我试图让我们的新服务器,一个X8DTN + -F的IMPIconfiguration为与我们的身份validation服务器交谈。 这两个选项是LDAP和RADIUS。 我通过查看数据包捕获来debugging,因为看起来IPMI的东西不logging任何东西。 我第一次尝试LDAP,但IMPI的东西坚持要绑定为除login(跆拳道)以外的用户。 一旦我设置了自己的用户,它设法find用户(虽然不是通过search我想要的属性,似乎没有办法改变它),但即使得到一个响应…不允许login。 也许它期望在响应中的密码属性,这当然没有得到。 它应该只是作为login用户绑定(并且应该使用LDAP over SSL,但这是另一回事)。 所以我尝试了RADIUS。 现在,它发送预期的访问请求数据包(预期用户名,encryption密码,NAS IP地址127.0.0.1 [rtf],端口为1)。 然后它返回一个访问接受数据包,服务types为Administrative-User …,然后拒绝login。 (注:通过拒绝login,我的意思是重新显示login页面,它不像这个东西相信错误信息或日志。 那么,我需要让RADIUS服务器回复一些神奇的属性吗? 有没有人得到RADIUS与Supermicro的IPMI一起工作?
这是每个SysAdmin的事情要做的噩梦。 基本上我们想控制谁可以访问哪些主机。 这听起来很简单,但问题是要find一个可扩展和低维护(pipe理开销)的解决scheme。 我们使用bcfg2进行configurationpipe理,非常像Cfengine&puppet。 从某种angular度: networking组是非常可扩展的,但是带来了巨大的pipe理费用。 维护主机,主机组,用户networking组(独立于ldpa组)似乎是一个非常大的负担,但是可行的。 ldap.conf (7月1日由jmozdzen发布)和基于LDAp的访问控制。 我们可以为每个主机模板化ldap.conf,并创build一个包含主机名和成员作为用户的组。 但缺点是你不能指定ldap组(用户组)访问,但只能单独使用。 sshd_config限制。 但是,如果用户本地login,则不起作用。 主机属性检查。 通过在ldap.conf中取消注释pam_check_host_attr,并将主机名添加到每个用户都很好,但是自动化并不容易。 任何人都有不同的方法来解决这个问题,并且扩展和自动化?
我在使用Windows 2008 Server上的活动目录(已安装对UNIX系统的支持)上为Linux上的用户(确切地说是Fedora Core 15)设置auth时遇到问题。 我已经成功地设置了Kerberos,使用kinit -p <login>和klist进行testing以查看票证。 但我仍然无法login。 为了减less无用的答案:没有桑巴,Winbind,同样或其他软件允许。 只允许NIS / LDAP。 澄清:我想设置本地和SSH访问的客户端机器。 更新:我通过LDAPconfiguration了AD访问, getent passwd 106289gm和getent shadow提供了有效的getent passwd 106289gm ,但是getent group没有显示任何AD组。
我正在尝试configurationVsFTPd服务器以再次validationLDAP服务器。 这可能很简单,但是由于这是我第一次使用LDAP和PAM,所以我遇到了一些困难。 VsFTPd在Ubuntu Server 11.04上运行,LDAP在10.10 Ubuntu服务器上是OpenLDAP。 第一个我禁用了AppArmor。 VsFTPd无法连接到LDAP服务器,在我的系统日志中我有: vsftpd: pam_ldap: ldap_simple_bind Can't contact LDAP server LDAP服务器是可以的,因为我可以做一个ldapsearch 。 这是我的/etc/pam.d/vsftpd文件: auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed @include common-account @include common-session @include common-auth auth required pam_ldap.so account required pam_ldap.so session required pam_ldap.so password required pam_ldap.so 这里是我的/etc/ldap.conf文件: base dc=example,dc=com uri ldapi:///ldap.example.com ldap_version 3 rootbinddn cn=admin,dc=example,dc=com pam_password md5 nss_initgroups_ignoreusers […]
我试图将密码从LDAP导入到MySQL数据库。 当我看着已知密码test的userPassword属性,我得到这个: userPassword:: e01ENX1DWTlyelVZaDAzUEszazZESmllMDlnPT0= 在这个阶段的密码是base64编码,解码后我得到这个: {MD5}CY9rzUYh03PK3k6DJie09g== – 它看起来不像CY9….string是MD5哈希,因为它不是32个字符(实际上是128位)。 – 它似乎没有base64编码,因为我没有得到解码后的test 。 – 当我生成我自己的MD5哈希test我得到098f6bcd4621d373cade4e832627b4f6 。 我发现这个perl脚本 (页面上的第二个),它会从test中生成{MD5}CY9rzUYh03PK3k6DJie09g== ,但是当我查看脚本时,我看不到我所缺less的内容,因为它看起来像md5哈希base64在与{MD5}连接之前进行编码: $ctx = Digest::MD5->new; $ctx->add('secret'); $hashedPasswd = '{MD5}' . encode_base64($ctx->digest,''); 有人可以解释从test到CY9rzUYh03PK3k6DJie09g==的步骤吗?
