我用postfix设置了LDAP访问。 ldapsearch -D "cn=postfix,ou=users,ou=system,[domain]" -w postfix -b "ou=users,ou=people,[domain]" -s sub "(&(objectclass=inetOrgPerson)(mail=[mailaddr]))" 提供正确的条目。 LDAPconfiguration文件看起来像 root@server2:/etc/postfix/ldap# cat mailbox_maps.cf server_host = localhost search_base = ou=users,ou=people,[domain] scope = sub bind = yes bind_dn = cn=postfix,ou=users,ou=system,[domain] bind_pw = postfix query_filter = (&(objectclass=inetOrgPerson)(mail=%s)) result_attribute = uid debug_level = 2 bind_dn和bind_pw应该和我上面用ldapsearch一样。 不过,调用postmap不起作用: root@server2:/etc/postfix/ldap# postmap -q [mailaddr] ldap:/etc/postfix/ldap/mailbox_maps.cf postmap: warning: dict_ldap_lookup: /etc/postfix/ldap/mailbox_maps.cf: Search […]
我有一个web应用程序(使用Zend Framework – PHP构build),运行在需要在Windows服务器上针对Active Directory进行身份validation的Linux环境中运行。 到目前为止,我的webapp可以用LDAPS进行身份validation,但不能执行任何types的写入操作(添加/更新/删除)。 它只能读取。 我已经configuration我的服务器,如下所示: 我已将Windows证书从我的Windows AD服务器导出到/ etc / opendldap / certs 我已经使用openssl创build了基于此证书的pem文件 我有更新/etc/openldap/ldap.conf,以便它知道在哪里寻找pem证书: TLS_CACERT /etc/openldap/certs/xyz.internal.pem 当我运行脚本时,出现以下错误: 0x35 (Server is unwilling to perform; 0000209A: SvcErr: DSID-031A1021, problem 5003 (WILL_NOT_PERFORM), data 0 ): 我错过了什么与我的configuration,这是导致服务器拒绝更新到AD?
我已经整合了PAM与LDAPauthentication。 Q-如何限制一些用户login到某些Linux服务器。 例如,我们已经使用PAM LDAP auth将100台Linux服务器集成到组织中,我们在LDAP中有大约600个用户,现在我们需要限制某些Linux服务器的帐户。 目前所有用户都可以login到所有的Linux服务器。 请让我知道,如果你有任何解决这个问题。 请与我分享也要做的步骤。 谢谢
我在我的红帽企业Linux 5.8服务器上有一个给定的用于身份validation的LDAP服务器。 我得到了连接到LDAP服务器的工作,我能够通过LDAP用户“用户名”login到Linux服务器。 现在我希望只有来自一个LDAP组的用户才能login到我的RHEL服务器。 我尝试通过在/etc/ldap.confconfiguration以下内容来完成此操作: pam_groupdn cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=sbb,dc=CH pam_member_attribute AppRoles 当我尝试login后configuration这个我得到以下消息: “您必须是cn = RW的AppRoles,ou = ApplRoles,ou = App,ou =应用程序,dc = sbb,dc = CH”。 但是,当我浏览LDAP服务器时,我发现用户是这个组的一部分: # ldapsearch -h ldapi.company.ch -D cn=binduser,ou=Administrators,dc=company,dc=CH -w bindpw -b dc=company,dc=ch -x "(cn=username)" AppRoles companyAppRoles: cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH 请求和答案在Wireshark中看起来像这样(由Linux服务器上的tcpdump转储): 请求(来自Wireshark转储): LDAPMessage compareRequest(5) "cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH" messageID: 5 protocolOp: compareRequest (14) compareRequest entry: cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH ava attributeDesc: AppRoles assertionValue: […]
我有一个服务器,用户不能通过SSHlogin,但可以通过SFTP上传文件。 这个服务器有一个用户ldap数据库,ssh和sftp用ldapconfiguration,所以ldap用户都不能通过sshlogin,但是可以通过sftp上传文件。 但是现在我想做另一件事情:我想让一个指定的ldap用户通过sshlogin。 那可能吗? 有没有这个工作的机会? 我尝试用sshd_config中的AllowUsers,但它似乎不工作。 非常感谢!
