我正在使用ADSI Edit查看AD中单个用户帐户的LDAP属性。 我看到属性,如userPrincipalName,但我没有看到完全限定的域名(FQDN)或netbios域名。 我们将设置全局编录(GC),使我们能够访问多个域的LDAP,并通过应用程序中的configuration将LDAP属性映射到应用程序中的用户configuration文件属性。 对于典型的AD,FQDN和netbios域名对于所有用户都是相同的,但是涉及GC时,我们需要这些附加信息。 我们真的只需要netbios域名(FQDN不够好)。 也许有一个LDAP查询可以完成从AD中更多的顶级对象请求这些信息?
我正在尝试将SonicWALLconfiguration为允许VPN用户进行LDAP身份validation。 我之前用另一个设备完成了这个,我记得它非常简单。 但是这一次我无法为了我的生活而工作。 当启用“LDAP +本地用户”模式时,inputLDAP服务器信息和AD组名称,我经常得到“LDAP身份validation失败”或“凭据在LDAP服务器上无效”错误。 我已经尝试了所有对我有意义的设置的不同排列,结果相同。 到目前为止,SonicWALL支持绝对没有帮助。 我已经按照手册的说明去了T,没有解决办法。 这里有没有人有这样的情况? 我觉得我错过了某个地方的设置…
如何通过GUID在Active Directory中search对象? 换句话说,find属于指定GUID的对象是一个好方法?
nginx是否支持ldap身份validation? 我刚刚从apache迁移,并希望将所有基于openldap和mod_auth_ldap的身份validation移动到nginx。 让我知道如果这是可能的。 从这个页面列出了nginx所有的模块,我没有看到有关LDAP的任何提及。 谢谢,
我的一个linux服务器正试图build立到全局编录服务器的LDAPS连接,并且连接正在下降(大概是由GC端)。 为了讨论的目的,假设1.1.1.1是Linux服务器,1.2.3.4是全局编录服务器。 如果我尝试从Linux中使用telnet ,我看到: [root@foobox ~]# telnet gcfoo.exampleAD.local 3269 Trying 1.2.3.4… Connected to gcfoo.examplead.local. Escape character is '^]'. Connection closed by foreign host. 第四和第五行之间没有任何延迟。 它只是立即断开连接。 我以为telnet结果可能有点误导(因为它实际上不适合于任何types的安全通信),所以我收集了来自设备的实际连接尝试的数据包捕获(使用需要LDAPS的实际程序)。 以下是我所看到的(同样,IP和源端口已经重新命名以保护无辜): No. Time Source Destination Protocol Length Info 1 0.000000 1.1.1.1 1.2.3.4 TCP 66 27246 > msft-gc-ssl [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SAC_PERM=1 WS=128 2 0.000162 1.2.3.4 1.1.1.1 TCP […]
当试图将ldaps连接到我的Novel eDirectory 8.8服务器时,有时我必须将TLS_REQCERT never放在客户机服务器的ldap.conf文件中。 显然,这是一个坏主意。 我运行的命令是这样的凭据,实际上工作… ldapsearch -x -H ldaps://ldapserver -b 'ou=active,ou=people,dc=example,dc=org' -D 'cn=admin,dc=example,dc=org' -W "cn=username" 在Ubuntu 13.10,它工作正常。 在SLES上,它工作正常。 在CentOS 6.5上它返回: ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) 现在,我导入的证书是从DigiCert购买的通配证书。 我的同事发现一些报告指出一些系统有通配符问题。 那么,是通配证书的责任? 如果是的话,我该如何解决? 如果不是通配证书,那是什么? 遵循Andrew Schulman的build议,我在我的ldapsearch命令中添加了-d1 。 这是我最后的结果: ldap_url_parse_ext(ldaps://ldap.example.org) ldap_create ldap_url_parse_ext(ldaps://ldap.example.org:636/??base) Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ldap.example.org:636 ldap_new_socket: 3 ldap_prepare_socket: […]
我知道LDAPsearch基础后缀通常与目录服务器的主机名相匹配。 换句话说,我知道如果主机名是od.foobar.com ,我应该使用search基地后缀: dc=od,dc=foorbar,dc=com 这让我不明白为什么我要这样做。 有人可以提供一些背景,并解释我正在做什么?
