我们为所有用户(70%的Linux,30%的Windows)使用Active Directory(2003和2008)。 普通的用户身份validation正常。 我现在有一种情况,在特定的服务器上,我需要限制可以loginADS中特定组的成员的用户。 所以我创build了组,并添加了用户。然后我在pam_ldap.conf中设置 pam_groupdb cn = <group>,ou =应用程序,dc = <domain>,dc = <tld> 和 pam_member_attribute memberOf 但是,这似乎没有任何区别。 我停止nscd(以防万一),但我仍然可以使用不属于此组的成员的用户的凭据login。 有没有人有这方面的经验? 还有其他的解决方法,但它们相当丑陋,我宁愿不必使用它们(例如,通过在cron作业中通过ldapsearch提取所有用户,然后将它们放入允许的用户列表等中)。 哦,是的,我可以使用ldapsearch查看这个组的成员。 我可以看到单个用户的组成员身份,也使用ldapsearch。 我已经把该服务器上的sshddebugging模式,但日志没有透露任何有用的东西。 任何指针将不胜感激。
我正在从NISPLUS迁移到LDAP(openldap),并从RHEL4迁移到RHEL5。 LDAP服务器与客户端一样正在RHEL5u4上运行。 在RHEL5variables扩展在auto.master永远不会工作,无论是在文件或LDAP。 NISPLUS / RHEL4(作品) 我以前在nisplus中有一大堆表格,其中包含auto_opt_Linux_2-6-18_x86_64,这些表格包含特定的arch / os组合的程序份额。 例如。 在NISPLUS的auto_opt_Linux_2-6-18_x86_64中: vim-7.3 nfs:/export/apps/Linux/2.6.18/opt-i386/& boost-1.4.0 nfs:/export/apps/Linux/2.6.18/opt-x86_64/& etc 然后,我在NISPLUS的auto_master中: /opt auto_opt_${OSNAME}_${OSREL}_${ARCH} /home auto_home /workgrp auto_workgrp 在客户端/ etc中的auto.master中: +auto_master 然后我在/ etc / sysconfig / autofs中有UNDERSCORETODOT =“1”,并且automount会很高兴地把所有东西都从NISPLUS中抽出来。 LDAP / RHEL5(几乎可行) 我试图在LDAP中做同样的事情,家庭和workgrp共享工作正常,但/ opt,而不是: dn: ou=auto.master,dc=example,dc=com objectClass: automountMap objectClass: top ou: auto.master dn: cn=/opt,ou=auto.master,dc=example,dc=com objectClass: automount cn: /opt automountInformation: auto.opt.$OSNAME.$OSREL.$ARCH dc: […]
这是我在Apache2.2.x中的LDAPconfiguration Order deny,allow AuthType Basic AuthName "Test" AuthBasicProvider ldap AuthLDAPURL "ldap://dc1.domain.com:389/DC=domain,DC=com?sAMAccountName" NONE AuthLDAPBindDN "CN=Administrator,CN=Users,DC=domain,DC=com" AuthLDAPBindPassword "secret" authzldapauthoritative Off require valid-user 当我加载页面,我popup密码和用户名。 但是当我填写他们时,我得到一个内部服务器错误。 如果我在Apache的错误日志中看到没有新的错误。 如果我将BindPassword更改为某些错误,则会在我的/var/log/apache2/error.log中收到错误 把我的头发拉出来!
我一直在阅读这个答案并试图理解它: 我如何在PHP中启用LDAP – Windows Server 2008 LDAP不显示与phpinfo() 我用这个webpi来安装PHP。 投票答案说,从一个新的zip下载下载.dll文件。 问题是,我似乎无法find文件… 有人可以给我一个关于如何启用LDAP的在线教程或build议吗?
