我需要支持需要访问LDAP服务器的Mac客户端来定位SMIME密钥。 由于这些密钥已经在AD中,并且我很容易创build一个RODC或者只读林,在这里我推送证书,将未经身份validation的LDAP和LDAP公开给互联网是可以接受的吗? 我能想到的一个问题是目录收集攻击的LDAPforms,垃圾邮件发送者可以确定哪些地址是有效的,哪些不是。
我的通配符证书不会被ldap 2.4.23接受。 当我尝试连接时出现以下错误: TLS certificate verification: subject: OID.2.5.29.17=DNS:*.domain.com,CN=*.domain.com,OU=LALALA,O=LALALA SA,L=LALALA,ST=LALALA,C=XX, issuer: [email protected],CN=LALALA Root CA,O=LALALA,L=LALALA,ST=LALALA,C=XX, cipher: AES-256, security level: high, secret key bits: 256, total key bits: 256, cache hits: 0, cache misses: 0, cache not reusable: 0 TLS: hostname (openldap1.domain.com) does not match common name in certificate (*.domain.com). 我的证书是: CN=*.domain.com subjectAltName=DNS:*.domain.com AND subjectAltName=DNS:*.domain.com 我怎样才能让我的证书在LDAP中被接受?
我正在设置一个应用程序来使用LDAP对Open Directory进行身份validation。 Open Directory以RFC 2307 posixGroups格式存储组,如下所示: cn: mygroup objectClass: top objectClass: apple-group objectClass: posixGroup apple-group-memberguid: AA7B69F2-84E1-4ED3-AEC6-25AD976DB1C7 memberUid: noa 但是应用程序期望组采用LDAP核心模式groupOfNames格式,如下所示: cn: mygroup objectClass: top objectClass: groupOfNames member: uid=noa,cn=users,dc=myserver,dc=example,dc=private 换句话说,目录服务器提供了一个不合格的uid,而应用程序需要一个DN。 我怎样才能configurationslapd: dynamic提供一个看起来像groupOfNames (从上面重复)的实体: cn: mygroup objectClass: top objectClass: groupOfNames member: uid=noa,cn=users,dc=myserver,dc=example,dc=private 或者使用组成员的DNdynamic地发出额外的属性,如下所示: cn: mygroup objectClass: top objectClass: apple-group objectClass: posixGroup apple-group-memberguid: AA7B69F2-84E1-4ED3-AEC6-25AD976DB1C7 memberUid: noa memberDn: uid=noa,cn=users,dc=myserver,dc=example,dc=private 看起来像OpenLDAP覆盖可以做到这一点,但我正在寻求帮助的细节。 […]
我试图在FreeBSD 10.0中使用nslcd(nss-pam-ldapd-sasl package)在Active Directory中设置身份validation,并希望允许sAMAccountName和userPrincipalName作为服务器中的有效login属性。 我不知道是否可以使用这个特定的configuration。 这是我在/usr/loca/etc/nslcd.conf实际映射 # Do not allow uids lower than 1000 to login (aka Administrator) nss_min_uid 1000 # Disallow disabled accounts to login pam_authz_search (!(userAccountControl:1.2.840.113556.1.4.803:=2)) #filter passwd (&(objectClass=user)(!(objectClass=computer))) #map passwd uid sAMAccountName filter passwd (&(objectClass=user)(userPrincipalName=*)(!(objectClass=computer))) map passwd uid userPrincipalName map passwd uidNumber objectSid:S-1-5-21-NULL-NULL-NULL map passwd gidNumber primaryGroupID map passwd gecos displayName map […]
感谢您花时间检查我的问题。 我目前正在处理一个以前只出现过一次的问题。 早在1月3日,当第一次出现,我们能够重新启动服务器,一切都很好,但现在又回来了。 这是一个生产数据库系统,所以find一个重启的窗口有时可能很困难。 我希望能够牢牢把握这次实际发生的事情,然后再在几天内重新启动,为这个问题提供另一个临时解决scheme。 开始了… 相关系统的用户身份validation通过Red Hat Directory Server 9通过LDAP进行处理。下面描述的问题只能在这台服务器上看到,即使是对应的共享数据库也不会显示相同的症状。 截至目前,没有LDAP帐户能够validation和login到服务器。 SSSD正在处理LDAPauthentication,目前无法停止或重新启动。 尝试执行SSH控制台无法响应时。 (ctrl-c无法退出发出的命令) PS显示了通常的sssd相关进程正在运行,但试图kill -9他们似乎并没有成功阻止他们中的任何一个。 ps aux | grep sss | grep -v grep root 1150 0.0 0.0 150828 2908 ? D 09:05 0:00 /usr/libexec/sssd/sssd_nss -d 0 –debug-to-files root 7025 0.0 0.0 93616 2504 pts/2 D 16:18 0:00 /usr/sbin/sssd -f -D root 11148 […]
我作为Linuxpipe理员的第一份工作是在一些非常高级的pipe理员下工作。 在所有这些情况下,kerberos被设置为用户请求安全令牌并且在一定时间内访问公司服务器。 现在,我已经开始在一家初创公司工作,并开始参加围绕devops和sre公司的会议。 我注意到,这些公司大多select使用ssh密钥,ldap和某种forms的configurationpipe理来确定谁可以访问哪些服务器。 大多数用户在他们的macbook上只有无密码的ssh密钥。 这是非常不安全的。 什么使SSH密钥设置更适合Kerberos设置?
