我试图configurationLDAP代理到我们的ActiveDirectory服务器,当我试图testing它是否工作时,我总是得到错误: ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C0903A8, comment: AcceptSecurityContext error, data 52e, v1db1 我正在使用RaspberryPI来安装raspbian。 我的slapd.conf文件如下所示: # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/misc.schema include /etc/ldap/schema/ad.schema # Where the pid file is put. The init.d script # will not stop the server if you change this. […]
运行Windows Server 2012上的SQL Server Kerberosconfigurationpipe理器(KerberosConfigMgr)的v3.1对同一台服务器上的SQL Server Developer 2016实例。 以pipe理员身份运行工具(以域pipe理员帐户login到服务器)。 Kerberos工具中指定的默认空白详细信息。 我也尝试input运行相同版本的SQL另一台服务器的详细信息以及我的域pipe理员用户帐户的详细信息,具有相同的结果。 应用程序认为约10秒钟,然后回应错误消息“无法访问系统中的用户主要信息” 日志有以下内容: 10/31/2017 2:41:09 AM Error: Access of User Principal information failed System.DirectoryServices.AccountManagement.PrincipalServerDownException: The server could not be contacted. —> System.DirectoryServices.Protocols.LdapException: The LDAP server is unavailable. at System.DirectoryServices.Protocols.LdapConnection.Connect() at System.DirectoryServices.Protocols.LdapConnection.SendRequestHelper(DirectoryRequest request, Int32& messageID) at System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout) at System.DirectoryServices.AccountManagement.PrincipalContext.ReadServerConfig(String serverName, ServerProperties& properties) — […]
我在我的组织中有以下设置: 子组织A具有Microsoft Active Directory服务器,该服务器为“仅Windows”世界提供服务,即其用户没有 UID或GID值。 用户具有固定的用户名(例如,“jdoe”),并且可能改变电子邮件地址“[email protected]”(可能在结婚时变成“[email protected]”…) 子组织B有一个微软的AD服务器,它服务于一个“Unix感知”的世界,也就是说,它为用户提供了UID和GUID值。 用户名一般是固定的,电子邮件可以像上面那样更改。 在两个组织中都可以有一个“jdoe”,代表相同或不同的真实世界的人(如果这个人是两个子组织都知道的话) 现在,我需要创build一个OpenLDAP设置,允许以下几点: 我住在子组织C. 用户可以使用某种唯一的ID(例如,A \ jdoe或jdoe @ A)及其子组织的密码进行login。 对于来自子组织A的用户,必须创build某种“自动”UID。 可以假设一定范围的UID具有足够的空间(例如,40k-80k)。 来自子组织A和B的任何组信息都可以被丢弃,但是我需要在子组织C中有(Unix风格的)组,其中包含来自A和B的用户。 理想情况下,我想在A和B的AD和我的OpenLDAP服务器之间进行“手动同步和保存” 尽pipe与A和B的AD连接可能中断,但我可以对用户进行身份validation。 标记为“禁用”的用户在同步之后,在我的OpenLDAP中也被标记为禁用 没有必要被写回A和B的AD,但AD A和AD B的变化必须被写回到我的OpenLDAP服务器。 在高层次上,这个最好的方法是什么? 在LDAP / OpenLDAP的文档和书籍中查找哪些相关术语。 不是LDAP / OpenLDAP方面的专家,似乎在人们写下任何地方都会使用很多特定领域的语言。
我在尝试将ldapsearch连接到azure广告域服务时遇到了一些问题。 从各种SO链接和方法,我们find了一些命令来尝试,但似乎没有任何工作。 我们使用的bind / base DN根据SO和类似的大多数问题显然是正确的,但我想不是! 我正在运行的命令是这样的: ldapsearch -H“ldaps://aaddc.domain.com:636”-Z -d 5 -D“[email protected]”-b“dc = domain,dc = com”-w $ password -s sub -X 从下面的错误判断,它似乎可以连接到目录,并尝试身份validation,但我认为我们已经有一些问题,它试图绑定到DN,所以不能完成身份validation。 如果任何人都可以点亮一下,那真是太棒了。 