我目前正在构build一个我想部署Kerberos的系统。 但是,我对用户pipe理的外部约束不允许我对Kerberos本身的用户进行身份validation。 我不得不authentication用户对第三方LDAP服务器,我不能从中读取密码。 但是,我确实得到了authentication是否成功的答案。 我现在想自动授予这些用户Kerberos票证为他们的委托人,如果这个authentication是成功的。 有什么办法可以设置Kerberos通过SASL对第三方进行身份validation传递给它的密码? 我可能看到的一个解决scheme是在用户主目录中创buildkeytab文件,这些文件被init脚本自动使用来获得Kerberos票据。 不过,我认为这些keytab文件可能会被滥用,并且会更喜欢使用基于密码的替代方法。
LDAPconfiguration: MemberOf Overlay is enabled 用户是名为People的organizationUnit的一部分。 每个用户都是“memberOf”angular色。 例如,在公司担任angular色的用户是“高级开发人员”或“主pipe”或“QAAnalyst”。 这些angular色是objectClass“groupOfNames”。 每个angular色都是一个“memberOf”function组。 例如,有一个名为“productionServers”的“groupOfNames”,它有其他的“groupOfNames”作为成员。 “高级开发者”和“QAAnalyst”组是“生产服务器”组的一部分。 我需要一个查询,说,获取所有的用户是“productionServers”组的一部分。 此筛选器将返回“productionServers”成员的组: (& (memberOf=cn=prodServersSudo,ou=Function,dc=example,dc=com) )
我有一个庞大的用户基础(>> 1000)应该能够共同使用一些共享服务。 用户群正在缓慢但不断变化。 ESP。 我们对特权分离(所有用户都是平等的)并不感兴趣,所以从特权angular度他们可以共享一个帐户。 但是,出于安全原因,我们不能使用共享凭据。 幸运的是,所有用户都有自己的用户名/密码可通过LDAP。 所以我们已经实现了一个login服务器(Debian上的ssh),通过PAM和OpenLDAP进行身份validation。 现在LDAP服务器不提供很多信息,只有用户名和身份validation的能力。 特别是,它缺less一个objectClass: posixAccount和伴随的属性 uidNumber gidNumber loginShell homeDirectory 我对LDAP服务器的访问非常有限(尤其是我不能要求添加这些或任何其他属性),基本上它只允许我对用户进行身份validation。 现在好消息是,如果所有用户对这些属性具有相同的值,我并不在乎。 所以我最终实现了一个使用translucent叠加的代理ldap服务器来添加缺less的属性。 覆盖数据通过脚本生成,该脚本从上游LDAP数据创build剥离的LDIF文件,然后用于填充半透明数据库。 这工作正常,但我不喜欢它的可维护性POV:因为用户基础正在改变,我需要定期更新数据库手动(它几乎没有变化 – 每隔几个月 – 所以它没有太多的工作,但它也很容易忘记)。 因为覆盖数据是如此微不足道(它是所有对象的相同属性/值),我认为必须有更好的方法。 理想情况下,我想有一个覆盖,将这些属性添加到所有对象(匹配给定的searchterm)。 使事情变得复杂一点,我们还通过另一个提供posixAccount -data的LDAP服务器validation另一个用户基础; 这个群体的用户当然不应该受到其他群体所需要的叠加魔法的影响; 我认为这排除了在PAM方面所做的任何魔法。
我正试图让Windows Server 2008 R2域控制器在LDAP上使用SSL。 我有一个证书安装,但我无法通过端口636连接通过ldp.exe(端口389工作正常)。 我确认防火墙上的端口是打开的,现在我正在通过这个MS知识库文章中的证书要求。 我已经检查了大部分要求,但是我一直在validation这个问题: 私钥不能有强私钥保护启用。 我如何validation以前安装的证书? 证书由DigiCert颁发。
tl; dr这个错误是否意味着我需要find我公司的ldap服务器的公共证书并安装它,或者我公司的ldap服务器需要安装我的公共证书? 如果前者,我如何获得证书并安装它? 我试图将应用程序与我公司的LDAP集成在一起。 我对LDAP和SSL很陌生,所以我提前道歉。 我可以在非ssl上成功完成这项工作,但是当我试图通过SSL来做这件事时,我遇到了这个问题。 我正在使用openldap 2.4版本的Rhel 6.4。 使用ldapsearch ldapsearch -v -h myhost.com -b 'DC=myhost,DC=com, -D 'CN=me,DC=myhost,DC=com' -x -W -Z 或Python import ldap con = ldap.initialize('ldaps://myhost.com') dn = 'CN=me,DC=myhost,DC=com' pw = 'password' con.simple_bind_s(dn, pw) 结果是: ldap_start_tls: Connect error (-11) additional info: TLS error -8179:Peer's Certificate issuer is not recognized. 这是否意味着我需要find我公司的ldap服务器的公共证书并将其安装在某处,例如/ etc / openldap / […]
