首先,我知道这个问题有可能被低估和封闭,但是我想我会继续问这个问题,因为我们的问题是足够真实的。 我们有一个运行OpenLDAP进行身份validation的邮件服务器,以及Postfix + Cyrus。 到目前为止,它一直工作正常。 我们有一个想法来configuration第二个邮件服务器,可能是一个故障转移。 牢记这一点,我们build立了一个服务器,其configuration部分已经完成 – 实质上,它是包括LDAP用户在内的原始服务器的完全复制。 在第二台服务器上创buildLDAP用户时,我们使用默认密码创build了用户。 现在,问题是,我们现在想要为原邮件服务器中的用户提取密码,并将其应用到新邮件服务器中的用户(使用ldapmodify )。 问题在于,用户密码的ldapsearch只给出encryption的密码。 我们如何在新服务器上为用户应用旧密码?
我们有一个前端节点的集群,允许普通用户和LDAP用户。 前两天ssh显示出一个奇怪的行为: LDAP用户无法使用密码login到前端节点 但是, LDAP用户如果在authorized_keys中设置了ssh-key,则可以login 普通用户 (没有LDAP,/ etc / passwd)可以login没有问题 其他服务使用相同的LDAP服务器正常工作 所以,我认为是位于前端节点的问题。 LDAP似乎工作,使用getent [passwd|shadow]命令我们得到所有用户。 同时,当我们从这个节点login到其他节点时,ssh显示一个警告/错误。 但它也允许ssh: [root@frontnode ~]# ssh othernode /etc/ssh/ssh_config line 50: Unsupported option "GSSAPIAuthentication" [root@othernode ~]# 另外,当我重新启动ssh守护进程时,我们也有与GSSAPI有关的错误: [root@frontnode ~]# service sshd restart Stopping sshd: [ OK ] Starting sshd: /etc/ssh/sshd_config line 81: Unsupported option GSSAPIAuthentication /etc/ssh/sshd_config line 83: Unsupported option GSSAPICleanupCredentials /etc/ssh/sshd_config line […]
我正在按照本指南安装ldap服务器。 在步骤9我使用: /usr/local/libexec/slapd 代替: su root -c /usr/local/libexec/slapd 因为我没有访问苏 我得到这个消息: /usr/local/libexec/slapd: error while loading shared libraries: libdb-6.0.so: cannot open shared object file: No such file or directory 当我尝试: ldd /usr/local/libexec/slapd 我得到: /usr/local/libexec/slapd linux-vdso.so.1 => (0x00007fffe01ff000) libdb-5.3.so => /usr/local/BerkeleyDB.6.0/lib/libdb-6.0.so (0x00007fe2f743e000) libpthread.so.0 => /lib64/libpthread.so.0 (0x0000003fd1400000) libresolv.so.2 => /lib64/libresolv.so.2 (0x0000003fd2c00000) libc.so.6 => /lib64/libc.so.6 (0x0000003fd0c00000) /lib64/ld-linux-x86-64.so.2 (0x000 fe2f743e000) libpthread.so.0 […]
我有SSSD设置LDAP身份validation,我可以通过控制台和SSHlogin很好。 但是,当我尝试通过KDMlogin时,它只是表示身份validation失败…更具体地说: Jan 9 10:29:11 adams20420 sssd[be[default]]: Failed to set LDAP SASL nocanon option to true. If your system is configured to use SASL, LDAP operations might fail. Jan 9 10:29:24 adams20420 kdm: :1[4560]: PAM pam_parse: expecting return value; […sufficeint] Jan 9 10:29:24 adams20420 kdm: :1[4560]: PAM unable to dlopen(/lib64/security/pam_console.so): /lib64/security/pam_console.so: cannot open shared object […]
我也有一个pipe理Sudo的OpenLDAP安装。 每次我创build一个sudoersangular色时,我都必须列出这个sudoersangular色可以运行的命令。 这导致了很多重复。 有没有办法将networking组中的Linux命令分类,并扩大LDAP sudoersangular色SudoCommand字段中的networking组? 例如:使用成员/ bin / ls,/ usr / bin / less,/ usr / bin / tail创build一个名为“view”的networking组(或其他),在SudoCommand字段中input+ view。 当需要为不同的目录/文件授予各种SudoRoles相同的命令时,这将是有益的吗?
