我一直在考虑在我们的内部Web服务器上部署mod_auth_kerb来启用SSO。 我可以看到的一个明显的问题是,这是一个全有或全无的方法,无论您的所有域用户都可以访问网站。 是否有可能将mod_auth_kerb与mod_auth_kerb的东西结合起来检查LDAP中特定组中的组成员身份? 我猜KrbAuthoritative选项会有这个事情呢? 此外,据我了解,该模块设置用户名为username@REALMauthentication后,但当然在目录中的用户只存储在用户名。 此外,我们运行的一些内部站点(如trac)已经有一个用户configuration文件链接到每个用户名。 有没有办法解决这个问题,或许通过剥离authentication之后,以某种方式?
一个寻找的答案,但没有发现在这里… 长话短说:非营利组织迫切需要现代化基础设施。 首先是find一个替代scheme来pipe理许多Linux主机上的用户帐户。 我们有12个服务器(物理和虚拟)和大约50个工作站。 我们有500个这些系统的潜在用户。 多年来build立和维护这个系统的个人已经退休了。 他写了自己的脚本来pipe理这一切。 它仍然有效。 那里没有投诉。 然而,很多东西是非常手动和容易出错的。 代码是混乱的,更新后经常需要调整。 最糟糕的部分是几乎没有文件写入。 只有几个ReadMe和随机笔记可能会或可能不再相关。 所以维护成了一项艰巨的任务。 当前帐户通过每个系统上的/ etc / passwd进行pipe理。 更新通过cron脚本进行分发,以便在“主”服务器上添加帐户时更正系统。 有些用户必须能够访问所有系统(比如sysadmin账户),其他用户需要访问共享服务器,而其他用户可能需要访问工作站或者只能访问其中的一部分。 有没有一种工具可以帮助我们pipe理符合以下要求的帐户? 最好是开源(即免费,因为预算是非常有限的) 主stream(即维持) 最好具有LDAP集成或可以与LDAP或AD服务接口进行用户validation(在不久的将来需要将帐户与其他办公室进行集成) 用户pipe理(添加,过期,移除,locking等) 允许pipe理每个用户有权访问哪些系统(或一组系统) – 并非所有系统上都允许所有用户 支持可能有不同homedit和mount的用户帐户,这取决于他们login的系统 。 例如 sysadminlogin到“主”服务器有main:// home / sysadmin / homedir并具有所有共享的挂载 sysadminlogin到工作站工作站将有nas:// user / s / sysadmin作为homedir(与上面不同)和可能有限的一组挂载, 一个login客户将有他/她的homedir在不同的位置,并没有共享坐骑。 如果有一个简单的pipe理界面,将是非常棒的。 而如果这个工具是跨平台的(Linux / MacOS / * nix),那将是一个奇迹! 我搜查了网页,所以找不到合适的东西。 我们欢迎任何build议。 谢谢。 编辑:这个问题已被错误地标记为重复。 […]
我正在configuration一个系统,其中所有IT资源都可以通过一个用户口令对访问,无论是访问服务器上的shell,login到Samba域,WiFi,OpenVPN,Mantis等(访问特定的服务pipe理按组成员身份或用户对象字段)。 由于我们在我们的networking中有个人数据,所以我们需要按照欧盟数据保护指令(或其波兰版本)执行密码老化。 问题是LDAP中的Samba和POSIX帐户使用不同的密码哈希和老化信息。 虽然同步密码本身很简单( smb.conf的ldap password sync = Yes ),但是将密码老化添加到混合中会破坏以下内容:Samba不更新shadowLastChange。 与obey pam restrictions = Yes一起obey pam restrictions = Yes创build一个Windows用户不能更改老化密码的系统,但是如果我不使用它,主目录将不会自动创build。 另一种方法是使用LDAP扩展操作来更改密码,但是smbk5pwd模块也没有设置它。 更糟糕的是,OpenLDAP的维护者不会更新/接受补丁,因为这个字段被认为是不赞成的。 所以,我的问题是,最好的解决scheme是什么? 他们有什么缺点? 使用LDAP ppolicy和内部LDAP密码老化? 它与NSS,PAM模块,samba,其他系统有什么关系? NSS和PAM模块是否需要特殊configuration才能使用ppolicy而不是shadow? GOsa²与ppolicy 一起工作吗? 是否有其他的pipe理工具,可以使用ppolicy LDAP? 共同修改更新LDAP中字段的更改密码脚本。 (留下用户自己更新密码而不更改密码的可能性)
我有一些使用Windows Active Directory身份validation的Linux机器,工作得很好(Samba + Winbind)。 现在我想要做的只是允许某些人或某些组使用Active Directory凭据login。 目前,任何拥有有效AD帐户的人都可以login。 我想限制这只有几个小组。 这是可行的吗?
