我是一个程序员,需要将这个应用程序集成到新的公司范围的Active Directoryloginscheme中。 这意味着更改我们系统中的所有用户名以使用新的scheme。 新的计划是“第一名,姓氏”,所以乔·史密斯将有一个用户名jsmith。 如果约翰史密斯现在被雇用,他会得到jsmith2。 但是,一旦乔离开公司,他的AD帐户被删除,并且jsmith再次可用。 所以如果吉尔史密斯现在被聘用,她会得到jsmith。 从应用程序的angular度来看,这在我看来会引起一些问题,因为我现在可以有关于Joe的logging和与Jill有关的logging是无法区分的,因为它们都是由“jsmith”创build的。 因此,我不禁要问,是否有一个标准或最佳实践来解决在组织范围内重用用户名的问题,特别是在大公司中。 当我在会议上提出自己的担忧时,我被告知:“大公司名称没有办法logging每个离开公司的用户的logging”,这让我感到如此疯狂。 那么,是否有一个普遍接受的解决scheme来处理用户名? 还是每个公司都是这样做的?
我安装了LDAP开发标题: apt-get install libldb-dev 这添加了几个ldap头文件: root@crunchbang:/usr/include# ls -la ldap* -rw-r–r– 1 root root 9466 Apr 23 2013 ldap_cdefs.h -rw-r–r– 1 root root 1814 Apr 23 2013 ldap_features.h -rw-r–r– 1 root root 65213 Apr 23 2013 ldap.h -rw-r–r– 1 root root 9450 Apr 23 2013 ldap_schema.h -rw-r–r– 1 root root 3468 Apr 23 2013 ldap_utf8.h 当我configuration和引用目录时: […]
我有一个Redmine实例(Bitnami Stack),速度非常慢。 因为我只是想深究其中,所以我想在这里讨论一些理论。 所以,如果有人对此有任何想法,请随时提供帮助:-) 系统: Bitnami堆栈与Redmine 1.4.x升级到Bitnami堆栈与Redmine 2.1.0是这样的: mysqldump'd旧数据库 用Redmine 2.1.0安装了新的Bitnami堆栈 干净地导入转储与重新创build所有表 耙db:迁移和所有 该堆栈正在使用OpenSUSE 12.1的虚拟机上运行。 资源不应该是一个问题,因为总是有几千GB的空闲内存,Redmine请求上的CPU峰值只能达到2个cpu核心的50%。 也只有很less的用户访问它。 什么可能是非常重要的:用户login是通过LDAP(ActiveDirectory)处理的。 问题: 在每个请求Redmine反应exception缓慢。 有时需要3秒钟,有时甚至需要10秒才能发送页面。 我的想法: 我不知道是否在Redmine的LDAP设置中选中了“即时创build用户”,我今天晚些时候才能检查这个。 但是,这里可能缺less支票是一个问题吗? 身份validation需要一些时间,login时是正常的,并确认。 但是,如果不是即时创build用户,是仅保留一个会话还是对每个请求重新进行身份validation,这可能是问题所在? Redmine 2.x可能比1.4.x慢得多,这只是普通的? Bitnami的Apache2 + Passengerconfiguration有问题吗? MySQL的索引不会是一个问题,因为MySQL对CPU非常冷静,是吗? 还有一件事对我来说似乎很奇怪,但可能是一个错误的测量结果(当我看到机器时,需要重新检查这个): 我试图检查是否是一个networking问题(networking反应慢,也许DNS或什么;服务器在本地networking)。 似乎本地主机上的请求(直接在OpenSUSE VM上的浏览器)很快,但通过networking的请求不是。 通常我会想到一个networking问题,但奇怪的是:当实际测量连接时间时,networking速度如此之快。 平安好,静态交货时间也是。 似乎只有Redmine方计算的页面被应用程序服务器缓慢发送,而Apache仍然很快 – 但只有当请求是远程局域网请求时。 很奇怪,但正如我上面提到的,我必须重新检查这一个。 这对我来说似乎不合逻辑。
