我们正在使用Apache和mod_svn服务颠覆回购。 Apache挂接到LDAP服务器,所有用户都可以使用他们的域密码。 为了生成机器能够结帐,我想要一个额外的用户,但我不能通过LDAP添加。 我可以创build一个用户/ pwd必须匹配LDAP服务器或htpasswd文件的设置吗?
我有一个小而不断增长的Linux服务器networking。 理想情况下,我想要一个中心位置来控制用户访问,更改密码等…我已经读了很多有关LDAP服务器,但我仍然对select最佳的身份validation方法感到困惑。 TLS / SSL足够好吗? Kerberos有什么好处? 什么是GSSAPI? 等…我还没有find一个明确的指导,解释这些不同的方法的优点/缺点。 感谢您的帮助。
我正在search一个LDAP目录,该目录的结果数量比当前设置的sizelimit的数量多得多,500,通过slapd.conf,所有的意图和目的都不能改变) 我的想法是继续运行ldapsearch,但每次都从一个不同的偏移量(501,1001等)直到获得所有结果。 我已经看到了ldapsearch的手册页 ,看来这是使用-E选项为您处理的: -E [!]<ext>[=<extparam>] search extensions (! indicates criticality) [!]domainScope (domain scope) [!]mv=<filter> (matched values filter) [!]pr=<size>[/prompt|noprompt] (paged results/prompt) [!]subentries[=true|false] (subentries) [!]sync=ro[/<cookie>] (LDAP Sync refreshOnly) rp[/<cookie>][/<slimit>] (LDAP Sync refreshAndPersist) 所以我试了: ldapsearch -h $HOST -p $PORT -x -L -b "$BASE" '*' '+' -E pr=$SIZE 然而,当结果(即使是大小为50的分页结果)达到500时,我也会得到同样的错误,就好像结果没有分页一样: Size limit exceeded (4) 我已经看到在man页面中有virtuallistview的另一个选项,但一直无法find它的例子,以及我不认为我的版本的ldapsearch有这个选项。 这里的目标是使用ldapsearch和-L选项来创build一个适合于恢复数据库的ldif文件。 几个谷歌search显示与我有同样的问题,但没有一个适用的解决scheme..
我在我的个人VPS上设置了LDAP身份validation,而Ubuntu有两个软件包用于同样的目的: libpam-ldap和libpam-ldapd 。 我应该用哪个?
我正在试图find在Tomcat下安装Gerrit以及LDAP支持的很好的说明。 我需要安装在Windows 2008 Server上,最好。 但是,如果不可能,我可以selectLinux。 Gerrit指令仅涵盖docker安装: http://gerrit.googlecode.com/svn/documentation/2.1.3/install-j2ee.html#installation 如果我想在不同的环境下进行设置,没有太多的工作要做。 我find了一些有用的链接,但是没有把这些设置整合在一起。 http://codeslife.com/2011/06/08/install-gerrit-locally-under-windows/ http://gerrit.googlecode.com/svn/documentation/2.1.7/config-gerrit.html#_a_id_ldap_a_section_ldap http :?//code.google.com/p/gerrit/issues/detail ID = 292 我总是可以设置这个试验和错误,但如果有人已经解决了这个问题,我宁愿节省时间。
我写了各种代码连接到LDAP服务器并运行查询,但对我来说,这一直是巫术。 有一件事情我不太了解的是绑定DN的概念。 以下是使用openldap提供的ldapsearch命令行工具的示例。 (忽略缺乏身份validation。) ldapsearch -h 1.2.3.4 -D dc=example,dc=com [query] -D dc=example,dc=com部分是什么目的和function? 为什么我们需要绑定到目录层次中的特定位置? 是否要确定我的查询应该应用于哪个目录? 例如,如果该目录的根节点是dc=com ,并且它有两个孩子( dc=foo和dc=bar ),也许我希望我的查询是针对dc=foo,dc=com子树而不是dc=bar,dc=com子树?
所以,我有一个相当奇怪的问题。 我有一个服务器,当我尝试SSH进入,立即closures连接,如果我在第一次尝试input正确的密码。 但是,如果我在第一次尝试时有目的地input了错误的密码,然后在第二次或第三次提示时input了正确的密码,它会成功将我login到计算机中。 同样,当我尝试使用公钥authentication时,我立即closures了连接。 但是,如果我为密钥文件input了错误的密码,并且一旦它恢复为密码validation后又input了错误的密码,则只要在第二个或第三个提示中提供了正确的密码,我就可以成功login。 该机器正在运行红帽企业Linux服务器版本6.2(圣地亚哥),并使用LDAP和PAM进行身份validation。 任何想法在哪里开始debugging这一个? 让我知道我需要提供什么configuration文件,我会很乐意这样做。 这里有一些debugging信息。 下面的代码块代表这三种情况:1)第一次尝试更正私钥密码,2)跳过私钥,第一次尝试修改正常密码,3)跳过私钥,故意input错误的密码,然后进入好的一个…这是唯一的情况,实际上让我连接。 OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to [removed for privacy]. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/home/trevor/.ssh/id_rsa" as a RSA1 […]
我被宠坏了,并且一直在使用eDirectory进行大部分LDAP工作,eDirectory有一个名为DSTrace的实用工具,而且对于LDAP来说,特别是,它将向您显示所有绑定尝试,源IP,传入的search,摘要匹配的对象返回。 当debugging一个LDAP应用程序,比如SAP GRC时,我可以通过观察它做了什么来简单地找出应用程序做错了什么。 我知道安全事件日志将有一些这样的信息(至less绑定尝试),但必须有一个更好的方法? 有没有这样的function? 我看到一个问题debuggingAD是接近的,但只build议login事件。 我需要更多的日常pipe理LDAP应用程序。
我希望有一些PAM / LDAP大师能够帮助我。 我最近在Ubuntu服务器上设置了一个LDAP目录,为我的客户端(用于基于Web的系统)和员工(需要通过SSHlogin)保存帐户。 LDAPauthentication工作正常。 然而,我无法获得帐户限制的工作:员工帐户将有2001和2999之间的ID,将成为ssh-users组的成员,以允许他们login到服务器。 有关的限制在/etc/ldap.conf ,分别是pam_min_uid , pam_max_uid和pam_groupdn 。 pam_groupdn包含我的ssh-users组的完整DN。 pam_min_uid = 2000和pam_max_uid = 2999 。 现在,我已经设法通过添加: account [success=1 default=ignore] pam_ldap.so 在/etc/pam.d/common-account的pam_unix.so行之上。 但是,本地Unix帐户可以不login:SSH服务器尽快终止连接。 我已经在上面的文件中设置了sufficient的pam_ldap.so模块,但是那么无效的用户会收到一条消息说他们无法login,但是无论如何都会logging它们。 那么,我怎样才能为LDAP用户设置这些帐户限制,同时仍然允许UNIX用户login? 正如你可以猜到我是PAM的新手,虽然我设法得到“自动使主目录”模块工作:-) 非常感谢,安迪
这一直在困扰我一段时间。 我们都知道Active Directory是一个LDAP数据库。 我们也知道,Windows DNS服务在域控制器上运行时,可以将其数据存储在AD中而不是纯文本区域文件中,从而利用AD自动复制function,无需使用主/辅助DNS服务器。 问题:在Active Directory中实际存储DNS数据的位置和方式 ? 他们可以使用LDAP工具(如ADSIEdit)访问吗? 任何DNS条目是实际的LDAP对象吗? 对象中的属性? 完全不同的东西?