我们使用Apache 2.2.9中的mod_authnz_ldap和mod_authn_alias(在Debian 5.0,2.2.9-10 + lenny7中提供)来对多个Active Directory域进行身份validation以托pipeSubversion存储库。 我们目前的configuration是: # Turn up logging LogLevel debug # Define authentication providers <AuthnProviderAlias ldap alpha> AuthLDAPBindDN "CN=Subversion,OU=Service Accounts,O=Alpha" AuthLDAPBindPassword [[REDACTED]] AuthLDAPURL ldap://dc01.alpha:3268/?sAMAccountName?sub? </AuthnProviderAlias> <AuthnProviderAlias ldap beta> AuthLDAPBindDN "CN=LDAPAuth,OU=Service Accounts,O=Beta" AuthLDAPBindPassword [[REDACTED]] AuthLDAPURL ldap://ldap.beta:3268/?sAMAccountName?sub? </AuthnProviderAlias> # Subversion Repository <Location /svn> DAV svn SVNPath /opt/svn/repo AuthName "Subversion" AuthType Basic AuthBasicProvider alpha beta […]
我所在的公司正在着手用LDAP取代目前本地开发的NIS / YP结构。 我们已经有了Windows内部的AD,并且想要考虑使用AD系统。 AD人是相当有限制的,不会支持广泛的修改。 我们需要replace包括支持NIS / YP套件的全部function,包括networking组,对特定用户或用户组的特定服务器的login限制,* nix和Windows环境之间的一致密码等。 我们的环境是Linux(suse,RH,Debian),Sun,IBM,HP和MPRAS以及NETAPP的混合体。 所以我们所使用的东西必须完全包容各种环境。 我们也看过类似的情况,但是我们的pipe理层想要与其他方法进行比较。 我还应该看什么其他的东西,你对这个select有什么评价? 谢谢
我试图将Windows 7旗舰机连接到Windows 2k8域,它不工作。 我得到这个错误: 注意:这些信息是针对networkingpipe理员的。 如果您不是networkingpipe理员,请通知pipe理员您已收到此信息,该信息已logging在文件C:\ Windows \ debug \ dcdiag.txt中。 已成功查询用于为域“example.local”定位域控制器的服务位置(SRV)资源logging的DNS: 查询是针对_ldap._tcp.dc._msdcs.example.local的SRVlogging 以下域控制器由查询识别: dc1.example.local dc2.example.local 但是,不能联系域控制器。 这个错误的常见原因包括: 主机(A)或(AAAA)logging将映射域控制器的名称到其IP地址的logging丢失或包含不正确的地址。 在DNS中注册的域控制器没有连接到networking或没有运行。 客户端通过MPLS远程连接到我们的域控制器所在的数据中心。 我似乎没有阻止连接到DC的任何东西,但是我没有完全控制MPLS电路,所以有可能阻塞连接。 我已经在一个办公室尝试了多个客户端(Win7 Ultimate和WinXP SP3),并获得了相同的症状。 我没有任何连接到任何一个域控制器的麻烦,但是,我承认,没有尝试过每一个可能的端口。 ICMP,LDAP,DNS和SMB连接都正常工作。 客户端DNS指向DC,“example.local”parsing为DC的两个IP地址。 我从NetLogontesting命令行实用程序得到这个输出: C:\Windows\System32>nltest /dsgetdc:example.local Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN 我还创build了一个单独的networking来模拟通过LAN到LAN VPN而不是MPLS连接到DCnetworking的办公室configuration。 从远程networkingjoinWindows 7电脑工作正常。 我可以在两种环境之间find的唯一区别是中间连通性,但是我不知道要testing什么或如何去做。 我应该采取什么进一步的步骤? (请注意,这实际上并不是我的客户端工作站,我无法直接访问它;我不得不远程访问它,这使得一些明显的疑难解答方法(如数据包嗅探)变得更加困难。可以在那里build立一个我可以远程进入的系统,但是我的意思是,这个请求没有得到答复。) 2011-08-25更新: 我试图join域的客户端上运行DCDIAG.EXE : C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local Directory […]
