我们有一个Java LDAP客户端与AD进行SSL连接。 有时连接会挂起,客户端和服务器会如下所示连续重新发送客户端密钥交换和ACK数据包,并在大约5分钟后最终超时。 对此行为的任何可能的解释和解决scheme。 client —— Client Key Exchange ———————-> Server client —— Client Key Exchange(Re-transmission)——> Server client <—– ACK ————————————— Server client —— Client Key Exchange(Re-transmission)——> Server client <—— Dup ACK ——————————— Server client —— Client Key Exchange(Re-transmission)——> Server client <—— Dup ACK ——————————— Server WireShark ScreenShot: http ://img59.imageshack.us/img59/6431/p63e.png
我想知道如何整合我的数据库,网页,备份等..与Zimbra LDAP服务器的Centos服务器。 它是否需要比标准ldap身份validation更高级的configuration? 我的zimbra服务器版本是 [zimbra@zimbra ~]$ zmcontrol -v Release 8.0.5_GA_5839.RHEL6_64_20130910123908 RHEL6_64 FOSS edition. 我的LDAP服务器状态是 [zimbra@ldap ~]$ zmcontrol status Host ldap.domain.com ldap Running snmp Running stats Running zmconfigd Running 我已经安装了nss-pam-ldapd软件包到我的服务器。 [root@www]# rpm -qa | grep ldap nss-pam-ldapd-0.7.5-18.2.el6_4.x86_64 apr-util-ldap-1.3.9-3.el6_0.1.x86_64 pam_ldap-185-11.el6.x86_64 openldap-2.4.23-32.el6_4.1.x86_64 我的/etc/nslcd.conf是 [root@www]# tail -n 7 /etc/nslcd.conf uid nslcd gid ldap # This comment prevents repeated auto-migration […]
我有一个名为“AZone”的Solaris 11.1区域。 我已将该区域join到Active Directory域(Windows Server 2008),目标是用户能够使用其AD帐户login到Solaris区域。 在经历了很多头疼和kerberos,LDAP和PAM周围,我真的得到它的工作! 但是,我有一个问题,作为AD用户login有时会失败… 我在AD上设置了一个名为“jpublic”的虚拟用户。 我知道jpublic大部分时间都可以成功login到azone(我正在使用SSH)。 但是,在没有AD用户loginAZone的一段时间后,jpublic的login尝试将首次失败。 然后,如果我立即尝试以jpubliclogin,它就可以工作。 我打开了PAM日志logging,这是迄今为止我在这个问题上唯一的领先。 在授权日志中,在login失败的时候,我得到了这三条消息,接着是正常的PAM加载消息: Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Illegal user jpublic from 192.168.160.161 Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] input_userauth_request: illegal user jpublic Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Failed none for <invalid username> from 192.168.160.161 port […]
有什么办法可以为每个新创build的系统用户设置和创build一个默认组,所以他属于它自己的用户组? 我的意思是,当创build一个user foo我想自动创build一个group foo也将这个用户添加到他的default foo组。 先谢谢了。
我有一个从主LDAP存储进行同步的系统。 随着目录的增长,同步过程变得越来越长。 我不得不每小时停止一次同步,并把它转移到一夜之间。 但是这会导致更多的“你有一个帐户,但我看不到它”的问题。 我想向LDAP查询添加一个参数,告诉系统只提取过去一小时修改的logging,并且每小时运行两次; 高效便捷。 不幸的是,我只能找出如何过滤绝对时间戳,如(modifyDateStamp>=201311210000.u) ,但不是相对的时间。 我们正在使用的系统不能build立一个dynamic创build的查询,所以我不能生成一个新的UTC时间戳每次运行。 这个问题的答案只提到使用UTC时间,所以我很悲观。 有解决scheme吗?
我已经在centos 6上build立了hadoop 1.2.1环境。我还使用nfs-proxy将ndfs挂载到本地文件系统,以便我可以在本地访问hdfs内的文件。 直到今天,它完美的工作,我被要求将用户authentication与LDAP集成。 由于某种原因,我必须更改一些现有的Unix用户的UID,并将这些新的UID存储在LDAP中。 更改后,hdfs似乎无法获得用户的新用户,即,当我把一个新的文件给hdfs时,它仍然使用旧的uid将文件存储在hdfs中。 我知道,因为当我从hdfs的本地挂载点检查新文件的uid时,它显示了旧的uid。 而且我不能访问本地文件系统上的文件,因为它属于不同的用户。 我有testing重启hadoop,但没有效果。 任何build议?