我正在通过ECS运行Docker容器。 容器运行一个Apache服务器托pipe一个简单的Web应用程序。 但是,服务器需要LDAPauthentication来访问页面。 我正在使用configuration了ELB的服务来pipe理ECS上的分发。 我遇到了一个健康检查失败的问题,所有的情况下。 从本地testing我知道Docker容器/服务器的工作。 AWS ELB运行状况检查文档声明需要200 OK响应才能通过运行状况检查(我的pingpath是/index.html )。 但是,LDAPauthentication失败将返回401 Authorization Required 。 如何让健康检查通过而不禁用LDAP? 这个问题在StackOverflowbuild议只是切换健康检查到一个TCP健康检查,虽然这并不正确。 如果这是处理这种情况的正确方法,那么很高兴做到这一点。
我想手动login到ldap服务器。 使用Kerberos进行身份validation。 我在那里用用户名和密码登记。 kinit username@servername 它工作正常,并创build一个有效的TGT,我可以查看使用 klist 但是如何继续下去。 我如何使用TGT连接到ldap服务器? 我读过,在这里需要一个keytab文件。 但是我在/ etc /下没有生成krb5.keytab文件。
我的目标是从命令行testingLDAPauthentication。 我尝试使用ldapsearch 。 我正在使用Centos 6.7 即使我正在使用正确的凭据,以下命令失败 [user@localhost html]# ldapsearch -x -h localhost -p 3389 -b "uid=john.martin,ou=Users,dc=company,dc=com" -W Enter LDAP Password: ldap_bind: Invalid credentials (49) ldapsearch -x -h localhost -p 3389 -D "uid=john.martin,ou=Users,dc=company,dc=com" -W也抱怨无效凭证。 ldapsearch -x -h localhost -p 3389 -D "uid=john.martin,ou=Users,dc=company,dc=com" unauthenticated bind (DN with no password) disallowed ldapsearch -x -h localhost -p 3389 -D […]
最近我的业务跳转到Active Directory,并希望我们的邮件服务器复制AD帐户。 域控制器和邮件服务器都运行Windows Server 2012,我们正在使用MDaemon作为邮件服务器。 这是奇怪的地方:我经历了Alt-N的文档,但我只能手动同步帐户。 我可以使用LDAPsearchfilter来识别我想要正确复制的帐户,甚至可以使用“执行Active Directory立即扫描”function按预期更新我的所有帐户。 但是,如果我尝试启用Active Directory监视,则帐户不会更新,并且邮件服务器日志中充满了出现“AD错误:1355 – 指定的域不存在或无法联系”的错误。 这很奇怪,因为很明显可以联系域名进行LDAPsearch和强制账户查询。 我试过的东西 : closuresDC和邮件服务器上的防火墙 将邮件服务器绑定到AD 将域和DC的login凭证添加到邮件服务器的凭证pipe理器 将邮件服务器join域后,启用对邮件服务器的任何服务的委派 我也检查了邮件服务器和DC上的事件查看器日志。 在邮件服务器上,在每次尝试同步期间都会创build一个新事件,显示用户名和域login尝试(但我无法确定login是否成功),并且在DC上没有邮件服务器的日志我可以看到的一面。 我在这里错过了很明显的东西吗 看起来奇怪,我可以强制帐户同步,但它不能自动使用相同的域名和凭据。
我正在从一台服务器的紧急服务器传输中,我没有设置到一个新的硬件。 我正在用Postfix和Cyrus运行最新的Debian。 我已经从conf文件复制了大部分的细节,但是我仍然无法让服务器正常使用我的LDAP服务器。 我能够发送邮件与Postfix,但我不能检查任何东西似乎没有工作login。 我的validation日志显示: May 28 14:48:55 server saslauthd[1101]: Authentication failed for user: Bind to ldap server failed (invalid user/password or insufficient access) (-7) May 28 14:48:55 server saslauthd[1101]: do_auth : auth failure: [user=user] [service=imap] [realm=] [mech=ldap] [reason=Unknown] 我很难过! saslauthd.conf ldap_bind_dn: cn=admin,dc=server,dc=host,dc=com ldap_password: secret ldap_servers: ldap://ldap.server.host.com ldap_search_base: dc=server,dc=host,dc=com ldap_auth_method: fastbind ldap_filter: uid=%u,ou=People,dc=server,dc=host,dc=com ldap_tls_cacert_file: /etc/ldap/ssl/server.pem […]