我在VMware vSphere Client中使用Red Hat 6.4复制了虚拟机,将其移动到另一个networking,并更改了连接到ldap服务器的configuration。 现在我有一个通过LDAPlogin程序的问题。 当我尝试login本地或通过SSH,系统立即注销我。 当我尝试通过ssh连接时,这是/ var / log / secure中的消息: Feb 17 13:41:57 %hostname% sshd[1452]: Accepted password for %user_name% from 10.84.176.248 port 30104 ssh2 Feb 17 13:41:57 %hostname% sshd[1452]: pam_unix(sshd:session): session opened for user %user_name% by (uid=0) Feb 17 13:41:57 %hostname% sshd[1452]: pam_unix(sshd:session): session closed for user %user_name% 所以,我知道我的系统可以连接到LDAP(命令id %username%返回有效的答案),并使用PAMlogin。 这是我的/etc/pam.d/system-auth : […]
我知道这已经在这里问过了,但是我对这个答案并不满意,不知道是否可以重振和劫持一个老问题。 我们有在LDAP服务器上validation用户的工作站。 但是,本地root用户可以使用任何LDAP用户而不需要密码。 从我的angular度来看,这听起来像是一个巨大的安全问题,我希望在服务器级别可以避免。 我可以想象下面的情况下,用户可以模仿另一个,不知道如何防止它: UserA具有有限的权限,但可以使用其LDAP密码login到公司工作站。 他们可以cat /etc/ldap.conf找出LDAP服务器的地址, ifconfig可以查看自己的IP地址。 (这只是一个如何获得LDAP地址的例子,我不认为这通常是一个秘密,隐晦不难解决) UserA拿出自己的个人笔记本电脑,configurationauthentication和networking接口,以匹配公司工作站,并将networking电缆从工作站插入到他们的笔记本电脑,引导和login作为本地根(这是他的笔记本电脑,所以他有本地根) 作为root用户,他们在LDAP上可能拥有或不具有更多权限(不需要密码!)的任何其他用户,但至less可以模拟该用户而没有任何问题。 在这里的其他答案说,这是正常的UNIX行为,但它听起来真的不安全。 例如,模拟的用户可以在NFS挂载上扮演那个用户的angular色吗? (笔记本电脑甚至有相同的IP地址)。 我知道他们将无法在远程机器上作为根用户,但他们仍然可以是任何他们想要的用户! 必须有一种方法来防止在LDAP服务器级别的权利? 或者也许在NFS服务器级别? 是否有一部分的过程,我错过了,实际上阻止了这一点? 谢谢!!
我正在尝试sssd进行LDAP身份validation,虽然它可以用id命令显示用户ID,但是getent group和getent passwd不显示LDAP名称,虽然我可以将文件分配给ldap用户,但他们是ls -lah 。 有点挖掘,我发现一个提示:当匿名绑定LDAP时可能会发生此问题。 但是当我设置sss时,没有提供绑定DN或密码的选项。 我也无法在手册中find正确的指令。 我在哪里为sss + ldap指定绑定DN和密码? 它进入/etc/sssd/sssd.conf吗? 或另一个文件?
我有一个应用程序需要进行身份validation(login为)特定的用户。 供应商说,他们需要对用户的完整DN进行硬编码,以使其发生。 从查看LDAP开始已经有一段时间了,但记住一种方法,用户可以使用“缩短的”LDAP查询进行search,引用或validation,但忘记了语法。 题 什么LDAP语法将允许用户引用一个CN (又名“用户”),而不需要硬编码完整的OUpath? 原因:如果pipe理员重新组织AD OU结构,某些应用程序将无法进行身份validation,从而导致意外
我正在使用Linux和Windows服务器混合使用,希望能够使用AD来集中LDAP身份validation过程。 我最近安装了Windows 2012 R2服务器作为域控制器。 我有LDAP信息来访问我们公司的LDAP服务器,但还没有find如何设置密码引用过程。 人们build议使用OpenDJ或OpenLDAP,但我想我至less会尝试使用本机应用程序来获得此设置。 经过几个小时的阅读,并看着我在想这是行不通的。 关于如何进行这项工作的build议? 总结:我在subdom.company.com有一些设备。 ldap.company.com上有一个LDAP服务器,如果我只能连接/指向我的域,那么它可用于身份validation。 我应该继续使用Windows 2012 R2还是切换到Samba? 其他一些途径? 更新:直到最近我们的设备几乎完全是CentOS / Debian。 我们用NIS来维护帐户,一切都很好。 现在,我们添加了更多的Windows客户端,并有机会获得由大公司的服务器处理的所有authentication。 IE不再需要在每个文件服务器上(通过samba)为Windows客户端进行设置。