如何从域/树中获取特定组的path ? 我没有得到与“Active Directory用户和组”程序的信息。 我们在company.com域下有一个广泛的文件夹树。 而且我想知道特定组“AXX G Doc Users”所在的位置。 我正在尝试使用PowerShell Active Directory模块,但不知道如何获取path 。 PS C:\Users\hansi> get-adgroup "AXX G Doc Users" DistinguishedName : CN=AXX G Doc Users,OU=Groups,OU=AXX,OU=AT,OU=Europe,OU=COMP Group,DC=comp,DC=com GroupCategory : Security GroupScope : Global Name : AXX G Doc Users ObjectClass : group ObjectGUID : 589de0db-105e-4cfe-a231-692573248487 SamAccountName : AXX G Doc Users SID : S-1-5-21-796845957-79056718-725345543-16367
我不确定在我的每个组织单元下嵌套组是好还是只为组创build一个直接在根DN下的组织单元。 其中一个被认为是最好的做法吗? 我想保持我的configuration尽可能最大化与LDAP感知应用程序的兼容性。 我的直接需求包括: 与Atlassian人群的SSO Google Apps目录同步(LDAP群组 – >邮件列表) 用于Windows身份validation的pGina 下面是一个显示我正在考虑的两种策略的图表:
我正在尝试使用GitLab(安装在Ubuntu 14.04 amd64上的VM,Omnibus安装版本7.12.2)来设置LDAP身份validation。 我已经编辑了我的gitlab.rb文件,如下所示: gitlab_rails['ldap_enabled'] = true gitlab_rails['ldap_servers'] = YAML.load <<-'EOS' # remember to close this block with 'EOS' below main: # 'main' is the GitLab 'provider ID' of this LDAP server label: 'LDAP' host: '********' port: 389 uid: 'sAMAccountName' method: 'plain' # "tls" or "ssl" or "plain" bind_dn: 'CN=********,OU=********,OU=********,DC=********,DC=***' password: '********' active_directory: true allow_username_or_email_login: […]
对于通过Active Directory DC进行身份validation的应用程序,显然最好将其指向主域DNSlogging,而不是用于故障转移,负载平衡等的特定DC。 那些迫使你对DC的IP进行硬编码的应用程序的最佳实践是什么? 我们可以硬编码一个负载均衡器的IP地址,所以如果一个DC发生故障,应用程序仍然可以进行身份validation。 有没有更好的select?
Red Hat推荐我在/etc/nsswitch.conf中使用compat模式作为枚举LDAP用户的选项之一,但稍后表示这不是一个使用太多的方法。 nsswitch.conf passwd: files compat passwd_compat: ldap in passwd file, add +@netgroup. 这个compat模式是什么?
在工作中,我们正处于身份pipe理项目的早期阶段。 这都是在上级的情况下,我们有几千名教职员工和大约两万名学生。 有没有人使用Sun的LDAP服务器与AD域(Kerberos领域)密码存储? 有没有人在之前运行一个二十五万的AD域? 我们对身份pipe理的一个select是将活跃的员工推送到AD,并将密码/身份信息的另一个副本推送到LDAP。 如果我们这样做了,我们需要有一个中心位置来更改密码,这样,如果您更改您的AD(或ldap)密码,则更改会同步到另一个(或允许分歧) 另一种select是让AD成为密码的唯一权威机构,然后我们必须为所有的关联公司(以及所有的老关联公司)在十年或二十年内拥有一个负责人,所以我们可能在AD有二十五万个实体,其中只有20-30k将被访问任何频率。 AD会在负荷下爆炸吗? 是否有其他方法来保持Sun的LDAP和AD之间的密码同步? 别人的经验是什么?
有谁知道哪些大玩家(如果有的话)支持LDAP / AD用户和组进行身份validation和数据库权限? 具体来说,我想知道SVN,GIT,Mercurial等将允许用户基于AD权限login/连接,也允许基于AD内的组VC的数据库中的文件夹应用细化的权限。 到目前为止,我的研究还没有certificate这是可能的。
我想弄清楚如何使用Windows Server 2008 R2作为LDAP客户端的LDAP服务器。 理想情况下,用户应该能够通过pam_ldap对AD进行身份validation来login到他们的Linux工作站。 (不幸的是winbind不是一个选项) 我已经看过Unix服务的Windows服务,但它似乎很快将EOL。 有没有其他办法可以做到这一点?
我必须像这样将一个organizationalunit添加到新安装的OpenLDAP(在Ubuntu 12.04上): dn: ou=MYREGION, ou=MYAPP, ou=GROUPS, o=myorganization, c=fr ou: MYREGION objectClass: top objectClass: organizationalunit 所以,因为它是一个新的LDAP,我想我必须首先添加fr国家,我创build该文件: dn: c=fr c: fr objectClass: top objectClass: country 现在我尝试使用该命令导入它(我没有该服务器的域): ldapadd -x -D cn=admin,dc=nodomain -W -f country_fr.ldif 但OpenLDAP拒绝该命令: adding new entry "c=fr" ldap_add: Server is unwilling to perform (53) additional info: no global superior knowledge 任何提示?
突然间,昨天,我的一个Apache服务器无法连接到我的LDAP(AD)服务器。 我有两个站点在该服务器上运行,当用户login到任一站点时,两个站点都使用LDAP来validationAD服务器。 两天前工作正常。 原因不明,截至昨天,它停止工作。 错误日志只说这个: auth_ldap authenticate: user foo authentication failed; URI /FrontPage [LDAP: ldap_simple_bind_s() failed][Can't contact LDAP server], referer: http://mysite.com/ 我想也许我的自签名的SSL证书已经过期,所以我为mysite.com创build了一个新的,但不是服务器主机名本身,问题依然存在。 我启用了debugging级别的日志logging。 它显示了与LDAP服务器的完整SSL事务处理,并且直到最后我收到“无法联系LDAP服务器”消息时才显示完成。 我可以从这个服务器的命令行运行ldapsearch,我可以login到它,它也使用LDAP,所以我知道服务器可以连接并查询LDAP / AD服务器。 只有apache不能连接。 谷歌search答案什么都没有,所以我在这里问。 任何人都可以提供洞察这个问题? 这是来自apacheconfiguration的LDAP部分: <Directory "/web/wiki/"> Order allow,deny Allow from all AuthType Basic AuthName "Login" AuthBasicProvider ldap AuthzLDAPAuthoritative off #AuthBasicAuthoritative off AuthLDAPUrl ldaps://domain.server.ip/dc=full,dc=context,dc=server,dc=name?sAMAccountName?sub AuthLDAPBindDN cn=ldapbinduser,cn=Users,dc=full,dc=context,dc=server,dc=name AuthLDAPBindPassword password require […]