这些天我一直在围绕LDAP进行游戏。 我试图为相当多的ubuntu服务器部署一个中央authentication服务器。 经过所有的研究,我想起了一个问题。 LDAP用户的家在哪里存储? 他们是否存储在LDAP服务器(中央pipe理所有的?),如果这样,如果我们有一个巨大的扩展,原来的服务器不能满足更多的需求。 我们应该迁移到另一台机器吗? 或者有没有一种方法来聚类? 如果不是,他们存储在客户机上? 当用户login不同的服务器,他们有不同的家园? LDAP acls如何与客户端acls交谈? 如果我在某些客户端机器上有www:www,我该如何让某些用户访问它们? 谢谢。
我们正试图在CentOS7上通过openvpn-auth-ldap来设置OpenVPN。 EPEL存储库不再列出CentOS7的 openvpn-auth-ldap。 对于CentOS6来说 ,有一个工作转播点。 我们找不到CentOS7的任何工作发行版。 较早的版本将不会运行。 他们导致缺less依赖关系,等等。我们没有find一个解决scheme,这就是为什么我们问这里。 有openvpn替代插件的解决scheme还是我们需要降级到CentOS6?
我目前正在部署openldap和SSSD进行身份validation。 当我尝试id存储在ldap中的用户时,我得到的响应没有这样的用户。 用户已经正确添加到LDAP,我可以执行ldapsearch -ZZ并find用户。 我已经尝试运行sssd -i -d9,并尝试id用户时得到以下响应: [sssd[nss]] [sss_dp_issue_request] (0x0400): Issuing request for [0x418850:1:ldaptest@LDAP] [sssd[nss]] [sss_dp_get_account_msg] (0x0400): Creating request for [LDAP][4097][1][name=ldaptest] [sssd[nss]] [sbus_add_timeout] (0x2000): 0x22e3960 [sssd[nss]] [sss_dp_internal_get_send] (0x0400): Entering request [0x418850:1:ldaptest@LDAP] [sssd[be[LDAP]]] [sbus_dispatch] (0x4000): dbus conn: 0xcfac90 [sssd[be[LDAP]]] [sbus_dispatch] (0x4000): Dispatching. [sssd[be[LDAP]]] [sbus_message_handler] (0x4000): Received SBUS method [getAccountInfo] [sssd[be[LDAP]]] [sbus_get_sender_id_send] (0x2000): Not a sysbus message, […]
我使用以下命令获取LDAP的所有用户的列表ldapsearch -x -LLL uid=* > result 。 以下命令的结果导致以下格式 dn: uid=shahrukh,ou=People,dc=example,dc=com uid: shahrukh cn: shahrukh sn: shahrukh loginShell: /bin/bash uidNumber: 1086 gidNumber: 1086 homeDirectory: /home/ldap/shahrukh 有这些logging的完整列表。 我想在一个文件中列出所有的uid,以便只列出uid的值。 shahrukh abc xyz …. …. ….
每一个使用SSSD进行LDAPauthentication的指南到目前为止,我发现如何做更多的不仅仅是authentication一个用户,比如提供他们的shell,组等。我不知道如何删除这些function,有像SSSD,PAM和NSS这样的移动部件。 由于通过LDAP(不是AD)提供什么信息的限制,只能对用户进行authentication。 甚至没有可用的uid,因为通过LDAP提供的唯一id是格式一致的字母数字string(在linux上不起作用)。 基本上,如何在Ubuntu上将SSSDconfiguration为将“ldap”作为“影子”数据库,而从本地系统数据库(passwd,group)获取uid,组和shell。 目前,这是通过libpam-ldap完成的,但是我的理解是有更好的select,比如libpam-ldapd和sssd,后者是RHEL已经转移到的。 如果我不得不猜测,可以按照我们目前的做法,这是nss将首先检查本地数据库,如果用户没有阴影文件入口,请检查ldap。 总而言之,如果我可以使用SSSD或作为备份libpam-ldapd来validation以下方法: uid – > / etc / passwd validation – > ldap shell – > / etc / passwd 组 – > / etc / group 如果可以阻止用户在本地创build密码,甚至更好,最终会在/ etc / shadow中导致它在将来的login尝试中检查ldap。 此外,所有本地和服务帐户不应受到影响,并且可以使用简单的正则expression式确定ldapauthentication的用户。 对于如何处理这个问题,我将非常感激。 谢谢!
