我正在尝试设置PAM / LDAP,以便当login的SSH用户使用passwd更改密码时,它将在更新LDAP条目之前使用SHA1encryption密码。 我有这个 # /etc/ldap.conf … rootbinddn cn=Manager,dc=ourdomain,dc=com rootpw secret pam_crypt local 当用户使用passwd更改密码时,在LDAP中,条目看起来像这样 {crypt}41H84HEld3 所以它就像crypt 。 我不知道如何强制它是SHA / SHA1 。 我尝试添加 pam_password sha 到/etc/ldap.conf但是这个密码刚刚出现并以明文forms存储在LDAP中。
关于“man slapo-auditlog”,我只需要添加以下内容。 dn: olcOverlay=auditlog,olcDatabase={1}hdb,cn=config changetype: add objectClass: olcOverlayConfig objectClass: olcAuditLogConfig olcOverlay: auditlog olcAuditlogFile: /tmp/auditlog.ldif 首先,“olcOverlay = auditlog”在Centos 6上默认没有安装,所以我不能把它添加到任何东西。 如果我删除“changetype:add”,我会得到这个错误。 additional info: objectClass: value #1 invalid per syntax 我发现我可以创build自己的cn =模块,然后olcAuditLogConfig存在,我可以执行上面的LDIF。 但我仍然没有得到审计日志。 dn: cn=module{0},cn=config objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib64/openldap/ olcModuleLoad: auditlog.la 我的LDAP设置可以在这里find(现在稍微修改我自己的服务器) 如何在Centos 6上以最安全和最正确的方式configurationLDAP进行用户身份validation?
我们的办公室已经几乎完全从Windows切换到Mac OS X,我们的本地服务器即将更换。 我们使用Active Directory基本上只是为了用户authentication。 我们正在考虑使用运行OS X Server的Mac Minireplace当前的Windows Server。 我还不太了解Open Directory,但它是否可以将身份validation请求委托给SAML v2身份validation提供程序? 我问,因为我们在一个能够充当SAML 2 IdP的pipe理系统中做了相当多的工作,并且我们已经设置了Google Apps来进行身份validation。 如果能够对本地networking资源进行身份validation,这也是非常有用的。
我将一个FreeNAS盒绑定到AD,让学生login到SMB挂载。 这一切工作正常。 我有一个运行在FreeNAS上的bash脚本来build立一个index.html页面,指向每个学生主目录的一个子目录,在那里他们可以把完成的编码项目放到networking上供公众查看。 那也行。 该脚本为FreeNAS上的每个用户进行AD查找,并且只有在他们是学生(即CN=students组的成员)时才将其添加到index.html文件中: ldapsearch -Q -LLL cn=[someuser] ObjectCategory:CN=Person memberOf 这是奇怪的部分。 大约80%的时间,AD查询立即发生。 每五分钟查找一次,完成需要75秒。 我写了一个脚本来testing这个模式是相当可重复的。 几乎总是每5次查找就要花费75秒,查找5次或者不同的名字并不重要。 如果我立即在命令行中执行ldapsearch : ldapsearch -LLL cn=someuser 我反复做,每五次重复都慢。 如果我通过按Ctrl – C中止缓慢的查询,下一次我做它又快了。 我不运行AD服务器,ADpipe理员不知道为什么会发生这种情况。 任何线索? DNS以正确的方式configurationAFAIK – 或者至less,有关安装的其他一切似乎都能正常工作(用户可以使用AD凭证loginFreeNAS,而且这种情况发生得相当快)。 所有时钟也同步。
ApacheDS声称支持ldap和Kerberos,那么是否有可能使用它来validationWindows机器?
默认情况下,活动目录需要对除最简单的search以外的所有其他身份验 build议禁用此政策的方法是什么? (我search了一下,但最初只发现了一些非特定的微软博客文章。)
从文档: 使用您最喜欢的编辑器编辑提供的slapd.conf(5)示例(通常安装为/usr/local/etc/openldap/slapd.conf)以包含表单的BDB数据库定义: database bdb suffix "dc=<MY-DOMAIN>,dc=<COM>" rootdn "cn=Manager,dc=<MY-DOMAIN>,dc=<COM>" rootpw secret directory /usr/local/var/openldap-data 但是,我的域是127.0.1.1或本地主机, 我应该把什么,而不是我的域名和COM?
实现以下目标最明显的方式是什么:该站点有一个AD工作基础架构,并且某些部分的基础架构与GNU / Linux机器紧密耦合,其中来自AD OU ou=linux-users,dc=example,dc=com应该能够使用他们的AD证书login到基础设施的Linux部分,但是不需要在Linux机器的PAM堆栈中使用DC,也就是说应该有某种同步加上POSIX属性(uid,gid,homedir,password)从AD到slapd。 Linux机器上的slapd是OpenLDAP,AD的架构来自Windows 2003,没有POSIX属性。
如何强制passwd命令使用MD5哈希而不是使用crypt? 我需要获取passwd命令来与ldap服务器(它所做的)交谈,并在更改用户密码时使用MD5。
我在一家大公司工作,可以远程使用其中央只读LDAP服务器。 LDAP服务器不允许匿名绑定。 为了使用这个服务器在我的小型服务器上用pam模块进行用户身份validation,我需要一个帐户,这个帐户将LDAP上的数据公开给我。 帐户数据通常填充在configuration的binddn和bindpw字段中。 正如我理解pam模块通常使用binddn和bindpwlogin,然后执行search,然后绑定每个愿意login的用户。 但是服务器的pipe理员不喜欢把所有的数据暴露给我。 所以我的问题是: 如何在没有binddn账户的情况下configurationpam? 理想情况下,每个用户的直接绑定应执行,而无需事先loginbinddn帐户。