我在LDAP上configuration了一些用户,并希望他们能够通过SSH使用LDAP目录上的用户和密码连接到Linux机器。 但是,有两个问题我不知道如何处理: 用户名和密码是unicode。 这是OpenSSH的问题吗? 有些用户名的forms是“user @ something”。 是否可以留下这些“@”的标志? 这样一个用户将能够执行ssh user@something@computer ? 谢谢!
我想我会在这里分享我的经验。 我只为一个只有20个用户的小企业工作。 我希望能够使用托pipe客户端首选项来分配诸如软件更新服务器之类的东西。 基本上能够以本地方式轻松pipe理我的Mac。 起初我尝试了魔术三angular解决scheme,但是我发现这很复杂。 它不仅需要Mac OS X服务器,还会给你两个故障点。 此外,每台Mac工作站必须绑定到两台服务器。 最后我把它吸了起来,并与在这里logging的架构变化。 起初我一直在犹豫,因为说明书需要大量的手工工作。 不过,这是相当基本的,只花了我一个半小时。 下面你会发现作为我工作结果的模式更改文件。 我严格按照指示进行了检查,并在所有工作进行了六个月之后,对事情进行了很好的检查。 太好分享。 我希望我能救个人几个小时。 # ================================================================== # # This file should be imported with the following command: # ldifde -i -u -f Apple AD Schema Changes.ldf -s server:port -b username domain password -j . -c "cn=Configuration,dc=X" #configurationNamingContext # LDIFDE.EXE from AD/AM V1.0 or […]
我正在使用CentOS-ds(基于Redhat-DS和389目录服务器)。 我有LDAP设置,并努力validation用户(和Sudo,这是一个方便的function!)。 即使passwd正在努力改变存储在Ldap中的密码。 不过,我有一个小问题。 login到服务器后,如何强制所有用户帐户创build新密码? 正常的方式,我会做到这一点: chage -d 0 username 似乎并没有被“灌输”。 我如何强迫他人在他们的下一个(ssh)login中创build新的密码? 我需要创build用户帐户,我真的不希望人们保持我为他们设置的密码.. *编辑 – 我已经设置LDAP服务器强制密码更改时,密码重置。 但是,我似乎无法find一种方法来以正确的方式“重置”密码来触发此。 (所有我能find的只是以目录pipe理员身份login并更改密码)* edit2。 由于我们将要把许多机器移动到LDAP,所以我编写了一个脚本,以root身份运行以设置LDAP身份validation。 也许我在这里错过了什么? (编辑出来的服务器和basedn。) #!/bin/sh # authconfig –enableldap –enableldapauth –enablemkhomedir –ldapserver=<server1>,<server2> –ldapbasedn="<basedn>" –update echo 'sudoers: files ldap' >> /etc/nsswitch.conf echo 'base <basedn> timelimit 120 bind_policy soft bind_timelimit 120 idle_timelimit 3600 uri ldap://<server1>/ uri ldap://<server2>/ ssl no tls_cacertdir […]
我的服务器可以访问一个只读LDAP,其中有99%的用户帐户信息将驻留。 在我的服务器上,我想configurationSamba使用LDAP进行身份validation。 现在会有一些额外的用户在LDAP上没有帐户。 我应该如何pipe理他们的authentication数据并让Samba意识到这一点? 从Samba文档: 早期版本的Samba-3实现了与多个账户后端同时工作的新function。 这个function从Samba 3.0.23的发布开始被删除。 从Samba 3.0.23开始,只能使用一个指定的passwd后端。 所以看来Samba只能支持一个authentication后端。 有没有解决办法?