我试图让我的新的桑巴服务器运行几天,我开始失去了我的脑海,没有搞清楚我做错了什么。 这是我的设置: 具有〜15个组和100个用户的OpenLDAP 2.4.21服务器,都具有存储在LDAP中的unix和samba密码,以及分配并存储在LDAP中的用户SID和主组SID,源自LDAP的SID服务器。 现在我想使用几个samba服务器来使用LDAP服务器来authentication用户。 samba服务器是一个使用ldap服务器configurationNSS / PAM的linux。 getent passwd / group将所有用户和ssh返回给所有用户的samba机器。 现在这里是smb.conf: [global] workgroup = XXXXX security = user passdb backend = ldapsam:ldap://myldapserver ldap suffix = dc=mydomain,dc=com ldap admin dn = cn=replicator,dc=mydomain,dc=com ldap user suffix = ou=users ldap group suffix = ou=groups ldap machine suffix = ou=computers ldap ssl = start tls ldap连接工作,如pdbedit -L显示 […]
我目前正在运行一个OpenLDAP服务器pipe理我的Linux用户,如posixaccount和posixgroup这样的元素: dn: cn=shellinger,ou=groups,dc=company,dc=com cn: shellinger gidNumber: 5001 objectClass: posixGroup objectClass: top dn: cn=shellinger,ou=people,dc=company,dc=com cn: Simon Hellinger uid: shellinger uidNumber: 5001 gidNumber: 5001 objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: top … 现在,除了主要组,Linux组成员在每台机器上都是本地pipe理的。 这工作,但我认为打败了集中用户pipe理的目的。 我想我想要的是分配给我的用户不同的组,取决于他们login的机器。 一般来说,我的用户在我的所有机器上都有一些有用的业务,所以我相信login限制(基于主机或某个组)对于我的用例来说太粗糙了。 我想限制他们可以在每台机器上做什么,而不是如果他们可以login; 并以我的心态转化为他们所在的Linux团队。 而且,对于每台机器上的每个用户,这些组(也就是这样的权限)可能会有很大的不同,在一台机器上拥有超级用户权限的人可能是下一个用户。 用我的外行人来说,这听起来像是基于angular色的小组任务,但是在把我的整个LDAP词汇扔到Google和serverfault之后,我似乎还是无法理解这一点。 总结一下,问题是:我的用例是否有效? 我正在以正确的方式进行吗? 我应该在LDAP中pipe理Linux组吗?
当im试图用这个命令将用户导入到LDAP时: ldapadd -x -D "cn=Manager,dc=domain,dc=com" -W -f /etc/openldap/root.ldif 我有这个错误: ldap_add no such object (32) matched dn dc=domain,dc=com 让我给你看看这些文件: /etc/openldap/domain.ldif dn: dc=domain,dc=com dc: domain description: LDAP Admin objectClass: dcObject objectClass: organizationalUnit ou: rootobject dn: ou=People, dc=domain,dc=com ou: People description: Users of adminmart objectClass: organizationalUnit /etc/openldap/root.ldif dn: uid=root,ou=People,dc=domain,dc=com uid: root cn: Manager objectClass: account 有人可以帮助我吗? 谢谢
Windows Server 2008 | Windows Server 2003 我想在Linux设备上利用LDAPS。 供应商需要我的Windows 2008的服务器证书| Windows 2003全局编录服务器,因此它可以启动对TCP / 3269(也可能是TCP / 636)的安全调用。 为了安全起见,他们不隐式地信任自签名证书,所以我需要从服务器检索它并预加载设备上的公钥。 有人可以指点我如何检索Windows中的这些服务器证书?
我开始厌倦了在我越来越多的Solaris服务器上维护单个系统文件(现在是2,现在是10,并且日益强大)。 我将Sun Java Directory Server视为非NIS / NIS +解决scheme。 我们在这里经营一个主要的Windows商店,所以我也玩弄以下两件事之一: 使用Kerberos身份validation直接从Solaris客户端到AD(使用域控制器上的相应实用程序),或 使用Directory Server并使用其身份同步产品同步到Windows域 在这一点上,我更倾向于#2,因为如果我(或用户社区)希望在服务器之间共享凭据,那么我只需要使用AD。 任何洞察力或恐怖故事都表示赞赏。