如何将PHP Web应用程序连接到Active Directory? LDAP是唯一的方法吗? 我到目前为止的一些引用https://stackoverflow.com/questions/1003751/how-do-i-use-microsoft-ad-and-php-single-sign-on-web-app
我找不到如何在Microsoftpipe理控制台(MMS)中查看Active Directory中的对象属性。 请告诉我是否可以在MMS中进行。 我发现显示对象属性的Active Directory Explorer: http : //technet.microsoft.com/en-us/sysinternals/bb963907.aspx 。 你知道更好的工具吗? 添加第一个答案后 我想要find一个简单的UI工具,允许在Active Directory中使用Active Directory Explorer浏览对象的属性: 如果您知道Active Directory Explorer更好的LDAP浏览器,请告诉我。
我在Active Directory和Google Apps中运行了一个拥有大约150个用户帐户的小型大学networking。 我正在寻找将AD与G-Apps链接。 目前,我的用户需要为每个用户保留单独的密码。 显然这不是理想的情况。 我知道Google提供这种types的API,但不是真正的软件。 我看了一些商业产品,似乎倾向于人群(atlassian.com)。 我也感兴趣的是用户能够重置自己的密码或通过TXT消息接收随机生成的密码。 单点login会很好,但是如果我只是想让密码同步的话,这并不是必须的。 最好的做法是,当我在AD中创build用户时,它将自动显示在Google Apps中,并且当用户通过Windows(或必要时的网页)更改密码时,这些更改将反映在AD和G-Apps中。 我也使用Moodle,Joomla和其他一些能够对LDAP进行身份validation的产品。 我有Win2k3数据中心,和一个Ubuntunetworking服务器。 如有必要,我可以添加一个服务器。 有没有其他人做过这个,或类似的东西? 有什么其他产品或技术我应该看看。 由于缺乏Linux / CLI的经验,我倾向于使用基于GUI的Windows。 我不是一个程序员,所以我需要一些可以开箱即用(或者尽可能接近)的东西。
我将如何build立一个AD的LDAP查询,返回一个特定安全组中的帐户没有被禁用的所有用户? 我试过了 (&(objectClass = person)(!(userAccountControl = ACCOUNTDISABLE ))) 但似乎并不奏效。 我正在尝试设置Google Apps Directory Sync,并希望它能够同步所有属于“Google Apps用户”安全组的帐户未被禁用的用户(或者,如果在AD中被禁用,则只需挂起GA中的帐户)。
我试图让ldap用户在客户端机器上更改密码。 我已经尝试过每个我能想到的/etc/ldap.conf和/etc/pam_ldap.conf pam。 在这一点上,我卡住了。 客户端:Ubuntu 11.04 服务器:Debian 6.0 目前的输出是这样的: sobrien4@T-E700F-1:~$ passwd passwd: Authentication service cannot retrieve authentication info passwd: password unchanged /var/log/auth.log在命令中给出了这个: May 9 10:49:06 T-E700F-1 passwd[18515]: pam_unix(passwd:chauthtok): user "sobrien4" does not exist in /etc/passwd May 9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: ldap_simple_bind Can't contact LDAP server May 9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: reconnecting to LDAP […]
这是这个问题的一个后续:我将叠加成员添加到现有的OpenLDAP 2.4服务器。 现在我想更新现有的用户对象。 对于新的组成员,memberOf属性已正确更新。 但是我有一堆现有的组不会自动更新。 我可以从组中删除所有用户,并重新添加它们以确保这些条目同步。 由于这是一个Univention公司服务器 ,当你修改LDAP时有很多魔力,我不想冒险破坏我的目录。 有没有办法欺骗覆盖更新这些操作属性?
在每次login或sudo提示时,服务器在第一次提供时总是拒绝密码,但是第二次接受密码。 我发现这个线程描述了什么似乎是相同的问题,但沿着我所描述的解决scheme的线路上玩我的/etc/pam.d/system-auth文件没有为我工作。 例如,将“try_first_pass”的第一个实例更改为“use_first_pass”,使得login身份validation连续失败,移除“nullok”也一样。 有谁知道需要改变什么使系统第一次接受正确的密码? 将/etc/pam.d/system-auth: #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so […]
我试图在我的公司部署freeIPA。 networking非常简单: <10 FC20(和FC21 beta)台式机 <5台FC20服务器(包括带有freeIPA的服务器) 1 Synology NAS DS1813 +(DSM 5.0) 我首先模拟虚拟机上的所有东西(包括Synology NAS)。 Synology也应该导出NFS共享,尽可能与freeIPA集成。 另外,我希望它为freeIPA用户提供NFS主目录(主目录目前在客户端是本地的)。 状态: freeIPA Server up(4.1.1) 注册Fedora客户端,我可以用LDAP用户login Synology:问题 关于Synology的客户状态和我的具体问题: DSM没有ipa-client-install ,所以我试图遵循通用和零散的(最新的手册不可用,据我所知)指令,如: http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/linux-manual.html http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/kerb-nfs.html http://wiki.linux-nfs.org/wiki/index.php/NFS_and_FreeIPA 它可以看到并使用freeIPA服务器作为唯一的DNS服务器 提到的第一步是“ 安装SSSD 1.5.x或更高版本,如果尚未安装。 问题是,SSSD似乎不适用于DSM。 我能在这里做什么? SSSD的缺席是一个表演塞? 下面的一个评论指出,这不是一个显示限制,因为SSSD只是一个客户端的凭证caching。但是:我可以忽略SSSDconfiguration,忘记它,或者它的缺席意味着一些不同的步骤客户端configuration? 这真的是可选的吗? NFS共享:假设我设法正确地注册了Synology,我不清楚为了将LDAP用户作为主共享使用哪些步骤。 有经验的人能给我一个简短的清单吗? 特别是关于要遵循的步骤的顺序 ? 我知道如何在Synology站点创build导出,以及如何从客户端使用它。 但是在这里,我还有另外一些困难,就是把出口作为家庭用品,并将其整合到免费的IPA中。 增加的复杂性,没有明确的指导给我头痛。 注意到用户很less,所以我更愿意创build新的LDAP用户,然后移动/重新拥有文件,而不是迁移用户。 我想尽可能避免的是用Synology站中的configuration文件手动搞定。 只要我通过用户界面做事情,我就可以把事情的可能性降到最低。 万一有什么不足之处,我很乐意更新这个问题。 谢谢!
什么是您使用的最好的OpenLDAP VMWare设备(VM)?
我在一个大学环境中工作,这个环境过去几乎只提供给那些已经在中央用户数据库中拥有“正式”账户的大学子公司。 我们越来越多地向外部合作者提供服务(托pipe的Subversion / git存储库,Wiki访问等),这些都不适合这种传统模式。 我正在寻找一种工具,可以让我们pipe理“轻量级”帐户,即“轻量级”,我的意思是: 用户将能够通过Web界面自行注册帐户。 帐户将通过某种电子邮件+validationURL机制自动validation。 有一个帐户不会授予访问权限的任何默认(授权将通过组成员身份或特定的服务ACL)。 这是stream行的Web服务的一个非常典型的模型,但是我没有太多的运气find一个实现这个框的工具(而且我们没有时间和资源来写自己的东西)。 有很多工具可以提供自助服务密码更改和元数据编辑,但是我还没有find一个处理注册的工具。 我希望FreeIPA能够处理这个问题,但据我所知,这不是。 你知道任何可以启用这个模型的工具吗? 如果你有一个很好的经验,我打开商业解决scheme。