即时通讯尝试通过StartTLS连接LDAP,但我坚持一个问题。 我已经按照本指南一步一步https://help.ubuntu.com/12.04/serverguide/openldap-server.html#openldap-tls和LDAP它工作正常以及“ldapsearch -xZZ -h 172.25.80.144”在我的Ubuntu Sever 12.04上 但是,在我的Ubuntu桌面11.04客户端,我得到这个错误: ldapsearch -x -H 172.25.80.144 -ZZ ldap_start_tls: Connect error (-11) additional info: **TLS: hostname does not match CN in peer certificate** 服务器/etc/ldap/ldap.conf BASE dc=prueba,dc=borja URI ldap://prueba.borja SIZELIMIT 12 TIMELIMIT 15 DEREF never TLS_CACERT /etc/ssl/certs/ca-certificates.crt 客户端/etc/ldap.conf ssl start_tls tls_checkpeer no /etc/ldap/ldap.conf BASE dc=prueba,dc=borja URI ldap://prueba.borja SIZELIMIT 12 TIMELIMIT 15 […]
我已经设置了sssd和LDAP。 用户进行身份validation和login。 我的问题是,sssd似乎忽略了ldap_access_filter选项,并允许所有用户login。 我已经检查了日志/debugging和pam_sss授权用户每次不pipefilter(我已经尝试了几个不同的所有具有相同的结果)。 这是用来configuration系统的命令: authconfig –updateall –passalgo=md5 –enableldap –enableldapauth \ –ldapserver=ldaps://ldap.example.com \ –ldapbase=ou=people,dc=example,dc=com \ –enableldaptls –enableldapstarttls –disablekrb5 \ –ldaploadcacert=http://certserver/cacerts/cacert.pem \ –enablesssd –enablesssdauth –enableshadow \ –enablecachecreds –enablemkhomedir 这是/etc/sssd/sssd.conf: [domain/default] debug_level = 9 ldap_id_use_start_tls = True cache_credentials = True ldap_search_base = ou=people,dc=example,dc=com id_provider = ldap auth_provider = ldap ldap_access_filter = memberOf=cn=sysadmins,ou=people,dc=example,dc=com chpass_provider = ldap ldap_uri = […]
我们正在查询一些(几十个)LDAP服务器(主要是Active Directory,但不是唯一的)来确定哪些邮箱处于活动状态,以用于邮件网关/转发应用程序。 我们遇到了一些userAccountControl将位2设置为true的实例(又名ACCOUNTDISABLE),但邮箱仍处于活动状态。 我想这将对应于一个Windowslogin帐户被禁用,但邮箱仍处于活动状态。 这真的有道理吗? 或者这只是一个破碎的configuration? 如果它是有道理的,有什么办法通过LDAP来可靠地检测到这种configuration(即该userAccountControl被禁用,但邮箱没有被禁用)? 我们目前忽略了userAccountControl禁用的属性,因为它有时(尽pipeless数情况下)对应于一个活动邮箱。 我们希望能够可靠地检测到这种情况,而不是让这几百个“禁用”邮箱处于活动状态。
我正在尝试在LDAP中使用对象类inetOrgPerson和groupOfNames来创build一个用户(所以我可以使用属性'member'),但是不pipe我尝试哪种组合,它都不会让我。 什么是使用“成员”属性的正确方法? 这是我尝试通过Apache Directory Studio添加它时得到的错误消息。 Error while creating entry – [LDAP: error code 65 – OBJECT_CLASS_VIOLATION: failed for MessageType : ADD_REQUES java.lang.Exception: [LDAP: error code 65 – OBJECT_CLASS_VIOLATION: failed for MessageType : ADD_REQUEST Message ID : 113 Add Request : Entry dn[n]: [email protected],o=test,ou=tenant,dc=test,dc=com objectClass: groupOfNames objectClass: organizationalPerson objectClass: person objectClass: top objectClass: inetOrgPerson uid: [email protected] […]
