我正在Debian服务器上运行一个OpenLDAP目录,使用hdb后端。 我一直在想备份,并在网上阅读。 Slapcat似乎是要走的路,但是我一直看到这些post说slapd运行时使用它是危险的。 这是危险的? 我打算在晚上运行这些备份,夜间也不会写入数据库,但可能会发生读取。 如果还有其他备份解决scheme更适合这个,我很乐意听到这个消息。
我拥有的: 在远程NFS服务器上运行Ubuntu Jaunty挂载/ home的工作站。 用户帐户仍然在每个单独的工作站上本地创build。 运行Windows XP / Vista的工作站 NFS服务器(如上所述) Windows 2008服务器 所有机器共享一个专用networking(LAN)。 我需要做的是: 为办公室pipe理员创build用户帐户的单一直观(GUI驱动)位置。 这应该让任何人login到他们的(Linux或Windows)工作站,然后启动远程桌面,并使用相同的login到Windows 2008服务器,从networking上的任何机器。 我已经阅读了很多有关samba,LDAP和AD等的文章,现在我比之前开始研究这个问题更困惑了。 理想情况下,Linux 和 Windows用户一旦login到Win2008服务器就应该能够访问本地文件。 我是一个程序员,而不是一个互操作性的专家,我完全失去了从哪里开始努力完成这个任务,再加上我已经把东西用完了。 你会怎么做? 这甚至有可能吗? 编辑 MacOS不是一个考虑因素。 处理个人笔记本电脑最终会在插入IP时为其分配IP。我只关心存在于完全不同子网上的Linux / Windows工作站。
我试图通过LDAP查询在Active Directory中查找用户。 基本上我正在以这种方式search用户: Search DN: dc=mydomain, dc=com Filter: (sAMAccountName=USER) where USER is replaced with the provided username. 现在,如果用户只是没有域的用户名(例如“乔”),这工作正常。 不过,我收到他们的forms(域\用户名,例如“myDomain \ Joe”),显然search失败。 我看到两种方式: 在searchfilter中使用正则expression式来丢弃该域 使用完全不同的searchfilter 我不是LDAP专家,我甚至不知道是否可以在searchfilter中使用正则expression式。 有谁知道这是可能的,以及如何? PS我不能预处理用户名剥离域。 这不能改变,因为它是大系统的一部分。
我正在寻找一种方法来loggingActive Directory域控制器的ldap访问。 我希望能够将用户名和源IP地址访问logging到389和636(encryption)。 一个简单的数据包捕获将获得我的源IP,但获取用户名将不可能在ldaps上,所以我希望Windows中有一些内置的审计/debugging/日志loggingfunction,将给我这个信息。
我创build了一个自定义的LDAP objectClass,但在将其添加到我的OpenLDAP服务器之前,忘记了几个属性。 我遵循这个Ubuntu文档页面上的说明: https : //help.ubuntu.com/12.04/serverguide/openldap-server.html我正在运行的Ubuntu 12.04。 那么,如何将一个新的MAY属性添加到已经应用到服务器的objectClass? 特别是在OpenLDAP上,但最好也知道Novell eDirectory如何。
我们发现Active Directory LDAP查询存在一个奇怪的问题。 情况是:在给定的OU中有一个安全组。 这个安全组需要转移到一个完全不同的 OU。 我们有一个应用程序使用LDAP对AD进行身份validation,并使用Active Directory LDAP_MATCHING_RULE_IN_CHAIN进行查询,以支持embedded的组: (memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com) 一个示例查询将是: ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Departments,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com)' dn 它将按照预期返回属于所请求的OU的完整用户列表。 但是,如果我们将该组从“ Departments\System Administrators移出并进入“ Security Groups\System Administration (并适当更新查询): (memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System Administration,OU=Security Groups,DC=ds,DC=example,DC=com) 例如: ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Security Groups,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System […]
我们有一个本地LDAP目录,提供有关我们用户社区的基本联系信息。 我们希望将这些内容集成到一些第三方托pipe服务中,这些服务允许我们实现运行任意Javascript的小部件。 为了将Javascript连接到我们的LDAP目录,我想build立一个简单的LDAP到HTTP代理,它将接受HTTP GET请求,将它们转换成适当的LDAP查询,并以目录信息作为JSON编码数据进行响应。 在一个理想的世界里,像这样的东西: GET /[email protected] 会给我这样的东西: { "cn": "Bob Person", "title": "System Administrator", "sn": "Person", "mail": "[email protected]", "telepehoneNumber": "617-555-1212", "givenName": "Bob" } (这显然假定Web应用程序具有关于使用什么基DN的本地configuration信息,如何authentication等)。 我想我可以写一个…但肯定这样的东西已经存在?
对于/etc/passwd的一部分用户,我想configurationPAM(在Linux上)对LDAP服务器执行login密码检查部分,忽略这些用户实际上在/etc/passwd 。 特别是, /etc/passwd和/etc/group应该在所有的情况下用于UID和GID,这样uidnumber和gidnumber等属性不需要被添加到目录(这里是Active Directory)文档,如LDAP Implementation HOWTO 。 这甚至可能(没有自定义PAM模块开发)? 将属性添加到LDAP目录是不可行的。 我不是Active Directory域pipe理员,并且不断增加对该级别的介入超出了此项目的范围。 系统在大多数Windows服务器环境中运行的情况; 如果指定的Windows用户可以在有问题的系统上使用他们的AD密码,那将会很好。 根据用户的不同,用户应该通过UNIX身份validation或LDAP身份validation进行检查,但不能同时进行。 我可能不会向Active Directory中的用户添加属性,但可能会将其添加到安全组(实际上还希望进一步要求LDAP用户位于特定的LDAP安全组中)。
在我们的企业环境中,很久以前,一些智者决定把用户“ mysql ”放到LDAP中。 该帐户已被禁用: $ sudo su – mysql This account is currently not available. …但它的身份证仍然存在: $ id mysql uid=2050913(mysql) gid=867(ENG) groups=867(ENG) 这使得mariadb安装在CentOS7上失败,因为/var/run/mariadb是由一个tmpfile规则创build的,该规则尝试将该目录分配给mysql所拥有。 但是,在LDAP /networking启动并运行之前,mysql不存在,而mariadb安装不会创buildmysql用户,因为用户已经存在于LDAP中。 有没有办法在本地强制PAM(或其他?)在LDAP中忽略用户mysql? 或者将ldap mysql用户重命名为mysql_ldap ? 我唯一的解决方法是在/etc/passwd手动添加条目吗? (或者更改mariadbconfiguration以使用不同的用户名。)我宁愿对来自rpm的configuration文件和systemd文件做最小的更改。 (而且我不希望从LDAP中删除mysql ,因为这可能会破坏很多传统的基础设施。) 我会用顺从,顺便说一句,来实现这个变化。 额外: 我已经改变了问题的标题: 我发现,如果我添加本地“ mysql ”用户,它工作正常,除非我有LDAP“ mysql ”用户的用户ID所拥有的文件。 如果我使用这些文件,则会污染nscd(或sssd)caching,“ mysql ”会再次parsing为LDAP用户。 看来我真正想要的是以某种方式构build帐户的PAMfilter,以使此LDAP“ mysql ”用户消失。
我正在寻找免费的日历服务器谁可以validation到LDAP服务器。 我希望我们的用户在日历服务器上使用雷鸟闪电。 我们有邮件服务器与devcot和squmail邮件。 你可以推荐我日历服务器?