在pam-ldap的身份validation阶段是否可以将用户logging的任意ldap属性映射到生成的用户环境中? 我的情况的具体情况,如果你看到另一种解决问题的办法,我写了一个自定义的SFTP子系统映射SFTP命令到Ceph / Rados池。 我希望这个子系统使用一个与authentication用户关联的密钥连接到Ceph集群(用于控制池访问等) 我已经通过LDAPauthentication用户的ssh / sftp连接,并相信我可以locking对其ceph-key属性的读访问权限,只有root和self。 如果可能,我宁愿不使用共享LDAP绑定帐户进行另一个LDAP查找。 —更新— 虽然我还没有find一种方法来完成我在这里所要求的,但我确实有一些“工作”,它使用pam_exec.so会话模块(以root用户身份)来提取ldap属性并将其写入/run/users/<UID>/<filename>.<SESSION_ID> (chmod 400,chown <UID>:root)。 然后,自定义子系统(作为身份validation用户)读取并删除此文件。 虽然这个工作,这有没有相当的安全顾虑?
我希望我可以使用一些帮助。 我正在configurationdovecot_ldap,但我似乎无法获得dovecot来validationldap用户。 以下是我的configuration和日志信息: hosts = 192.168.128.45:3268 dn = cn=Administrator,cn=Users,dc=company,dc=example,dc=com dnpass = "passwd" auth_bind = yes ldap_version = 3 base = dc=company, dc=example, dc=com user_attrs = sAMAccountName=home=/var/vmail/example.com/%$,uid=1001,gid=1001 user_filter = (&(sAMAccountName=%Ln)) pass_filter = (&(ObjectClass=person)(sAMAccountName=%u)) dovecot.conf # 2.0.19: /etc/dovecot/dovecot.conf # OS: Linux 3.2.0-33-generic x86_64 Ubuntu 12.04 LTS auth_mechanisms = plain login auth_realms = example.com auth_verbose = yes disable_plaintext_auth […]
我正在尝试使用sasl + ldap来validation颠覆用户。 关于这个问题的其他问题似乎与早期版本的subversion或sasldbauthentication有关。 lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 8.1 (jessie) Release: 8.1 Codename: jessie svnserve –version svnserve, version 1.8.10 (r1615264) Cyrus SASL authentication is available. saslauthd -v saslauthd 2.1.26 authentication mechanisms: sasldb getpwent kerberos5 pam rimap shadow ldap sasl + LDAP部分似乎被正确configuration: testsaslauthd -u user -p password […]
使用Apache Directory Studio在ApacheDS LDAP目录中创build新条目时,它提供了创buildNew Entry或New Context Entry 。 上下文input和常规input有什么区别? 道歉,如果答案是显而易见的,但我已经search了多个search条件的多个小时的谷歌,并搜刮了Apache Directory Studio的文档,但不能得出一个清晰或满意的答案。 我所find的教程都是警告要创build一个教程,但没有具体说明为什么 ,导致我相信差异是重要的。 我试过了: 阅读文档。 该文档描述了如何使用向导来创build每种types的条目的过程,但它没有描述types或它们之间的差异。 通常在Google上查找有关LDAP的项目,以查看是否存在条目types的上下文条目 。 “上下文input”似乎不是典型的LDAP术语。 进行这两种types的input和比较。 在创build这两种types的条目之后,它们看起来是完全相同的,但它们大概是不可能的,否则为什么把它们叫做不同的东西呢? 我所学到的唯一的事情就是创build这两种types的区别在于,一个普通的Entry可以帮助你通过两部分构build一个dn ,另一个整体接受一个dnstring。 当然,这不可能是唯一的区别?