我有一个主要用作SFTP服务器的OpenBSD盒子。 一些运行Windows的用户需要使用SMB来映射来自该服务器的共享。 我不想在OpenBSD框中设置个人帐户,而是想让用户使用他们的活动目录凭证login,并让OpenBSD框对Active Directory服务器进行authentication。 我怎样才能做到这一点? 笔记: OpenBSD框只需要对Active Directory服务器进行authentication。 我不需要单一login或类似的东西。 本文( 针对Active Directory对OpenBSD进行身份validation)对系统级别进行了身份validation,但没有提到SMB(我似乎记得SMB需要一个单独的密码数据库),而且还需要在AD服务器上进行一些修改。 虽然我可以根据需要对AD服务器进行更改,但我更愿意使用一种简单的方式对服务器进行身份validation的解决scheme,可能是通过LDAP或类似方法 我不需要任何Windows权限或类似的东西,我只需要知道他们是否正确authentication。
我很高兴地使用libpam-ldap和libnss-mysql(直接对LDAP进行身份validation,将NSS数据(如UID / GID / home目录)保存在mysql数据库中)。 现在我试图在客户端安装Jessie,但libnss-mysql已经从Debian Jessie中删除了。 这是怎么回事? 该项目仍然托pipe在sourceforge上 – 现在看起来很邪恶,而且没有任何活动。 这也不在backports。 有没有function替代?
为了在LDAP上存储krb5主体条目,是否需要匹配领域名称的LDAP命名上下文(root basename)? 领域的校长 HQ.EXAMPLE.ORG 可以存储在 DC =例如,DC =组织 命名目录树的上下文?
我是一个血腥的LDAP新手。 我成功地设置了slapd(这是OpenLDAP的一部分),并将LAM作为前端,并成功configuration了多个服务以连接到它以进行用户/组的configuration和身份validation。 我打算连接到这个服务器(LastPass企业)的一个服务似乎寻找用户的objectCategory属性,据我所知,这是失踪。 我可以看到每个用户的几个objectClass属性,但就是这样。 search是相当无益的。 它只是让我相信,objectCategory是只有Microsoft Active Directory提供的东西。 还是我错了? 有没有一种方法来满足这个服务对slapd的objectCategory属性的需求? 非常感谢!
我在FreeIPA中创build了一个用户。 他已被分配密码和SSH密钥。 我希望他只留下SSH密钥。 有没有办法,如何删除密码?
我想弄清楚如何重置我的freeipa3pipe理员密码。 当我search域时,我可以看到用户: [root@ipaserver ipa]# LDAPTLS_CACERT=/etc/ipa/ca.crt ldapsearch -h localhost -ZZ -x -b uid=admin,cn=users,cn=compat,dc=central,dc=example,dc=com # extended LDIF # # LDAPv3 # base <uid=admin,cn=users,cn=compat,dc=central,dc=example,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # admin, users, compat, central.example.com dn: uid=admin,cn=users,cn=compat,dc=central,dc=example,dc=com objectClass: posixAccount objectClass: top gecos: Administrator cn: Administrator uidNumber: 1909600000 gidNumber: 1909600000 loginShell: /bin/bash homeDirectory: /home/admin uid: […]
(这是ldap_modify的后续操作:在更改密码时访问不足(50),因为我们在诊断过程中发现了一个单独的问题。) 在修改cn = config LDAP数据库之前,我试图访问它。 但是,我得到一个ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)错误。 # ldapsearch -H ldapi:/// -Y EXTERNAL -b 'cn=config' -d1 ldap_url_parse_ext(ldapi:///) ldap_create ldap_url_parse_ext(ldapi:///??base) ldap_sasl_interactive_bind: user selected: EXTERNAL ldap_int_sasl_bind: EXTERNAL ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_path ldap_new_socket: 3 ldap_connect_to_path: Trying /var/run/ldapi ldap_connect_timeout: fd: 3 tm: -1 async: 0 ldap_ndelay_on: 3 ldap_close_socket: 3 ldap_msgfree ldap_err2string ldap_sasl_interactive_bind_s: Can't […]
我在Foreman 1.9中有几个用户,而且我刚刚启用了LDAP身份validation。 我可以得到一个新的用户login,但很多机器属于老用户,并且有configuration模板的编辑历史logging。 有什么办法(如有必要,很乐意编辑数据库),将这些现有用户的身份validation更改为LDAP?
我有一个问题,在多站点环境中使用基于Active Directory的LDAP。 基本上我有几个不同的环境(站点),他们每个人都有自己的专用的几个域控制器服务器。 为了保持所有信息的同步,每个域控制器都与其他站点的对话对话。 在每个环境中,我也有几个不同的Linux服务器(Web服务器,应用程序服务器等),为了进行身份validation和授权,他们必须联系专用于其环境的正确的域控制器。 我的问题是,我找不到一种方法来指定这些服务器的configuration如何联系他们“最近的”域控制器。 直到现在,我使用DNS Aloggingdomain.local ,它将每个域控制器都返回到域中; 问题是它也返回域控制器不在正确的站点,因此无法访问。 我想另一种方式是为每个引用正确DC的站点创build一个CNAMElogging。 DC-Site1 CNAME到DC1和DC2 DC-Site2 CNAME到DC3和DC4 DC-Site3 CNAME到DC5和DC6 …. 所以使用loggingDC-SiteX.domain.local我能够联系正确的几个域控制器的网站。 这个解决scheme的问题是,我几乎不能编码到它所属的站点的configuration服务器。 我不喜欢,因为我可能会移动服务器到不同的网站,我不得不记得要更新这个configuration。 通常你如何处理这种情况? 你有这个问题的优雅的解决scheme?
我正在学习如何设置和使用安装在Ubuntu服务器上的OpenLDAP。 我执行sudo apt-get install slapd ldap-utils -y并将我的ldap域设置为test.mydomain.com 。 我可以成功执行ldapadd以通过该域添加人员。 所以,我试图使用Ldapadmin来检查示例LDAP服务器中的示例数据。 我的LDAP主机是必需的,我提供以下,使用端口# 389 : ldap://*.*.*.*/test.mydomain.com ( 星号代表我的IP地址 ) 当主机被testing时,我得到一个LADP错误:服务器closures! 信息。 让它在Ldapadmin上工作是在我的Drupal网站上使用相同configuration来启用单点login的第一步。 任何人都可以帮忙吗? UPDATE @Brian Showalter: 在/etc/phpldapadmin/config.php我重新设置以下内容: $服务器 – >的setValue( '服务器', '主机', ''); $服务器 – >的setValue( '服务器', '基础',arrays( 'DC = ldaptest,DC = COM')); 所以,现在是ldaptest.com而不是test.mydomain.com 。 我也执行dpkg-reconfigure slapd来修改域名。 不过,我对你的陈述“ … use ldap://<server IP or hostname> as the LDAP […]