你如何解释LDAP到系统pipe理员谁听说过,也许有交互,但从来没有真正掌握它? 类比是好的,但请包括一些突出的技术细节来帮助他们。 询问Active Directory的精神解释
首先,我不是现场的ADpipe理员,但是我的经理要求我尝试让我的个人Redmine安装与ActiveDirectory集成,以便对其进行大规模部署testing。 我们的AD服务器在主机:端口ims.example.com:389 ,我有一个用户IMS/me 。 现在,我也有一个使用本地身份validation的Redmine用户。 我在RedMine中使用以下参数创build了ActiveDirectory LDAP身份validation方法: Host: ims.example.com Port: 389 Base DN: cn=Users,dc=ims,dc=example,dc=com On-The-Fly User Creation: YES Login: sAMAccountName Firstname: givenName Lastname: sN Email: mail testing这个连接工作得很好。 但是,我没有成功通过身份validation。 我已经创build了一个备份pipe理员用户,这样我可以返回到me帐户,如果我打破了事情,然后我试着改变me使用ActiveDirectory凭据。 但是,一旦我这样做,没有任何工作login。我已经尝试所有这些login名称选项: me IMS/me IMS\me 我用我已知的域密码,但没有喜悦。 那么,我有什么设置错误,或者我需要获得哪些信息才能完成这项工作?
我在Windows Server 2003盒子上有一组私人的Subversion版本库,开发者通过svn://协议通过SVNServe访问。 目前我们一直在使用每个版本库的authz和passwd文件来控制访问,但是随着越来越多的版本库和开发人员的使用,我正考虑从ActiveDirectory中使用他们的证书。 我们运行在所有的微软商店,在我们所有的Web服务器上使用IIS而不是Apache,所以如果可能的话,我宁愿继续使用SVNServe。 除此之外,我还担心如何迁移存储库,以便现有用户的历史logging映射到正确的ActiveDirectory帐户。 请记住,我不是networkingpipe理员,我不熟悉ActiveDirectory,所以我可能需要通过其他人来获取在ActiveDirectory中所做的更改(如有必要)。 我有什么select? 更新1:从SVN文档看来,通过使用SASL我应该能够获得SVNServe使用ActiveDirectory进行身份validation。 为了澄清,我正在寻找的答案是如何去configurationSVNServe(如果可能)使用ActiveDirectory进行身份validation,然后如何修改现有的存储库,将现有的svn用户重新映射到他们的ActiveDirectory域login帐户。 更新2:SVNServe中的SASL支持看起来像一个插件模型,文档仅作为示例显示。 看着赛勒斯SASL库它看起来像一些身份validation“机制”支持,但我不知道哪一个将用于ActiveDirectory的支持,也不能find任何关于这些问题的文档。 更新3:好吧,它看起来像为了与ActiveDirectory通信我期待使用saslauthd而不是sasldb的auxprop_plugin属性。 不幸的是,根据一些post(可能已经过时和不准确), saslauthd并不是基于Windows开发的,这种努力被认为是一项正在进行的工作 。 更新4:我发现在这个主题上的最新post听起来好像正确的二进制文件()可以通过MIT Kerberos库,但它听起来像Nabble.com上的这篇文章的作者仍然有问题得到的东西工作。 更新5:它看起来像从TortoiseSVN讨论 ,也是这个职位svn.haxx.se ,即使saslgssapi.dll或任何必要的二进制文件可用和configuration在Windows服务器上,客户端也将需要相同的定制,以与这些存储库一起工作。 如果这是真的,那么只有在这些客户端(例如TortoiseSVN和客户端二进制文件的CollabNet版本)中进行了更改以支持这种身份validationscheme时,我们才能够从Windows客户端获得ActiveDirectory支持。 虽然这就是这些post所暗示的,但这与我原本从其他阅读中得出的结论相矛盾,因为与SASL兼容应该不需要在客户端上进行更改,而只需要设置服务器来处理authentication机制。 在Subversion第5部分关于Cyrus SASL的文档中,更仔细地阅读了一些内容后,他表示:“具有Cyrus SASL支持的1.5+客户端将能够在支持SASL的1.5+以上的服务器上进行身份validation,前提是服务器支持的机制至less有一个也得到客户的支持。“ 很明显,GSSAPI支持(我明白是Active Directory所必需的)必须在客户端和服务器中可用。 我不得不说,我对于Subversion如何处理身份validation的内部知识了解得太多了。 不幸的是,我只是在寻找一个答案,在Windows服务器上使用SVNServe并从Windows客户端访问这个服务器时,是否可以拥有Active Directory身份validation支持。 根据官方文件,这似乎是可能的,但是你可以看到,即使可能,configuration也是不平凡的。 更新:6:由于在Subversion 1.7上的开发正在结束,有没有人可以添加Subversion 1.7是否会改善SVNServe使用Active Directory进行身份validation的情况呢?