曾几何时,南美有一个美丽的温暖的虚拟丛林,还有一个鱿鱼服务器住在那里。 这里是networking的感性形象: <the Internet> | | A | B Users <———> [squid-Server] <—> [LDAP-Server] 当Users请求访问Internet时, squid询问他们的名字和护照,通过LDAP他们进行身份validation,如果ldap批准他们,则授予他们。 大家都很开心,直到有些嗅探者偷走了用户和鱿鱼之间的通行证[pathA]。 这个灾难发生是因为squid使用了Basic-Authentication方法。 丛林里的人聚集在一起解决这个问题。 一些兔子提供使用NTLM的方法。 蛇喜欢Digest-Authentication而Kerberos推荐的树木。 毕竟,丛林的人和所有人提供的解决scheme很困惑! 狮子决定结束这个情况。 他高呼解决scheme的规则: 解决scheme是安全的! 该解决scheme适用于大多数浏览器和软件(例如下载软件) 该解决scheme是简单的,不需要其他庞大的子系统(如桑巴服务器) 该方法不是取决于特殊的领域。 (例如Active Directory) 然后,一只猴子提供了一个非常合理的,全面的,聪明的解决scheme,使他成为丛林的新国王! 你能猜到什么是解决scheme? 提示: squid和LDAP之间的path受到狮子的保护,因此解决scheme无法保护它。 注意:如果故事是无聊和杂乱的,但是大部分是真的! =) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( […]
我想说服我的老板,我们应该使用git进行版本控制。 他说,它绝对必须通过我们的中央LDAP服务器validation用户。 我看了各种解决scheme(gitweb,gitorious …),并且不能真正find关于它们是否支持LDAP身份validation的明确答案。 我能find的唯一解决scheme是Apache + mod_ldap设置。 但是,这意味着在LDAP上进行身份validation的用户不一定会与实际的git用户相同,对吧? (这不是一个很大的问题,而只是一些会让我烦恼的东西。) 那么,通过LDAPvalidationgit用户的最好方法是什么?
如今,OpenLDAP需要使用ldapmodify cn = config进行configuration,如下所述。 但是无处可查我们如何configuration它只接受TLSstream量。 我刚刚确认我们的服务器接受未encryption的stream量(使用ldapsearch和tcpdump)。 通常情况下,我只是closures与IP表的非SSL端口,但使用SSL端口已被弃用,显然,所以我没有这个选项。 所以,使用SSLconfiguration命令,像这样: dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key – replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt – replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem 有没有强制TLS的参数? 编辑:我试过olcTLSCipherSuite,但它不起作用。 debugging输出: TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. Edit2(几乎修复):我能够通过加载来修复它: # […]
我是与LDAP进行身份validation集成的产品的开发人员。 我需要build立一个我可以testing的目录。 我不是LDAP的专家。 为了帮助简化学习曲线,有一个真实世界的示例目录是有用的。 有没有任何资源可以帮助我build立一个演示目录,准备出发? VMware设备,例如?
如何获得科学Linux上的ldapsearch? 我试图find科学Linux的ldapsearch客户端,但无法find如何安装客户端以执行LDAP查询。
对于Linux,这个命令应该返回LDAP服务器的DNSlogging host -t srv _ldap._tcp.DOMAINNAME (在使用LDAP WITHOUT服务器名称从Java(Linux)validation到Active Directory时发现) 如何使用nslookup在Windows命令行上获得相同的结果? 我试过了 nslookup -type srv _ldap._tcp.DOMAINNAME (遵循http://support.microsoft.com/kb/200525 ),这是正确的吗?
我正在使用以下设置进行LDAP身份validation AuthName "whatever" AuthType Basic AuthBasicProvider ldap AuthLDAPUrl "ldap://server/OU=SBSUsers,OU=Users,OU=MyBusiness,DC=company,DC=local?sAMAccountName?sub?(objectClass=*)" Require ldap-group CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local 这工作,但是我已经把我想要authentication到MySpecificGroup所有用户。 但是,在LDAP服务器上,我已经configuration了MySpecificGroup还包含MyOtherGroup组和另一个用户列表。 但MyOtherGroup中的用户没有通过身份validation,我必须手动将它们全部添加到MySpecificGroup ,基本上不能使用嵌套分组。 我正在使用Windows SBS 2003。 有没有办法configurationApache LDAP来做到这一点? 还是有可能无限recursion的问题,因此不允许?
我目前正在将LDAP身份validation集成到一个系统中,我想限制基于LDAP组的访问。 唯一的方法是通过searchfilter,因此我相信我唯一的select是在我的searchfilter中使用“memberOf”属性。 我的理解是,“memberOf”属性是服务器可以为我创build的操作属性,只要服务器上的任何“groupOfNames”条目创build新的“成员”属性。 我的主要目标是能够将“member”属性添加到现有的“groupOfNames”条目,并将匹配的“memberOf”属性添加到我提供的DN中。 到目前为止我所能达到的目标是: 对于LDAPpipe理,我还是一个相当新的东西,但是基于我在openldappipe理员指南中find的内容,它看起来像Reverse member Membership Maintence (又名“memberof overlay”)可以达到我期待的效果。 我的服务器当前正在运行使用“cn = config”样式运行时configuration的openldap 2.4.15的软件包安装(在Ubuntu上为slapd)。 我发现的大部分示例仍然引用静态configuration的较旧的“slapd.conf”方法,并且尽力使configuration适应新的基于目录的模型。 我已经添加了以下条目来启用成员的覆盖模块: 使用olcModuleLoad启用模块 cn=config/cn\=module\{0\}.ldif dn: cn=module{0} objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb olcModuleLoad: {1}memberof.la structuralObjectClass: olcModuleList entryUUID: a410ce98-3fdf-102e-82cf-59ccb6b4d60d creatorsName: cn=config createTimestamp: 20090927183056Z entryCSN: 20091009174548.503911Z#000000#000#000000 modifiersName: cn=admin,cn=config modifyTimestamp: 20091009174548Z 为数据库启用覆盖,并允许它使用它的默认设置(groupOfNames,member,memberOf等) cn=config/olcDatabase={1}hdb/olcOverlay\=\{0\}memberof dn: olcOverlay={0}memberof objectClass: olcMemberOf objectClass: olcOverlayConfig objectClass: olcConfig […]
我有一个.net Web应用程序需要获取用户在Active Directory中的成员组。 Todo这我使用用户logging的memberOf属性。 我需要知道在所有用户logging中读取此属性所需的权限。 目前我正在尝试读取此属性时得到不一致的结果。 例如,我有一个用户组在同一个OUpath中的30个用户。 使用我自己的凭据来查询AD – 我可以读取一些用户,而不是其他人的memberOf属性。 我知道所有用户都有一个memberOf属性设置,因为我使用域pipe理员帐户login时已经检查过。
我对LDAP相对来说比较陌生,并且已经看到了两种如何设置你的结构的例子。 一种方法是让基础为: dc=example,dc=com而其他示例的基础为o=Example 。 继续,你可以有一个像这样的组: dn:cn = team,ou = Group,dc = example,dc = com cn:团队 objectClass:posixGroup memberUid:user1 memberUid:user2 …或使用“O”风格: dn:cn = team,o =示例 objectClass:posixGroup memberUid:user1 memberUid:user2 我的问题是: 有没有最好的做法,指示使用一种方法而不是另一种? 这只是一个偏好的问题,你使用的风格? 使用其中一个有什么优势? 一种方法是旧式的,一种是新的改进版本? 到目前为止,我已经去了dc=example,dc=com风格。 任何意见,社会可以在这个问题上将不胜感激。