当然,我想configuration我的FreeNAS服务器作为authentication服务器(用户FreeNAS本地用户的身份validation到ubuntu客户端)和NAS服务器。 我有Ubuntu作为客户端,他们通过DHCP / PXE引导,所以我可以快速configuration它们。 我将发布上面的进程列表,[OK]表示正在工作,[TODO],你知道… 结构进程: [确定]客户要求IP提供… [确定]我的防火墙的答案是文件名“pxelinuz.0”和我的FreeNAS的IP,谁服务于TFTP,NFS和SMB。 [确定]客户端加载vmlinuz和initrd.lz ,然后开始从NFS加载squashfs,因为它需要… [ TODO ]我的FreeNAS应该提供LDAP或活动目录DC(通过SMB),但是我不知道FreeNAS是否可能(我的一个问题)… [ TODO ]客户端必须通过FreeNAS的NFS或SMB挂载/ home。 [ TODO ]客户端应连接到FreeNAS并获取用户列表,以便他们可以login。 我的目标是创build一个networking,我可以插入不同的计算机,并让用户在需要时使用个人计算机login,访问他们的“家庭”文件,而不必在硬盘上更改其操作系统。 PS:我可以很容易地编辑squashfs,我已经为此创build了一个脚本。
创buildPython服务来查询AD属性 我正在使用基于SASL的Python-LDAP(DIGEST-MD5)在Linux上将我们的AD与运行Python的Web服务集成以查询AD 2012用户属性(部门,部门,电话扩展,电子邮件等)。 在针对我的AD 2003的服务制定了特定的扭结之后,我开始遇到一个针对我们的新AD 2012的SPN错误,即digest-uri与服务器上的任何SPN都不匹配。 我交叉引用了两个服务器的SPN列表,它们包含相同的相似的类似物。 错误:digest-uri与为此服务器注册的任何LDAP SPN不匹配 修正? 这是通过运行修复的: setspn -A ldap/<Domain_Name> <Computer_Name> 请注意,即使运行以下命令,创build服务帐户也不能修复我的SPN错误: setspn -A ldap/<Domain_Name> <Domain_Name>/<Service_Account_Name> simple_bind_s()不需要SPN,sasl_interactive_bind_s()需要SPN 只有使用sasl_interactive_bind_s()将SPN添加到本地计算机SPN列表才能用于我的Python-LDAP服务。 我还应该注意,如果使用simple_bind_s(),则可以跳过SPN步骤,但是此方法以明文forms发送凭据,这是不可接受的。 但是我注意到,这个logging在消失之前只停留在SPN列表上一分钟左右? 当我运行setspn命令时,没有错误,事件日志完全是空的,没有重复的地方,使用基本dn上的-F森林范围的search进行检查,没有任何东西。 我已经添加并尝试重新添加和删除,并将SPN从对象移到对象,以validation它没有隐藏到任何地方,但第二次我将对象添加到任何地方,然后尝试重新添加它通知我的重复。 所以我非常有信心,没有重复隐藏的地方。 黑客 现在我已经有一个计划的任务重新运行命令,以保持在列表上的logging,所以我的服务将适当地命名为“SPN黑客” cmd.exe /C "setspn -A ldap/<Domain_Name> <Computer_Name>" 直到我可以找出为什么SPN正在被清除。 我不是这个特定AD的主要pipe理员,pipe理员可以运行一个服务来同步AD上的另一个服务的SPN,而不知道它吗? 我的标题是Web Developer,而不是借口,而是解释我对Active Directory事务的无知。 我被告知要将AD作为主用户数据库,而且我一直在阅读很多内容,但是我无法find任何人在SPN被定期“覆盖”或“清理”时遇到问题的地方,pipe理员非常熟悉SQLServer条目之外的SPN。 为什么我需要黑客? 到目前为止,我的黑客似乎没有为任何用户或服务造成任何问题,并没有产生任何错误,所以pipe理员说,他会让它运行,我会继续寻找。 但后来我发现自己处于编写一个服务的岌岌可危的境地,这个服务的实现基本上是一个cron hack / shiver …因此,任何帮助将不胜感激。 更新 在与系统pipe理员对话之后,他同意在黑客之上build立一个服务并不是一个解决scheme,因此他允许我启动一个本地服务,并使用我可以用于我的目的的端点encryption,结果是一样的。 我会留意是什么导致SPN清除。 本地绑定不是使用Python-LDAP的问题,本地服务在一个小时左右就已经启动并运行了。 不幸的是,我基本上是将包含LDAP的function封装起来,但是我们只能做我们必须做的事情。
