服务器 Gind.cn

Articles of ldap

Active Directory本身是否不足以保证hadoop?

我正在尝试保护安装在Windows中的Hadoop环境 。 所以基本上我开始分析如何保护一个基于Unix的hadoop集群。 已经经历了与Kerberos和其他Apache加载项( Knox / Rhino / Sentry )相关的各种链接。但是为了检查它们中的每一个, 与此同时,发现有关用户pipe理(LDAP)的Active Directory。 此外,AD似乎默认安装了Kerberos。 所以如果AD本身包含LDAP和Kerberos,就不能单独使用Active Directory来保护hadoop集群? 所有这些Google的build议链接都提供了一个框架来保护公司任何一个基于Unix的hadoop集群, 授权 – Active Directory(LDAP), 身份validation – Kerberos 再来一次,我的问题是我们不能单独使用Active Directory来确保hadoop集群?

ldapsearch返回结果,但getent不

我正在设置一台全新的CentOS 7服务器,并且需要设置LDAP身份validation,也就是说,已经存在一个服务器来对用户进行身份validation,我们将其用于其他GNU / Linux服务器。 例如,在Windows中,我可以使用nltest /dclist:XY来查询DC的主机名和IP。 哪个返回我可以确认的DC服务器列表是正确的。 当我使用CentOS 7服务器上的ldapsearchtesting连接到这些DC服务器时,它的工作原理是: ldapsearch -H ldap://<DCSERVER> -D <user>@XY -w 输出是一个很长的信息列表,包括DN信息。 但是,当使用getent passwd ,没有输出,并且在/ var / log / messages中看到错误: Nov 24 16:09:37 XXXXXXXX nslcd[22440]: [16e9e8] <passwd(all)> ldap_result() failed: Operations error: 000004DC: LdapErr: DSID-0C09072B, comment: In order to perform this operation a successful bind must be completed on the connection., data […]

pam_check_host_attr无法正常工作

免责声明:我是新来的ldap,所以希望我没有做任何重大错误! 目的:集中用户凭证并限制客户端login到某些机器。 我通过使用以下内容在新鲜的Ubuntu 14.04服务器上安装了准系统openLDAP服务器。 实质上,安装LDAP并进行架构更改以启用用户的host属性: # Install ldap apt-get install -y slapd ldap-utils ldapscripts # Modify the schema so we can use the host attribute for users grep -P '^include.+?\.schema' /usr/share/slapd/slapd.conf > ./schema_convert.conf echo -e "include\t\t/etc/ldap/schema/ldapns.schema" >> ./schema_convert.conf # Convert the schema into LDIF mkdir -p ./ldif_output index=$(slapcat -f ./schema_convert.conf -F ./ldif_output -n 0 | […]

在linux中无法识别LDAP uniqueMember属性

我有一个具有groupOfUniqueNames对象类和一个辅助posixGroup对象类的LDAP组。 当我使用memberUid属性的值(组的成员)在Linux中被识别。 但与独特的会议不。 在我的ldap客户端的ldap.conf中有这样的configuration: nss_schema rfc2307bis 所以我想它应该工作,因为rfc2307bis支持uniqueMember值。 我在这里错过了什么?

sssd不能保存用户。 失踪的使用者

我正在尝试使用sssd同步我的Debian服务器。 当我运行getent passwd username@domain ,用户不会被返回。 日志说这是因为我错过了从LDAP查找UID。 不过,当我设置ldap_id_mapping = true时候,我清楚地知道我不需要它。 even的完整日志是: (Mon Jan 26 17:39:13 2015) [sssd[be[thecompany.dk]]] [sdap_save_user] (0x0020): no uid provided for [nmw] in domain [netdesign.dk]. (Mon Jan 26 17:39:13 2015) [sssd[be[thecompany.dk]]] [sdap_save_user] (0x0040): Failed to save user [somedude] (Mon Jan 26 17:39:13 2015) [sssd[be[thecompany.dk]]] [sdap_save_users] (0x0040): Failed to store user 0. Ignoring. (Mon Jan […]

专有authentication到LDAP

我有一个专有的外部authentication平台,我可以使用REST-WS进行authentication。 现在我想build立一个方法来拥有许多其他可以使用这个authentication平台的Web服务(网站,论坛等)。 但是,我不想为每个服务创build一个validation模块,因为它们都是基于不同的语言(Ruby,PHP,…)构build的。 相反,大部分这些服务都支持LDAP身份validation。 所以,我想知道是否有可能创build一个LDAP服务器,从第三方authentication平台(通过REST-WS)获取所有数据 注意:它应该是一个Linux解决scheme… 谢谢!