我有一个有趣的情况,我们有一个完全相同的应用程序在“开发”环境中运行,而另一个在“testing”环境中,在通过LDAP对AD进行身份validation时行为有所不同。 行为是我们希望LDAP在用户尝试使用禁用的帐户进行身份validation时引发身份validationexception。 在开发中,它的工作原理和我们预期的一样,我们得到如下定义的错误(数据代码= 533): http://www-01.ibm.com/support/docview.wss?uid=swg21290631 当我们在testing环境中运行这个代码时,它会让被禁用的用户login正常。 很明显,在每个环境中,LDAP / AD的configuration是不同的? 如果是的话,什么设置控制这种行为
我的意图是将Outlook / Thunderbird客户端的“客户联系信息”MySQL表格作为地址簿(通过LDAP)提供。 我知道OpenLDAP有一个MySQL后端选项,但是我一直没有find任何清晰,可靠的文档来说明如何configuration它。 我需要设置哪些OpenLDAP选项,以及在哪里设置它们? 我正在运行Ubuntu 9.04。 更新 : 我已经设置了ODBC文件,并将testing数据导入到数据库,但是仍然不知道如何configurationslapd来使用数据库。 某处,在一些configuration文件中,我不得不说“slapd,使用称为'LDAP2MySQL'的ODBC资源”。 但是哪里? 如何? 其他更新 : 我没有得到这个: Ubuntu软件包版本毕竟没有SQL支持,所以我删除了它,我试图从源代码安装。 我认为它安装好了,但“make test”会产生错误“比较失败./scripts/test003-search失败(exit 1)”。 无论如何,我做了一个“make install”,因为Google似乎没有解释如何解决“比较失败”的问题。 现在我什至不能开始愚蠢的事情。 与Ubuntu的包一起工作的“/etc/init.d/slapd start”不起作用。 openLDAP手册说“/ usr / local / libexec / slapd”是启动它的命令。 …但是这个命令没有输出。 我甚至不知道它是否在运行。 我放弃。 其他更新 : 好吧,我运行“顶部| grep slapd”,我什么也没有得到,所以我猜测它没有运行。 但没有错误消息。 所以呢? 我必须猜测为什么它不会启动? 更新 : 我已经重新安装了操作系统,并从一个干净的石板开始。 现在我甚至不能./configure openldap,因为它找不到db.h. 安装了“db4.7-util”软件包。 我越努力做这个工作,就越less。 我不能相信没有人知道如何做到这一点。 更新 : 我刚刚从源代码安装了BerkeleyDB,但OpenLDAP编译器仍然说: […]
我怎样才能限制一个用户帐户同时login到一个私有的,所有Linux LDAPauthentication的networking中的台式机的数量? 以下是预防的scheme:具有有效帐户的用户在同一个帐户上login到10个不同的桌面,以便他可以与他的9个朋友玩游戏; 这些朋友都没有在networking上有效的帐户。 服务器是带OpenLDAP的RHEL 5,桌面是Fedora 11(可用时是CentOS 5.4)。 所有桌面login都通过服务器上的LDAP。 注意:在一台机器上限制并发login可以通过/etc/security/limits.conf maxlogins来完成,但是在这种情况下这是没用的。 另外请注意:在具有Active Directory的Windowsnetworking上,UserLock和LimitLogin等软件可以完成此操作; 但是这个networking没有Windows,也没有AD服务器。 编辑:我知道LDAP本身不能做到这一点; 如果有一个成熟的,经过充分testing的附加产品,类似于上述基于Windows的产品,那么这将是一个好消息。 我甚至会考虑非免费 /非自由的解决scheme。
我一直想知道如果LDAP可以用来控制用户权限。 例如,如果我有UNIX和Weblogin,是否有一种简单的方法来授予用户访问权限(或者甚至是两个)? 我目前试图解决这个问题的方法是创build“login”和“nologin”组,但这似乎不足以满足我脑海中的想法。 我还处于所有UNIX用户都是networking用户的情况,这不是限制的一个指标。 有没有人对此有任何意见? 这个问题已经解决了吗?
我是完全LDAP新手,我只是研究,如果我可以用它来为我的下一个项目,或更好地远离它。 这个项目将很大程度上取决于嵌套组的概念,我经常需要知道用户在哪个组中(也在哪个超级组),哪个用户在哪个组以及组中有多less人(包括子组)。 我尝试阅读ldap中的嵌套组,但很难find有关该主题的优秀文献。 到目前为止,我发现的最好的是: http : //middleware.internet2.edu/dir/groups/docs/internet2-mace-dir-groups-best-practices-200210.htm哪种推荐前向引用。 有没有其他文件描述嵌套组? 到目前为止,我不受实现限制,所以它可以是例如openLDAP特定的。 我也欢迎所有关于嵌套组的build议。 谢谢,Markus
我们的企业LDAP目录位于Snow Leopard Server Open Directory设置中。 我正在尝试使用ldapsearch工具导出.ldif文件以导入到另一个外部LDAP服务器,以便与外部进行身份validation; 基本上试图能够在内部和外部使用相同的凭据。 我已经有了ldapsearch工作,并给我的“用户”单位的所有内容和属性,甚至滤除只有我需要的属性: ldapsearch -xLLL -H ldap://server.domain.net / -b "cn=users,dc=server,dc=domain,dc=net" objectClass / uid uidNumber cn userPassword > directorycontents.ldif 这给了我可以导入到远程OpenLDAP服务器的用户和属性列表。 dn: uid=username1,cn=users,dc=server,dc=domain,dc=net objectClass: inetOrgPerson objectClass: posixAccount objectClass: organizationalPerson uidNumber: 1000 uid: username1 userPassword:: (hashedpassword) cn: username1 但是,当我在OD“组”而不是“容器”上尝试相同的查询时,结果如下所示: dn: cn=groupname,cn=groups,dc=server,dc=domain,dc=net objectClass: posixGroup objectClass: apple-group objectClass: extensibleObject objectClass: top gidNumber: 1032 cn: groupname […]