我已经build立了一个使用用户帐户的LDAP服务器。 我已经成功地configuration了一个Rails应用程序来对这个LDAP服务器进行身份validation。 我正在尝试configurationSSSD以对LDAP进行身份validation,但不喜欢单个用户的密码。 错误: $ su – leopetr4 Password: su: incorrect password SSSD识别用户,但不是密码: $ id leopetr4 uid=9583(leopetr4) gid=9583(leopetr4) groups=9583(leopetr4) 以下是用户logging的样子: # ldapsearch -x -W -D "cn=admin,dc=my_domain,dc=com" -H ldaps://my_hostname.my_domain.com "(uid=leopetr4)" Enter LDAP Password: # extended LDIF # # LDAPv3 # base <dc=my_domain,dc=com> (default) with scope subtree # filter: (uid=leopetr4) # requesting: ALL # # leopetr4, People, […]
执行LDAP绑定到活动目录服务器需要什么权限? 我有一个中央域(称为MAIN),对其他森林中的域具有双向信任(称之为REMOTE和FARAWAY) 使用MAIN \ myaccount作为用户名和我的密码,我可以绑定到REMOTE罚款,但不是FARAWAY; 我得到一个无效的凭据回应 80090308: LdapErr: DSID-0C09030B, comment: AcceptSecurityContext error, data 525, v893 在所有其他方面,信托似乎运作良好。 我需要检查什么权限才能找出绑定失败的原因? 我的理解是,authentication用户中的任何人都应该能够绑定到LDAP,但是这似乎只适用于一些domaians,而不是其他人。
从Apache服务器对LDAP(Active Directory,Server 2008)进行身份validation时,错误日志中会显示以下消息: authentication failure for "/": Password Mismatch 只有当密码包含德文变音符(ä,ö,ü)时才会发生这种情况。 在更改密码或尝试使用不带变音器的其他帐户密码validation工作正常。 这是我的configuration: AuthType Basic AuthzLDAPAuthoritative off AuthLDAPURL "ldap://[SERVER]:3268/DC=[DOMAIN]?sAMAccountName?sub?(objectClass=user)" AuthLDAPBindDN "user" AuthLDAPBindPassword "pass" require valid-user 我在Debian(2.6.26-2-686)下使用Apache2(2.2.16-6 + squeeze1)。 有趣的是,上面的configuration一直工作到昨天(即使是带有元音变音的密码),我没有碰它(我发誓;-))。 我已经find了同样的问题,但没有解决scheme的其他人。 有没有人有一个想法如何解决这个问题,或者干脆旁边可能找出错误的模块呢? 最好的问候,斯蒂芬
我正在使用与Oracle客户端一起安装的ldapsearch.exe二进制文件。 花了一段时间梳理出它想要的参数,但是我能够成功地连接到AD并parsing出文本属性(给出用户名,查找电子邮件等)。 但我也想抓住Exchange / Lync使用的头像图片。 根据我挖掘的一些微软文档,属性名称是thumbnailPhoto 。 起初我无法弄清楚,但是这个命令不会产生生气的错误信息: ldapsearch -v -h xxx.yyy.edu -Z -b cn=USERNAME,ou=Computers,ou=yyy,dc=yyy,dc=edu cn=USERNAME thumbnailPhoto 当我运行时,我得到以下输出: ldap_open( xxx.yyy.edu, 389 ) filter pattern: cn=USERNAME returning: thumbnailPhoto filter is (cn=USERNAME) CN=USERNAME,OU=Computers,OU=yyy,DC=yyy,DC=edu 1 matches 当前目录中没有文件,%TEMP%中没有文件。 如果我使用-t带或不带参数,则不会下载文件。 没有二进制垃圾填充控制台窗口。 无论是否从bash(msys)或cmd.exe运行命令,我都会得到相同的行为。 是什么赋予了? 看起来我一切正常。 但是我没有办法debugging。 我甚至没有使用正确的工具?
