我有一个开放式目录用户的工作组pipe理器中取消选中“访问帐户”框,以便他们无法login。 有没有一种方法来确定这使用LDAP查询? 也可以通过LDAP检查他们的loginShell设置/bin/false ,因为有些pipe理员使用它来禁用login。
我遇到了使用ldapadd和ldif文件导入用户的问题。 我得到的错误是: ldap_add: Constraint violation (19) additional info: structuralObjectClass: no user modification allowed 导入的用户都是ou=People,dc=example,dc=org 。 LDAP服务器已经包含此基本DN。 /etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif文件包含以下ACL条目: olcAccess: {2}to dn.base="ou=People,dc=example,dc=org" attrs=children by gr oup.exact="cn=Manager,ou=Roles,dc=example,dc=org" manage ldif文件导入如下: ldapadd -f import.ldif -xv -D "cn=drupal,ou=Apps,dc=example,dc=org" -h localhost -W cn=drupal,ou=Apps[…]条目是cn=Manager,ou=Roles,dc=example,dc=org的成员cn=Manager,ou=Roles,dc=example,dc=org因此它应该有足够的权限来写( 因为manage是最高级别权限可用 )。 当我发出ldapadd命令时,导入在第一个ldif入口上失败。 完整的命令输出是: add objectClass: top person inetOrgPerson add uid: John.Merrell add mail: [email protected] add cn: John D […]
ldapmodify手册页指出: ldapmodify的默认值是修改现有的条目 然而,当我尝试导入与ldapmodify LDIF文件时,我得到了下面的错误: ldapmodify: modify operation type is missing at line X Q1:为什么我应该将这些参数添加到我的ldapmodify命令中? 如果我使用ldapadd导入一个LDIF文件并且该条目已经存在,那么我得到下面的错误: ldap_add: Already exists (68) 使用-c开关可以忽略(继续),但ldap_add不会更新现有条目。 相反,为了更新现有的条目,应该使用ldapmodify ,但ldapmodify不会添加缺less的条目。 问题2:是否有办法通过创build缺失条目并同时更新现有条目来导入LDIF文件?
我在Ubuntu 10.04上使用svnserve解决scheme,通过SASL授权svn用户到Active Directory(LDAP,而不是LDAPDB)。 configuration文件在底部。 升级服务器到12.04版本后,这不再起作用。 我可以通过SASL授权用户使用LDAP testsaslauthd -u ldap_username -p his_password => 0: OK "Success." 但是,当我尝试在同一台服务器上“svn更新”文件夹时,它会问我三次凭据,并以此结束 svn: Authentication error from server: SASL(-4): no mechanism available: 我不知道如何跟踪svn和sasl之间的通信。 情况: Ubuntu 10.04 + Subversion 1.6.6(支持Cirrus SASL)=>正常工作 Ubuntu 12.04 + Subversion 1.6.17(支持Cirrus SASL)=>不工作(具有相同的configuration) 文件/usr/lib/sasl2/svn.conf pwcheck_method: saslauthd auxprop_plugin: ldap mech_list: PLAIN 文件/usr/lib/sasl2/subversion.conf – >符号链接到/usr/lib/sasl2/svn.conf 文件/opt/svn/repos/conf/svnserve.conf [general] anon-access = none auth-access […]
经过一番search,我可以看到一些关于configurationGoogle Authenticator与Windows Active Directory的参考,然而,我看不到我在Linux / CentOS系统上如何做到这一点。 在使用OpenLDAP或389 Directory Server的Linux(CentOS)上设置Google Authenticator会涉及什么?
我在Ubuntu 12.04上有以下版本: OpenLDAP: slapd (Sep 19 2013 22:49:31) $ buildd@batsu:/build/buildd/openldap-2.4.28/debian/build/servers/slapd OpenLDAP现在提供SSHA作为默认散列。 我想要使用不同的散列。 然而,旧的教程是基于编辑/etc/ldap/slapd.conf ,在新版本的OpenLDAP中没有了。 我应该更改哪个文件?
作为一个经过身份validation的Active Directory用户,我可以运行它来获取域GUID(objectGUID): dsquery * "DC=lab,DC=local" -scope base -attr objectguid 我可以在Linux中使用此命令从域控制器labdc01没有帐户(匿名)获取域(lab.local)SID: # rpcclient -U% labdc01.lab.local -c lsaquery Domain Name: LAB Domain Sid: S-1-5-21-3869872838-1836277878-698564084 如果我知道GUID,我可以从DNS获取它: _ldap._tcp.4f904480-7c78-11cf-b057-00aa006b4f8f.domains._msdcs.lab.local。 我怎样才能匿名获得域objectGUID(像上面的SID例子)?
我们有几十台Linux服务器和几个开发人员,每个开发人员都覆盖了部分服务器。 目前每个服务器都有一个pipe理员帐户,如果有人想要pipe理该服务器,他的pubkey将被添加到服务器pipe理员帐户的ssh authorized_keys中,以便他可以访问和编辑该服务器。 但是不是一个好的解决scheme: 每个服务器的ssh端口不应该向公众开放,这是危险的。 如果一个服务器被多个人使用同一个帐户访问,我们不能分辨谁login。 这些服务器很难删除或撤销某人的ssh密钥。 所以我觉得应该有一个更好的解决scheme: 一个集中的ssh审计和pipe理服务器。 每个服务器只允许从这个服务器访问ssh端口。 此服务器可以pipe理用户帐户,并访问每个服务器的权限。 开发人员使用这个审计服务器来执行服务器操作,所有的操作都应该被logging下来,并在他正在做危险的事情时提醒其他人。 如果这台服务器停机,那么有紧急访问解决scheme。 如果有人知道这样的解决scheme? 谢谢。
我有一个基础系统,在其上有几个(目前是两个)虚拟机,全部运行Ubuntu服务器。 我必须不断地在每个系统上添加我的用户帐户,以及给它一个sudo访问权限等等,而且还有一些东西,比如密码/私钥没有被自动同步。 有没有一种简单的方法为所有这些用户帐户(一个或两个)提供共享login? 他们需要真正的帐户与主目录等。 他们也已经存在,所以我需要将他们从一个正常的用户帐户迁移到新的解决scheme。 LDAP似乎比我真正需要的要复杂一点(很多),而且我很难判断NIS是否是我想要的。 我应该看什么解决scheme,以及如何开始?
我们有15个Debian服务器,并在不断增长。 什么是集中用户pipe理的简单轻量级方法? 用例可以是在所有服务器上添加用户,调整用户在特定服务器上的访问权限,从所有服务器中删除用户。 LDAP是一个选项,但似乎太满了我的需求。 我宁愿用简单的useradd / groupadd,只是分布在多台机器上。 Web界面会很好,但不是必需的。 Git界面可能非常酷。