伙计们, 我已经按照http://tuxnetworks.blogspot.com/2010/06/howto-ldap-server-on-1004-lucid-lynx.html的说明来设置我的OpenLdap,它的工作很好,除了匿名用户可以绑定到我的服务器,并看到整个用户/组结构。 LDAP正在通过SSL运行。 我已经在线阅读,我可以添加disallow bind_anon and require authc在slapd.conf文件disallow bind_anon and require authc ,它将被禁用,但没有slapd.conf文件开始,因为这不使用slapd.conf作为我的configuration理解OpenLdap已经转移到一个cn = config的设置,所以即使我创build一个也不会读取该文件。 我在网上看了没有任何运气。 我相信我需要在这里改变一些东西 olcAccess: to attrs=userPassword by dn="cn=admin,dc=tuxnetworks,dc=com" write by anonymous auth by self write by * none olcAccess: to attrs=shadowLastChange by self write by * read olcAccess: to dn.base="" by * read olcAccess: to * by dn="cn=admin,dc=tuxnetworks,dc=com" write by * […]
我正在遵循Tuxnetworks教程 ,在第一部分的最后一行,我得到这个错误: sysadmin@samba:~$ sudo smbclient -L localhost Enter root's password: Connection to localhost failed (Error NT_STATUS_CONNECTION_REFUSED) 我已经读了一些其他线程,人们似乎有同样的问题,但要么没有得到解决,或者他们的错误不是我遇到麻烦 。 http://ubuntuforums.org/showthread.php?t=1510536 http://lists.samba.org/archive/samba/2009-March/147401.html testparm -s输出: Processing section … Global parameter logon script found in service section! … Loaded services file OK. 尽pipeGlobal parameter…错误仍然加载configuration罚款。 我正在使用的smb.conf文件是他们的教程中提供的一个,其中包含以下更改: workgroup = MYDOMAIN.COM netbios name = SAMBA wins support = Yes sudo netstat -llptun输出: […]
经过一个星期的努力,找出为什么我们的一些机器正在authentication我们的LDAP服务器,有些不是我注意到,PAM绑定后,看看是否存在它,然后发送用户密码。 在数据包级别,我可以看到,当我在正在运行的计算机上进行身份validation时,我发现密码已经通过。 当我在不是自动化的机器上进行身份validation时,我在服务器上看到密码为“错误”的数据包。 有什么可能改变呢? 我已经search了pam_ldap,nss_ldap和pam源,但无济于事。 任何build议将不胜感激。 谢谢。
我正在设置postfix和cyrus-imap对openldap进行代理授权的设置(我的设置在这里http://1nw.eu/!cD )。 我喜欢这个解决scheme,使用saslauthd更优雅。 但是我担心按照DIGEST-MD5的要求以明文forms存储密码。 我知道保护存储在openldap(文件系统encryption等)中的数据的许多方法,但是如果有人获得root访问权限,密码将被公开,我想要防止这种情况。 我的问题是:有没有办法使用散列密码与sasl和代理授权?
我的工作中有基本到中等的高级networking设置。 我们运行一个Ubuntu 10.04文件服务器,通过NFS服务几个不同的目录(包括/ home),所有的客户机(各种Ubuntu 10.04到11.04)通过LDAP进行身份validation,并挂载这些NFS共享。 随着越来越多的实习生涌现,我越来越担心我的NFS股票的安全问题,所以我正在寻找方法来减less这种情况。 我有一个想法,而不是在启动时通过/ etc / fstab挂载所有的共享,挂载它们在login时,只根据用户所在的组挂载某些dirs。 例如,如果一个实习生login,它会挂载/出口/用户/出口/实习生等,但是如果有人在会计login,则挂载/出口/用户/出口/会计/出口/个人等基本上有'敏感只有当用户位于正确的组中时才会挂载导出。 这可能吗? 如果是的话,怎么样? 如果没有,还有什么其他的build议来缓解我的(可能过分)偏执的灵魂?
我有一台运行OpenLDAP的服务器。 当我开始一个SSH会话,我可以login没有问题,但在日志中出现错误。 这只会发生在我使用LDAP帐户login时(所以不能使用root帐户等系统帐户)。 任何帮助消除这些错误将不胜感激。 来自/var/log/auth.log的相关部分 sshd[6235]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=example.com user=peter sshd[6235]: Accepted password for peter from 192.168.1.2 port 2441 ssh2 sshd[6235]: pam_unix(sshd:session): session opened for user peter by (uid=0) 帕姆共同会议 session [default=1] pam_permit.so session required pam_unix.so session optional pam_ldap.so session required pam_mkhomedir.so skel=/etc/skel umask=0022 session required pam_limits.so session required […]