我不是LDAP专家。 我需要运行一个ldapsearch来确定组中的成员资格…我已经读了这个,并成功得到一个简单的ldapsearch运行,显示用户信息…所以我试图构造一个组“memberOf”查询…没有快乐…我运行查询,它说“成功”,但没有返回任何数据..我已经尝试了这个与许多gorups,所以我确信有我正在查询的组中的成员….没有一次我有任何数据返回…这是我正在运行的最新查询: ./ldapsearch \ -h one.two.three.com \ -b dc=one,dc=two,dc=three,dc=com \ -D 'XX-Sub\myuid' \ -w 'pswdxxx' \ "(&(objectCategory=user)(memberOf=DN=dba_grp))" \ distinguishedName 我已经抛弃了ldap info(objectclass = *),并没有看到我省略的任何东西,但是我不太了解某些东西是什么意思,比如域,子域等等(也就是它们的含义ldap的angular度来看,我知道他们是什么意思之外的ldap)如果需要我可以发布一个消毒版本的configuration设置,或任何,但我不能张贴真正的命名链接等(我敢肯定每个人都知道这一点)。 我真的试图自己解决这个问题,而且已经有好几天了……我还在寻找委员会等,但是如果有人能够帮助我专注于这个问题,我会很喜欢它,所以我可以成为一个更有信心我至less朝着正确的方向前进…非常感谢…
我开办了办公室,我需要集中login和主目录工作。 由于所有的工作站都要运行Arch和不同LDAP版本的问题,我最终得出的结论是LDAP服务器也需要Arch。 我已经在服务器和工作站上完全安装了Arch。 都有Arch的“base”和“base-devel”软件包组,安装了NTP,OpenSSH和OpenLDAP,服务器也有nss-pam–ldapd。 现在已经很多了。 我遵循https://wiki.archlinux.org/index.php/OpenLDAP,但必须以不同的方式执行以下操作(并且尚未设置SSL或TLS): 在复制DB_CONFIG.example之前,我运行了updatedb,并使用了locate DB_CONFIG 我必须用-u选项运行slaptest来禁止数据库警告 在运行slaptest之后,我在/etc/openldap/slap.d上做了chown -R ldap:ldap systemctl启动slapd失败,所以sudo slapd -u ldap -g ldap,但sudo slapd工作。 运行sudo slapd后,我杀了slapd和chown -R ldap:ldap / var / lib / openldap但是systemctl启动slapd仍然失败。 后chown -r ldap:ldap / etc / openldap我终于可以使用systemctl启动slapd了……我认为这是当ldap用户启动时不能被ldap读取的模式文件夹。 遵循https://wiki.archlinux.org/index.php/LDAP_Authentication 我没有启动或启用nscd 我现在可以在工作站上用LDAP用户login,并且可以使用我的rootdn更新目录。 问题:用户不能使用passwd更改密码。 LPAD返回: password change failed: Insufficient access /etc/slapd.conf(在服务器上): include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema […]
我试图与AD DS条目同步我的AD LDS实例(本地主机:50006)(基本上试图从AD DS中获取用户和计算机帐户,以便我可以在我的LDS实例中使用Windows安全主体)。 我一直在跟随http://technet.microsoft.com/en-us/library/cc770408.aspx和_http://blogs.msdn.com/b/jeff/archive/2007/04/01/synchronize-active-目录到adam与adamsync-step-by-step.aspx做同步,并得到Ldap错误发生。 ldap_add_sW:命名违规。 扩展信息:00002099:NameErr:DSID-030510C6,问题2005(NAMING_VIOLATION),数据0,最好匹配:'CN = Test,DC = COM' 任何想法如何分析或debugging真的有用:)(请参阅下面的所有细节) 更新 看起来像我需要更新架构与posssuperiors( http://blogs.technet.com/b/efleis/archive/2005/09/14/syncing-to-our-ou-synctargetou-nc-instead.aspx )。 我会更新你的工作。 来自日志的错误细节 Processing Entry: Page 1, Frame 1, Entry 48, Count 1, USN 0 Processing source entry <guid=2b4f58a3ba5a3246b1fd59594d2d4c4f> Processing in-scope entry 2b4f58a3ba5a3246b1fd59594d2d4c4f. Adding target object CN=Builtin,CN=Test,DC=COM. Adding attributes: sourceobjectguid, objectClass, instanceType, showInAdvancedViewOnly, creationTime, forceLogoff, lockoutDuration, lockOutObservationWindow, lockoutThreshold, maxPwdAge, minPwdAge, […]
我必须在Ubuntu 12.04服务器上设置一个外部匿名可访问的LDAP目录,并且我想要将authentication和内部数据保存在不同的子树中。 LDAP布局示例 dc=example.com,dc=com organizationUnit: ou=hie_ext,dc=example,dc=com organizationUnit: ou=group1,ou=hie_ext,dc=example,dc=com inetOrgPerson: cn=user1,ou=group1,ou=hie_ext,dc=example,dc=com inetOrgPerson: cn=user2,ou=group1,ou=hie_ext,dc=example,dc=com organizationUnit: ou=group2,ou=hie_ext,dc=example,dc=com organizationUnit: ou=group_auth,dc=example,dc=com account: uid=group1,password=XXX,ou=group_auth,dc=example,dc=com 这个想法是uid = group1 auth将能够在ou = hie_ext,ou = group1下添加/编辑(“写”基本上)条目。 我尝试了一个像这样的ACL规则: access to dn.children="ou=hie_ext,dc=example,dc=com" by set="this/ou & user/uid" write by * none 当我使用slapacltesting写权限的时候,如果我testing的话,我会得到“允许” "ou=group1,ou=hie_ext,dc=example,dc=com" 但是当我testing时“拒绝” "cn=user1,ou=group1,ou=hie_ext,dc=example,dc=com" 这对我来说似乎有些</s> </s>。 我可能忽视了一些显而易见的事情(在这一点上,我对LDAP很绿)。 对slapacl运行“-d trace”选项并没有什么帮助,因为我不知道我在看什么。 🙂 更新: 所以,虽然“-d trace”对我来说太有用了,我已经意识到“-d acl”这可能会更有帮助。 所以如果我跑步 slapacl -f […]