我对使用Active Directory(AD)和Kerberos的Linux服务器是否需要创build计算机帐户感到困惑。 作为一台机器的Linux服务器是否需要join和AD域,并且这样做有一个计算机帐户有AD的authentication/授权服务? 这里有一些要求: 能够使用来自Linux服务器的AD进行基于用户和组成员的身份validation。 能够将本地Linux UID / GID号码映射到AD用户和组名(现在我们使用的是非AD LDAP服务器,并且我们为用户和组帐户保留了UID / GID号码,理想情况下,我想继续这种做法)。 能够将Linux Sudoer权限映射到AD组。 使用开源或社区工具/插件像SSSD,而不是像Centrify这样的付费商业产品。 我很担心在基于私有云的服务器上创build/删除大量的Linux计算机账户的负担,这些服务器可能不会那么长时间; 但我希望使用AD的中央用户帐户存储的好处。 注:我在2008R2function级别使用RHEL和Centos 6-7 Linux服务器和Windows Server 2012 AD。
G'day,我configuration了在端口636上运行的openldap-server机器。我也可以从另一个openldap-client机器telnet到这个端口。 为了保证连接的安全,我在服务器上使用此链接input链接描述在此处创build了自签名证书,然后将证书文件复制到客户端。 我已经确定SELinux在这两台机器上都是可用的,并且客户端/etc/openldap/ldap.conf文件也有TLS_REQCERT选项 客户机的详细configuration是: # cat ldap.conf URI ldap://ad.dfsi.dev:636 BASE dc=dfsi,dc=dev TLS_CACERTDIR /etc/openldap/cacerts TLS_REQCERT allow 和nslcd文件: # cat /etc/nslcd.conf tls_reqcert allow ssl start_tls tls_cacertdir /etc/openldap/cacerts tls_reqcert allow 如果我不使用SSL,则ldap客户端可以访问所有ldap用户。 但是,当我通过authconfig-tui更改configuration以使用TLS时,ldaps://ad.xx.dev:636,则失败。 日志说,客户端成功连接到服务器,但然后服务器删除连接,如下所示: ldapsearch -x -d 1 ldap_create ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ad.dfsi.dev:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying xx.xx.xx.xx:636 ldap_pvt_connect: fd: 3 […]
我如何使用dsquery查找特定用户(用户分配的组)的所有组?
我已经build立了我的系统,允许LDAP或本地密码login。 我通过向PAM添加“密码足够的pam_ldap.so”并在之后调用“pam_unix2.so”来完成此操作。 不过,我想要求某个用户组仅针对LDAP进行身份validation,而不允许使用pam_unix2.so。 有没有办法做到这一点?
是否可以设置Linux(和Solaris)SSH服务器以这种方式对用户进行身份validation: 即用户john是Active Directory中的组Project1_Developers的成员。 我们在SSH服务器LDAP(或其他模块)身份validationconfiguration(如root = Project1_Developers,Company_NIX_Admins)上运行服务器A(运行Linux,服务器可以通过LDAP访问AD)。 当john使用他的用户名“john”和域密码连接到服务器A时,服务器检查域中的john组,并且如果该组是“Project1_Developers”或“Company_NIX_Admins”,则以root用户身份将其作为本地用户。 这个想法也是在服务器上只有一个“root”和一个系统用户,而不需要把用户“john”添加到John可以login的所有服务器上。 任何帮助或想法如何使上述或类似于上述? 优选使用AD但是任何其他类似的解决scheme也是可能的。 PS请不要打开讨论是否安全通过SSHlogin作为根或感谢:)
阅读本指南并尝试了一大堆基于此的排列,是否有一个简单的方法让Bugzilla与AD服务器一起工作? 我不断收到错误: 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db0 我按照指示使用“帐户操作员”权限创build了一个AD“bugzilla”用户帐户。 我不确定错误是说我的login信息不正确,或者系统loginLDAP访问不正确。 也许我只是在设置的某个地方错过了一个神秘的选项。 你会认为我需要做的就是指定服务器名称。 正如您可能已经知道的那样,我没有很多LDAP体验。 另外, Sysinternals的LDAP也会在这里帮助吗?