似乎每个使用LDAP的商店都需要凑齐一些东西来让用户重新设置密码,而不会打扰IT人员。 工作stream程几乎总是如下所示: 用户提供用户名(jblow) 电子邮件jblow @公司的一个链接 用户点击链接,input一个新的密码 在后端,对应于: Web表单获取用户名,在数据库中存储(用户名,大的唯一string),将大的唯一string发送到用户名@公司 其他forms在https:// site / pwreset / big唯一string上点击,用来validation用户,更改密码 对? 那么,有人写了他们分享的其中之一吗? 我宁愿使用一个比那些每个人似乎都做10分钟的工作都要多思考的人。 我做了一个Sourceforge,Freshmeat等的快速search,没有发现任何未被遗弃的东西。
对不起 – 我不是一个真正的Windows系统pipe理员,只是试图通过Java中的一些LDAP交互。 我在distinguishedName中find了一大堆带有“DEL:”的对象。 这些正在等待垃圾收集的孤儿项目? 我如何删除它们? 我无法通过ADUCfind它们,但我可以通过Java LDAPfind它们。
我们将在我们的组织中实施LDAP进行集中authentication。 哪一个是最好的简单LDAPpipe理工具?
我们为用户运行几十个不同的MySQL服务器。 这些使用MySQL的免费/开源版本,而不是商业版本。 在这些服务器上pipe理帐户密码是痛苦的。 有没有什么插件可以让我们使用LDAP来帮助pipe理MySQL的权限? 至less,我们希望从LDAP服务器获得一些用户名和密码。 我们正在使用MySQL 5.1和5.5。 如果需要实现此function,我们可能愿意升级到MySQL 5.6。 我们希望任何工具都是基于CLI的,不需要GUI或Web界面。
几乎没有(〜30)Linux(RHEL)盒子,我正在寻找集中和简单的pipe理解决scheme,主要是为了控制用户帐户。 我熟悉LDAP,并且我从Red Hat部署了一个IPA ver2(== FreeIPA)的试点。 据我所知,理论上IPA提供了“MS Windows域”的解决scheme,但是一目了然,它还不是那么容易和成熟的产品。 除了SSO,是否有任何安全function只能在IPA域中使用,而在使用LDAP时不可用? 我对IPA域的DNS和NTP部分并不感兴趣。
在过去的几天中,我已经build立了一些使用LDAPauthentication的Linux系统,一切正常,但在经过大量的研究之后,我仍然不能理解NSS和PAM。 举例: NSS允许pipe理员指定将存储和searchauthentication文件,主机名和其他信息的来源列表 和 PAM是一组库,为应用程序和底层操作系统提供可configuration的身份validation平台 我不明白的是,PAM和NSS是如何工作和互动的。 在本书中 ,体系结构解释得非常好:我将PAMconfiguration为使用LDAP帐户的pam_ldap和本地帐户的pam_unix ,然后configurationnsswitch.conf以从本地文件和LDAP中获取信息。 如果我理解正确,LDAP将被使用两次:第一次使用pam_ldap ,然后使用本身从pam_unix调用的NSS。 是对的吗? LDAP真的使用两次? 但为什么我需要configurationNSS和PAM? 我的解释是,PAM执行不同于NSS的任务,并被其他程序使用。 但是,那么应该可以只使用NSS或者只使用PAM,就像我在这个页面上看到的一样。 所以我尝试了一下,我首先尝试从nsswitch.conf删除LDAP(并且authentication停止工作,就好像只有pam_ldap不足以完成这项工作)。 然后,我在NSS中重新启用了LDAP,并从PAMconfiguration中删除了它(这一次一切正常, 好像pam_ldap没用,NSS足以validation用户)。 有没有人能帮我澄清一下? 提前谢谢了。 UPDATE 我刚刚尝试了一些东西。 我再次删除所有pamconfiguration字段中的所有pam_ldap条目,并且还从nsswitch.conf删除了shadow: ldap 。 就像现在在所有系统中一样,只有行: passwd: ldap files和group: ldap files在nsswitch.conf group: ldap files 。 那么…与LDAP用户login完美的作品,这两行(加上/etc/ldap.conf )足以configurationLDAP身份validation。 从我的知识PAM独立于NSS,但我的testing显示它不是。 所以我问自己是否可以完全禁用NSS并只使用PAM?