Ubuntu的12.04 sssd sudo不能正常工作

这是Ubuntu 12.04.5 LTS 我试图实现SSSD作为一个客户端,一切正常,但SUDO我什么都看不到在sssd_sudo.log文件中发生的一切,但通常的文件刷新 安装版本: sudo-ldap:版本:1.8.3p1-1ubuntu3.7 sssd:版本:1.8.6-0ubuntu0.3 nscd:版本:2.15-0ubuntu10.11 libsss-sudo:版本:1.11.7-3 我可以在日志中看到sssd在ldap服务器中的sudoers内search。 (注意是一个freeIPA 4.1 ldap服务器和这个实现是使用PLANE sssd所以在Ubuntu客户端框中没有任何相关的Ipa) CONFIGS: 的nsswitch.conf # /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. # passwd: compat sss # […]

将更改应用于PAM更改

是否需要重新启动服务器或特定的服务以使pam文件( /etc/pam.d/system-auth )的更改生效? 更长的版本 – 我正在configurationSSSD连接LDAP进行身份validation。 该系统基于RHEL6,SSSD已经configuration为在此环境中的多个其他RHEL6服务器中工作。 在这些其他服务器上,无论用户何时访问系统,它都显示在/var/log/secure类似于下面的尝试成功或失败。 sshd[1489]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipaddress user=user sshd[1664]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server user=user 这些日志消息不会显示在/var/log/secure ,并且用户无法login到服务器。 尽pipe如此, getent passwd和getent group确实会返回预期的LDAP用户和组。 对于证书目录/etc/pam.d/system-auth和/etc/sssd/sssd.conf ,一切看起来都不错。

LDAP查询的基本DN是否可以是组DN?

我正在尝试在HP NNMi中进行用户身份validation的LDAP集成。 (RHEL6上的NNMi到W2K8 R2上的Active Directory) 我知道如果我使用用户所在的OU作为查找的基本DN,我可以使其工作。 麻烦的是,我的NNMi用户存在于许多不同的OU中。 所以,我想尝试的是为NNMi用户创build一个组,并将其全部纳入其中。 然后使用该组的DN作为查询的基本DN。 它不工作,我不知道是否应该。 我想这可能是它只适用于基地的DN是为一个OU。 谁能确认? 编辑 这很酷,我知道了。 我把基础DN留到了我所有用户所处的最高点,然后用memberOf =来使用filter,

nfs上错误的ldap用户和组ID

我们有由ldap驱动的用户身份validation和由autofs挂载的nfs服务器上共享的主目录。 我们最近在三台新机器上安装了Ubuntu 15.04,并像往常一样将它们添加到我们的基础架构中。 一台机器由#1人configuration,另外两台机器由#2人configuration。 另外两个有问题:) 问题是文件的所有权在主目录中搞砸了。 所有文件都有一个像4294967294这样的任意所有者ID。 我们已经比较并最终复制了所有(我相信)重要的configuration文件: /etc/ldap.comf /etc/idmapd.conf 在/ etc / default / nfs中常见 /etc/auto.master文件 /etc/auto.home 这两台有问题的机器与第三台机器相比,nfs的访问时间也非常长。 软件版本与我们不断更新所有这些系统相同。 有任何想法吗? 也许一些日志文件,可以报告所有权解决问题?
Intereting Posts
在IIS7中禁用集成的客户端证书validation? 透明的HTTP / HTTPS域名过滤代理 如何通过VPN路由VoIP电话 我可以在私人和互联网networking中使用服务器吗? iptables只在服务器启动时阻止OpenVPN setgid和组写 – 可能的recursion目录? 将wlan0连接到eth0 每小时停止并启动batch file zip不适用于大文件 Freeradius服务器不接受通过tprep的计费包 Debian 8:无法让ClamAV在TCP 3310上收听 系统中断Apache Apache握手 Server 2012 R2 RDS不显示到一个主机的连接,不会将WAN用户redirect到另一个主机 活动目录 Joomla的mod_security规则集! pipe理