我在Ubuntu 14.04 Trusty Tahr上设置了OpenLDAP slapd 。 我希望某些不是用户的实例(复制等)能够使用DIGEST-MD5机制通过SASL进行login。 与用户不同,它们不应该在目录树中有相应的DN(以及密码)。 相反,他们的凭据应该存储在外部,因此SASL 。 我现在正在使用saslauthd (如果可以直接访问sasldb,这并不是一个很难的要求),使用机制PLAIN和LOGIN时它可以正常工作,而使用机制DIGEST-MD5和CRAM-MD5 。 我错过什么或做错了什么? 我如何才能使用DIGEST-MD5 ? OpenLDAP在/etc/ldap/sasl2/slapd.confconfiguration为SASL ,如下所示: mech_list: EXTERNAL DIGEST-MD5 CRAM-MD5 PLAIN LOGIN pwcheck_method: saslauthd saslauthd_path: /var/run/saslauthd/mux /etc/default/saslauthd中有趣的(改变的)选项是: START=yes MECHANISMS="sasldb" 他们导致saslauthd像这样开始: /usr/sbin/saslauthd -a sasldb -c -m /var/run/saslauthd -n 5 我用DIGEST-MD5重现了这个失败的案例: # ldapsearch -U replication -ZZ -Y DIGEST-MD5 -H ldap://ldap-master.example.com/ -b "dc=example,dc=com" "(objectClass=*)" SASL/DIGEST-MD5 authentication […]
只需在OSX上的LDAP碎片上阅读Slashdot线程即可 。 任何人都可以准确解释OpenLDAP所保证的是什么,以及为什么除了存储在狮子机器上的数据之外,还有其他的危险? 文章引述: 审计公司Errata Security首席执行官Rob Graham表示:“作为笔testing人员,我们首先要做的就是攻击LDAP服务器。 “一旦我们拥有一台LDAP服务器,我们拥有了一切。 我可以走到任何一台笔记本电脑(在一个组织)并login到它。“ 如何从黑客攻击一个随机的Mac LDAP服务器到拥有整个企业?
我们正在带领一个公共机构进行演习,为他们安装不同的开源工具,试验并看看最适合他们的东西。 因此,我们正在安装: 维基(dokuwiki) mediagoblin 牛津社会 EtherPad的 ethercalc 可能还有更多。 我们正在考虑使用LDAP协调login。 但是往往感觉像LDAP插件不再被维护,configuration很难正常工作,有些工具没有足够的LDAP文档。 今天通过LDAP来做这件事还是个好主意吗? OAuth也许是更好的select? 我知道这不是一个代码问题,但我们想要了解的是,如果我们应该坚持我们的决定去LDAP或如果我们应该考虑其他path。 非常感谢
使用OpenDS的情况有多糟糕? OpenDS在2010年有最新的补丁,并且需要在生产环境中使用JDK6(虽然在后端,而不是直接暴露给最终用户)。 如果已经存在,是否通常需要花费时间和金钱来find替代品,运行整合testing等等。 采取这一步骤的普遍标准是什么?关于生产中的过时软件一般?
题 在AD中是否有“正确”/标准的方式来区分Service Accounts和User Accounts ? 更多信息 在某些情况下,我们有系统运行在AD凭据下(即在服务帐户下)。 这些服务帐户的创build方式与用户帐户完全相同。 唯一的区别是名称和描述。 已经做了一些事情来区分两种账户types(例如,账户所在的OU,是否启用“密码永不过期”,如果在描述中是“服务账户”),但是没有一个规则可以应用于一切,以明确区分这两者。 向前走,我们正在寻求改善这个/spring干净的事情,以明确区分。 为此,我们可能会使用OU和Description字段。 在做这件事之前,虽然我想检查; 是这样做的一种方式; 即一些属性专门为此目的(也许一个objectCategory值不同于人?),或公认的标准命名约定,或每个公司找出自己的方法吗?