ldap_url_parse_ext(LDAPS://aaddc.domain.com:636) ldap_create ldap_url_parse_ext(LDAPS://aaddc.domain.com:636 / ??基) ldap_extended_operation_s ldap_extended_operation ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host:TCP aaddc.domain.com:636 ldap_new_socket:3 ldap_prepare_socket:3 ldap_connect_to_host:尝试ip_address:636 ldap_pvt_connect:fd:3 tm:-1 async:0 尝试连接: 连接成功 ldap_open_defconn:成功 ldap_send_server_request ber_scanf fmt({it} ber: ber_scanf fmt({)ber: ber_flush2:31个字节到sd 3 […]
在我们的环境中,我们有7.2。我们已经在我们的环境中configuration了一台LDAP服务器。那台服务器工作正常。 如何创build高可用性的LDAP服务器,以便其他服务器可以作为Ldap服务器。为此,我们已经configuration了一个具有相同configuration的LDAP服务器。 请build议我们接下来如何进行。
我正在build立一个Dovecot(2.2.2)和Postfix(3.1.0)的服务器。 Dovecot对LDAP进行身份validation,Postfix使用Dovecots SASL。 这已经很好了。 但是我想为Dovecot和Postfix稍微不同的LDAP设置。 当前设置: passdb { driver = ldap args = /etc/dovecot/dovecot-ldap.conf.ext } userdb { driver = ldap args = /etc/dovecot/dovecot-ldap.conf.ext } 摘自dovecot-ldap.conf.ext : user_filter = (& \ (objectClass=gosaMailAccount) \ (allowedServices=*I*) \ (uid=%u) \ ) 我想要allowedServices=*I* LDAPfilter( allowedServices=*I*为Dovecot和allowedServices=*S*为Postfix),能够独立地禁用SMTP和IMAP。 有人知道分离这些设置的方法吗?
当使用匿名绑定从命令行运行ldapsearch ,我希望只要使用分页,就允许用户/应用程序返回无限的结果。对于cn=admin用户,我想允许无限制结果。 我正在使用下面的LDIF文件,但它不是很正确。 cn=admin正在运行确定,返回所有〜1000个用户。 # ldapsearch -x -ZZ -D "cn=admin,dc=my,dc=org" -W … # search result search: 3 result: 0 Success # numResponses: 1082 # numEntries: 1081 …但匿名绑定仍然限于500个结果(虽然分页确实工作): # ldapsearch -x -ZZ "Objectclass=Person" -E pr=100/prompt … # requesting: ALL # with pagedResults control: size=100 # # search result search: 8 result: 4 Size limit exceeded # […]
我有一个现有的Active Directory。 其中有一些服务帐户。 这些服务帐户用于在Linux和Windows上启动应用程序。 我们的应用程序使用多种语言编写。 其中一些应用程序正在调用内部REST API提供程序。 REST API提供程序必须能够检查调用者的身份(用于启动应用程序的服务帐户)。 我们想要使用基本的身份validation。 我们不想使用Kerberos,因为我们使用不同编程语言和不同平台上的多种types的客户端。 所以我的问题是我可以采取什么解决scheme来满足上述要求? 情况如下:应用程序用他知道的一些用户名/密码调用其余的api(但密码必须不同于我无权访问的AD服务帐户的密码),并且api提供者调用AD检查他们是有效的凭据。
在LDAP客户端中,我可以将来自服务passwd,group和shadow的属性映射到客户端configuration中的LDAP,但是我找不到服务处理的属性的完整列表。 这些服务是否支持上次login时间或上次主机login等属性?
我今天跑slapindex ,发现我的openLDAP设置有问题。 具体而言,下面的警告cannot assess the validity of the ACL scope within backend naming context 。 任何人都可以更详细地解释这是试图告诉我什么? 它警告ACL吗? 似乎它试图说,因为DIT不见了,所以无法find应用ACL的方法。 test# sudo -u openldap slapindex -d 128 openldap 5a14539f => access_allowed: search access to "cn=config" "objectClass" requested 5a14539f <= root access granted 5a14539f => access_allowed: search access granted by manage(=mwrscxd) 5a14539f => access_allowed: search access to "cn=module{0},cn=config" […]