我正在从第三方邮件服务器(MDaemon)迁移到Office 365; 本地Active Directory不包含任何Exchange服务器,从来没有任何。 我们将需要目录同步,以使用户能够使用他们的域凭据login到Office 365; 但似乎只要启用目录同步,就不能在Office 365用户上执行任何操作:所有更改都需要在本地Active Directory上进行,然后由同步进程进行复制。 对于具有单一电子邮件地址和标准function的普通用户来说,这不是一个大问题; 但是那些需要额外地址的用户呢? 如果我需要configuration一些非标准设置,如“隐藏地址列表”或自定义邮箱配额? 从我收集的信息来看,唯一受支持的方法是在启用同步后不能直接编辑Office 365对象,而是使用Exchange属性扩展本地AD架构,然后手动编辑它们(!) 。 或者,您可以至less安装一个本地Exchange服务器,然后使用Exchangepipe理工具configuration所需的设置。 这是正确的还是我错过了什么? 有什么办法来同步用户帐户和密码,但仍然能够直接在Office 365中编辑用户设置? 如果没有(一切真的需要在本地设置,然后同步),有没有比手动编辑LDAP属性或安装本地Exchange服务器更简单的方法来做到这一点?
我正在研究跨多台计算机为用户提供单一身份的软件。 也就是说,用户应该在每台计算机上具有相同的权限,并且用户应该可以访问每台计算机上的所有文件(漫游主目录)。 对于这个总体思路似乎有很多解决scheme,但是我正在努力为我确定最好的一个。 以下是一些细节和要求: 机器networking是运行Ubuntu的Amazon EC2实例。 我们用SSH访问这些机器。 此局域网中的一些机器可能有不同的用途,但我只讨论机器的某种用途(运行多租户平台)。 系统不一定会有一定数量的机器。 我们可能需要永久或暂时改变运行的机器数量。 这就是我正在研究集中authentication/存储的原因。 这个效果的实施应该是一个安全的。 我们不确定用户是否可以直接访问shell,但是他们的软件可能会在我们的系统上运行(当然是受限于Linux用户名),这与直接shell访问一样好。 假设他们的软件为了安全起见可能是恶意的。 我听说过几种技术/组合来实现我的目标,但是我不确定每个技术的影响。 一个较旧的ServerFault文章推荐使用NFS和NIS,但根据赛门铁克的这篇旧文章,这个组合存在安全问题。 这篇文章build议移植到NIS +,但是由于这篇文章比较陈旧,所以这篇维基百科文章引用了一些陈述,表明Sun将会从NIS +中走出来。 推荐的replace是我听说过的另一件事… LDAP。 它看起来像LDAP可以用来将用户信息保存在networking上的一个集中位置。 NFS仍然需要用来覆盖“漫游家庭文件夹”的要求,但我看到他们一起使用的引用。 由于赛门铁克的文章指出了NIS和NFS的安全问题,有没有软件可以取代NFS,还是应该留意这篇文章的build议,以便将其locking? 我倾向于使用LDAP,因为我们体系结构的另一个基本部分RabbitMQ具有LDAP的身份validation/授权插件。 RabbitMQ将以受限制的方式访问系统上的用户,所以我想尽可能将安全系统连接在一起。 Kerberos是我听说过的另一个安全authentication协议。 几年前我在一个密码学课上了解了一些,但是不记得太多。 我在网上看到了一些build议,可以通过几种方式与 LDAP结合使用 。 这是必要的吗? 没有Kerberos的LDAP有哪些安全风险? 我还记得在卡内基梅隆大学开发的另一个软件中使用了Kerberos。 安德鲁文件系统,或AFS。 OpenAFS可以使用,虽然它的设置似乎有点复杂。 在我的大学,AFS提供了两个要求…我可以login到任何机器,并且我的“AFS文件夹”始终可用(至less在获得AFS令牌时)。 除了build议我应该研究哪条路,有没有人有任何指导,特别有用? 正如大胆的文字指出的那样,LDAP看起来是最好的select,但是我对安全性方面的实现细节(Keberos?NFS?)特别感兴趣。
我有2个域,每个域都有2个域控制器: company.local ad.company.com.au 这两个域位于同一个林中,并具有双向信任设置。 目前我们正在迁移到ad.company.com.au ,但是在需要查询LDAP的系统上遇到了一些问题。 当对ad.company.com.au域控制器进行LDAPsearch时,我们得到了ad.company.com.au AD控制下的company.com.au的推荐: $ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "[email protected]" -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <DC=company,DC=com,DC=au> with scope subtree # filter: (objectclass=*) # requesting: ALL # with manageDSAit control # # search result search: 2 result: 10 Referral text: 0000202B: RefErr: […]