Alias /students /var/www/students <Location /students> KrbServiceName HTTP KrbMethodNegotiate On KrbMethodK5Passwd On KrbSaveCredentials off KrbAuthRealms DOMAIN.LOCAL Krb5KeyTab /etc/httpd/keytab KrbAuthoritative off AuthType Kerberos AuthName "Please Login" AuthBasicProvider ldap AuthzLDAPAuthoritative on AuthLDAPURL "ldap://dc.domain.local:389/OU=Domain Users,DC=domain,DC=local?userPrincipalName?sub?(objectClass=*)" AuthLDAPBindDN "CN=ldapsearchuser,CN=Users,DC=domain,DC=local" AuthLDAPBindPassword ldapsearchuserpass require ldap-group CN=Students,CN=Users,DC=domain,DC=local require ldap-group CN=Staff,CN=Users,DC=domain,DC=local </Location> 这允许所有属于学生/职员AD组的成员的用户访问http:// intranetsite / students后面的页面,而不必指定login凭证,只要他们的IE / Firefoxconfiguration正确。 使用userPrincipalName而不是sAMAccountName,因为kerberos模块正在将用户名@ REALM传递给ldap模块。 现在我遇到了这样的问题,如果有人没有被授权,他们会得到: 需要授权此服务器无法validation您是否有权访问请求的文档。 要么提供了错误的凭据(例如错误的密码),要么您的浏览器不知道如何提供所需的凭据。 有谁知道如何让它popup一个用户名/密码对话框,以便他们可以尝试备用凭据? 获得授权失败后,我可以要求凭据的唯一方法是清除我的caching。 […]
我在RHEL5盒子的/etc/pam.d/sshd文件中有下面的指令,我有点困惑。 这些指令在那里使LDAP + RADIUS + OTP工作。 我想要做的是告诉pam不要检查用户UID <499的LDAP + RADIUS + OTP,也排除UID = 30027被检查相同。 该指令按预期工作。 它检查UID> = 499,如果是,则跳过(auth足够的pam_unix.so nullok_secure)。 auth [success=1 default=ignore] pam_succeed_if.so uid >= 499 quiet 我很困惑 这应该做LDAP + RADIUS + OTP成功= 1,但不知何故,它仍然工作。 如果是真的,它不应该跳过下一个规则吗? auth [success=1 default=ignore] pam_succeed_if.so uid eq 30027 quiet auth sufficient pam_unix.so nullok_secure auth sufficient pam_radius_auth.so auth required /lib/security/pam_google_authenticator.so forward_pass 虽然我已经得到了想要的东西,但是我对它的逻辑背后感到困惑。 […]
我一直在尝试find一些关于如何从OpenLDAP检索操作属性的好文档。 我想通过LDAPsearch来检索LDAP服务器的基本专有名称。 当我明确要求namingContexts属性时,我的search怎么不起作用? 我被告知我需要给属性列表添加一个加号('+')。 如果是这样的话,我应该摆脱“namingContexts”属性还是同时具有? ldapsearch -H ldap://ldap.mydomain.com -x -s base -b "" + # note the + returns operational attributes 编辑:请注意它看起来像所请求的属性是空的。 加号不应该在属性列表中? http://www.zytrax.com/books/ldap/ch3/#operational 参考: 使用OpenLDAP的加号运算符
我试图通过LDAP服务器设置Linuxlogin。 除了设置用户的主目录之外,我有一切工作。 LDAP数据库中没有可以映射到homeDirectory属性的参数,我没有权力更改数据库。 有什么办法,我可以configuration它使用像/ home / $ UID,其中$ UID是他们用来login/这是来自LDAP属性uid的用户名? 谢谢。
有没有人使用AD作为通用目录(意思是用于域authentication/授权以外的用途)?
在运行OpenSUSE 12.2的机器上,我们安装了OpenLDAP和sssd守护进程。 我们正在使用这两个服务进行用户身份validation。 最近我们创build了一个脚本,dynamic地为我们的虚拟主机创build新的networking用户,但现在我们正在处理一个问题。 似乎sssd使用某种caching,在getent passwd它返回已经从LDAP中删除的用户。 有时它不会立即返回最近创build的用户,因为它需要在脚本中进一步(用setfacl和chown设置权限)。 重新启动LDAP, sssd或nscd没有帮助,既不用sss_cache -U刷新caching。 我们尝试降低caching在sssdconfiguration,但它似乎不影响任何东西。 我们需要以某种方式在将新用户添加到LDAP或完全禁用caching后明确地刷新caching。 有没有人遇到类似的问题?
