一个基本名称和范围。 既然我想search整个子树,我会指定一个SUBTREE的范围。 这有道理吗? 有替代品吗? 来自LDAP经验丰富的人的build议将是巨大的。 谢谢。
我正在尝试在Apache .htaccess文件中同时使用基本文件和LDAP用户身份validation,但无法同时使用这两种方法。 它是一个或另一个。 这是我的设置: 的.htaccess AuthType Basic AuthBasicProvider file ldap AuthUserFile <path>/passwd AuthGroupFile <path>/group AuthLDAPURL "ldap://ldap.<my-domain>.com/ou=People,dc=<my-domain>,dc=com?uid" AuthLDAPGroupAttribute memberUid AuthLDAPGroupAttributeIsDN off <Limit GET POST PUT> require group admin ldap-group cn=web,ou=Group,dc=<my-domain>,dc=com </Limit> passwd文件 test:jhhLuf0DfajXk 组 admin:test 当我更改限制值并删除或重新sorting组设置时,我得到一个或另一个身份validation提供程序工作。 所以我看起来像是一个语法问题,但我无法弄清楚。 诚实地说, 小组档案可以一起放弃,但我试过了,没有任何影响。 所以我包括它,以防万一它有一些方向。 有人能指点我的方向吗? 这个问题非常类似于apache auth:LDAP和htpasswd的组合,但不完全相同。 在此先感谢您的帮助。
我被要求在Ubuntu 11.04上设置一个多主LDAP环境 – 而不是一个主服务器。 我克隆了主服务器,并将其重新创build到两个虚拟机中。 我正在尝试按照这里的OpenLDAP文档的说明: http://www.openldap.org/doc/admin24/replication.html 它讨论了如何修改LDAP中的cn = config树。 子目录树似乎在: /etc/ldap/slapd.d/ 和a slapcat -b cn=config 丢弃一个configuration信息的负载。 当我尝试使用浏览器和pipe理绑定凭据进行连接时: ldapsearch -D '<adminDN>' -w <password> -b 'cn=config' 我得到: # extended LDIF # # LDAPv3 # base <> (default) with scope subtree # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 32 No such […]
我有一个域控制器,它具有Active Directory(AD)。 我想在这个AD上打开LDAPS,这样我就可以通过安全连接访问AD了。 我遵循以下指南: http : //social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx 我已经完成了“发布支持服务器身份validation的证书”和“导出LDAPS证书并导入以用于AD DS”。 当我尝试netstat时,可以看到端口636是打开的,但是它的IP地址是0.0.0.0,这意味着它不能从外部访问。 普通的LDAP工作,我可以连接到它,并在netstat中看到它打开为0.0.0.0和我的域控制器的IP地址,但我不能通过LDAPS访问域控制器。 问题是什么? 我错过了本指南中的一些步骤吗? 我需要额外做些什么? 我已经使用Active Directorypipe理工具testing了LDAP和LDAPS连接。 这是我从LDP.EXE得到的输出: ld = ldap_sslinit("10.165.0.10", 636, 1); Error 81 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 81 = ldap_connect(hLdap, NULL); Server error: <empty> Error <0x51>: Fail to connect to 10.165.0.10.