我正在使用adexplorer查询LDAP目录。 我想获取所有在其DN中具有特定OU的用户。 所以我试了一下: 结果返回一个OU,即使我select了class:user。 我如何find在其DN中具有特定OU的用户?
我正在使用openldap,nslcd和nss-pam-ldapd。 我想限制用户login到LDAP客户端。 我已经在centos6.5中configuration了这个没有任何问题使用groupdn。 但是在7中,没有pam_ldap.conf文件。 我尝试通过在nslcd.conf中添加以下行来执行此操作: filter passwd(memberOf = cn = groupname,ou = groups,dc = example,dc = com) 但即使他是该组织的成员也不会让任何人login。 我怎么解决这个问题? 我安装sssd并configuration如下nut仍然每个人都可以login,即使他不是提到的组的成员。 当我尝试login时,没有日志写入sssd.log和/ var / log / messages。 我可以使用“nslcd -d”来检查nslcd日志。 sssd.conf: [SSSD] config_file_version = 2 服务= nss,pam domains = example.com debug_level = 10 [NSS] [PAM] [域/ example.com] ad_server = app.example.com ad_domain = example.com sssd-ldap = app.example.com ldap_access_order […]
我有一个Win 2012服务器,我已经创build了一个新的AD LDS森林。 我正在使用这个目录林的服务器上运行一个软件应用程序。 该软件应用程序没有login。我已经使用dsquery从DN中提取森林对象: dsquery * -s 192.168.1.2 "DC=my,DC=domain,DC=com" 这是成功的。 但是,使用ldapsearch是另一回事: ldapsearch -h 192.168.1.2 -p 389 "DC=my,DC=domain,DC=com" ldap_search: Operations error ldap_search: additional info: 000004DC: LdapErr: DSID-0C090724, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v23f0 题: 为什么dsquery工作和ldapsearch不? 关于ldapsearch错误的任何想法? 编辑: 作为对@longneck的回应,我尝试了以下内容(与相关的结果): ldapsearch -v -d 4 […]
在我的Debian服务器上,我configuration了LDAP服务器slapd ,只接受通过Unix域套接字文件的连接。 这是/etc/defaults/slapd的相关部分: SLAPD_SERVICES="ldapi:///" 我一直很高兴地接受这个configuration,各种各样的PHP应用程序都很好地工作。 现在我正在尝试将Apacheconfiguration为通过LDAP进行身份validation。 我正在通过核心模块mod_authnz_ldap做到这一点。 ldapi使用ldapi URLscheme不起作用: AuthLDAPUrl ldapi:///ou=users,dc=example,dc=com?uid?sub?(objectClass=*) 我所看到的所有Apache错误都是TCP连接尝试localhost:389和127.0.0.1:389 ,当然,都被拒绝,因为没有人在这个端口上侦听。 我也尝试了两个URL,两者都有相同的负面结果: # Same as the 1st attempt, but with ldap:// instead of ldapi:// AuthLDAPUrl ldap:///ou=users,dc=example,dc=com?uid?sub?(objectClass=*) # Getting desperate: Specify the file path of the Unix domain socket file AuthLDAPUrl ldap:///var/run/slapd/ldapi/ou=users,dc=herzbube,dc=ch?uid?sub?(objectClass=*) AuthLDAPUrl的Apache 2.4文档声明如下: 指定要使用的LDAPsearch参数的RFC 2255 URL。 RFC 2255确实没有提到ldapi URLscheme,也没有提到如何指定Unix域套接字文件path。 我忽略了什么? 有谁知道我怎么可以得到mod_authnz_ldap使用Unix域套接字文件进行连接? 或者是真的,因为我害怕,不可能用mod_authnz_ldap做到这一点? 我的设置: […]
我目前的情况是,我可以使用ldap和pam成功进行身份validation,也成功使用pam_mkdir /home文件系统中的/home目录。 现在我试图实现的是自动创build相同的主目录,但在自动安装的nfs导出上。 自动安装工作正常,并且homes根目录是正确可及的。 目的是避免手动在nfs上创build家园。 我花了两天时间在潜伏,但是我没有把所有的信息合并在一起。 我仍然有这样的问题: 可以pam_mkdir通过nfs创build目录? 如果安装的homespath不是标准的(例如家庭安装到/mnt/nfs/homes ),那么pam_mkdir如何知道? 使用homeDirectory LDAP属性? 我应该在用户创build后触发LDAP服务器上的创build吗? 我是否在解决一个更简单的问题?