这是来自olcDatabase = {1} hdb.ldif的一部分 olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=somesite,dc=com" write by * none olcAccess: {1}to dn.base="" by * read olcAccess: {2}to * by self write by dn="cn=admin,dc=somesite,dc=com" write by * read 我by dn="cn=anotheruser,ou=Users,dc=somesite,dc=com" write {0}和{2}行。 在销毁我的LDAP服务器之前, 以下LDIF是否正确? dn: olcDatabase{1}hdb,cn=config changetype: modify replace: olcAccess olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=somesite,dc=com" write […]
我们在Solaris和RHEL服务器上使用LDAP服务器,并计划将更多服务器迁移到RHEL。 但是,我们在所有红帽服务器上都有LDAP问题。 当input“getent passwd”时,将显示整个LDAP服务器上的所有用户,而不仅仅是有权访问此服务器的用户。 正常情况下,大约有10到50人可以访问服务器,所以Solaris打印出这个用户列表,而红帽公司则打印出LDAP中存在的所有用户列表(大约650)。 我更喜欢Solaris上的行为,其中只有具有访问服务器权限的用户才列有“getent passwd”。 如何configurationRHEL以仅列出有权访问服务器的用户?
我试图以一种可以回答的方式提出这个问题,但是问题的一部分就是知道我现在的情况,以及是否存在一个问题或技术债务,这些问题会进一步激化我。 我已经在主副本设置中设置了几个IPA服务器。 server1:dns一个logging(和fqdn主机名):srv1.mydomain.com server2:dns一个logging(和fqdn主机名):srv2.mydomain.com server3:dns一个logging(和fqdn主机名):srv3.mydomain.com 服务器分别具有auth-a,auth-b,auth-c的cname,并按照正常的IPA安装使用自签名证书。 这工作很好几个月的SSH连接和sssd等。 当试图在仅允许指定一个ldap服务器的应用程序中挂钩时,问题就到了。 有SRV DNSlogging设置故障转移,但为了让这些应用程序的工作,我还把一个DNS轮循环logging。 赶上这轮循环只适用于正常的ldap查找,而不是ldap ssl。 我可以使SSL工作,但是如果我禁用检查SSL证书。 所以…问题! a)实际上,禁用内部服务证书检查有多糟糕? 总是会从LAN查询这个ldap服务器。 我相信我被打开到可能的MITM攻击,但我不确定我需要如何担心。 我的意思是,现在我的其他select是不使用SSL,这是可怕的酱。 为了执行MITM攻击,他们已经需要在我的networking上并控制DNS了,不是吗? 任何可以将这个问题量化为实际意见的build议都是有帮助的。 b)据我所知,它实际上是解决这个问题,我需要给RR dns条目作为服务器的自签名证书上的主题ALT名称。 这意味着重新键入服务器,对吧? 在IPA的情况下意味着每个客户重新joinIPA以获得新证书。 我觉得这是一个不起眼的东西。 c)考虑到(a)和(b)的现状和结果,你认为最好的做法是允许只允许指定一个ldap服务器的应用程序(并且不使用任何SRV dnslogging方式)故障转移到另一台服务器应该下降,仍然允许ldap通过SSL给我的证书?
我有两个问题,我希望find一个共同的解决scheme。 首先,我需要find一种将多个LDAP服务器(跨多个域的Windows AD)提供给一个源进行身份validation的方法。 这也需要让本地不能与多个LDAP服务器通信的应用程序正常工作。 我读过这可以用Open LDAP完成。 还有其他解决scheme吗? 其次,我需要能够将这些用户添加到组,而无需对正在代理的LDAP服务器进行任何更改。 最后,这一切都需要在Windows Server 2003/2008上运行。 我为一个非常大的组织工作,并创build多个组,并有大量的用户添加到,移动和从他们中删除是不小的任务。 这通常需要大量的文书工作和大量的时间。 时间是我们通常不会有的事情; 避免文书工作只是一个加号。 我在这方面的经验非常有限,所以我甚至不确定我要问的是什么意思。 Atlassian Crowd接近我们所需要的,但是没有它自己的LDAP前端。 任何人都可以提供任何build议或产品名称? 感谢您的任何帮助,您可以提供。