我试图让某个LDAP组的成员进入我通过Apache托pipe的站点。 我已经阅读了这个文档,但是由于缺乏LDAP技能,我无法确定如何完成这项工作。 我有以下LDAP结构的组: dn: cn=icinga,ou=Groups,dc=mydomain,dc=no objectClass: groupOfUniqeNames objectClass: top uniqeMember: uid=someuser,ou=People,dc=mydomain,dc=no uniqeMember: ….. <more of these> 我的顶级看起来像这样: dn: dc=mydomain,dc=no objectClass: dcObject objectClass: organization objectClass: top dc: mydomain o: mydomain 所以,我试过的是这个Apacehe-configruation: AuthName "Icinga Access" AuthType Basic AuthBasicProvider ldap AuthLDAPURL "ldap://myldapserver/ou=Groups,dc=mydomain,dc=no?uid" AuthLDAPBindDN "MYBINDDN" AuthLDAPBindPassword "XXXXXX" AuthzLDAPAuthoritative off require ldap-group cn=icinga 而且,它不起作用,因为显然我做错了..但是,当在AuthLDAPURL指令中使用ou=People时,我确实设法使用LDAP进行身份validation,并且require ldap-user user otheruser foo才能完成此操作,但这并不能很好地…
我有一个Windows服务,在我们的Web应用程序的应用程序池相同的凭据下运行。 当我login到Web应用程序时,LDAP身份validation正常工作。 但是,当我调用Windows服务中实现的API传递相同的凭据时,LDAP服务器返回“无效的凭据”错误 Windows服务使用调用相同的LDAP服务器的相同的DLL。 我是否缺less我的Windows服务的任何configuration/权限? 该服务目前与ISS托pipe在同一个框中。 提前致谢
我想要完成的是如果我改变LDAP中的用户属性没有壳; 例如:/ etc / noshell,我不希望用户ssh成功。 我改变了一个用户的属性: # check62, people, wh.local dn: uid=check62,ou=people,dc=wh,dc=local uid: check62 cn: Johnny Appleseed objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e1NTSEF9dklpL2pQcWtNWDBFSUs1eUVDMUMxL2FjWHdJNGRuUXY= shadowLastChange: 15140 shadowMax: 99999 shadowWarning: 7 uidNumber: 6002 gidNumber: 6002 homeDirectory: /home/check62 loginShell: /bin/noshell # check62, group, wh.local dn: cn=check62,ou=group,dc=wh,dc=local objectClass: posixGroup objectClass: top cn: check62 gidNumber: 6002 […]
我有一个非现场安全的数据中心托pipe的活动目录实例。 该活动目录允许我的SharePoint用户进行身份validation 我有组织中的所有用户的谷歌应用程序的电子邮件等…我有jira钩到谷歌应用程序进行身份validation 我有现场,主要是Linux服务器,只是Windows客户端。 我希望能够保持所有这些系统同步,所以用户有一个统一的用户名和密码。 到目前为止,我可以设置DirSyncGoogleApps插件,以保持谷歌的LDAP与AD同步,但什么是有道理的我的Linux服务器和Windows客户端? 我想指出如何统一这个基础设施。
我有一个RHEL 6上的Apache服务器,它使用我们的活动目录进行身份validation,当我们添加一个新的“LocationMatch” AuthLDAPURL ldap://ad.company.com/DC=ad,DC=company,DC=com?samaccountname?sub?(memberOf=CN=RnD,CN=Users,DC=domain,DC=com) 在这个位置我们得到错误500 在其他地点匹配: AuthLDAPURL ldap://ad.company.com:389/OU=MA,DC=ad,DC=company,DC=com?samaccountname 它完美地工作。