情况是一个单独的组创build了一个LDAP域。 我们将它称为foo.bar。 (其中没有一个以任何方式连接到互联网)他们也有一个Windows域,并将其重命名为foo.bar,换句话说,他们可以将两者连接起来,以便将来成为一个域。 在这一点上我迷路了,因为我对RHEL上的LDAP不够了解。 在AD我知道,你不能只连接两个相同的名称域,并期望它的工作,因为它们是独立的实体。 我介入是因为他们想要包含我pipe理的networking(一个名为good.bar的AD域) 有人可以证实,也许提供一个为什么这不起作用的参考,是一个非常糟糕的主意?
它是这样工作的,在/etc/openldap/ldap.conf URI ldap://127.0.0.1/ BASE dc=example,dc=com TLS_REQUEST never TLS_CACERTDIR /etc/pki/tls/certs 我能够连接我们的安全ldap服务器。 因为心跳的问题,我安装openssl到0.9.8e-fips-rhel5。 现在我有“无法绑定到服务器:无法联系LDAP服务器”。 更新 感谢alxgomz提取错字。 错字意味着我的服务器总是使用证书来validation安全的ldap服务器。 “无法绑定到服务器:无法联系LDAP服务器”消息在这种情况下没有帮助,因为它不会告诉您为什么我不连接。 我实际上通过执行./path/to/ldapsearch -H“ldaps://xxx.com”得到一个有用的信息。 教训是使用不同的方式来获得更好的诊断信息。
我已经包含了一个绘图,所以你知道它是如何工作的。 (红色= LDAP连接,蓝色= HTTP / AJP在后端) 问题:我们希望将客户应用程序服务器连接到客户的LDAP(或者让他们这样做)。 现在,如果我们用应用程序服务器的公共接口来做到这一点,那么我们希望随着时间的推移禁用这个接口。 我们希望将所有需要的stream量路由到代理,并将数据包传送到目的地。 现在这也将用于其他服务,但主要的是LDAP(如果我们有LDAP的话,configuration额外的服务并不那么困难)。 我们不想redirect所有的stream量,因为我们仍然需要stream量来到我们的后端服务(数据库等)。 解决scheme将是: 从应用程序服务器启动LDAP请求。 将所有LDAP请求+stream量从应用程序服务器发送到eth1到代理eth1 将所有来自eth1的LDAP通信redirect到eth0(代理),以便能够访问Internet。 我想知道如何用IPTABLES以最安全和可扩展的方式来解决这个问题(使之自动化)。 所以我正在寻找最好的IPTABLES解决scheme来实现我们的应用服务器和代理 编辑: 使用2个stream浪箱进行testing: 主机0 =应用程序服务器主机1 =代理 仍然与此结合。 但是我越来越近了。 我的所有LDAPstream量正在发送到代理服务器,但我只是得到[S]和[S.]回来,没有连接。 这是我做的。 应用服务器: iptables -t mangle -A OUTPUT -p tcp –dport 389 -j MARK –set-mark 0x1 iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE $echo 1 LDAP >> /etc/iproute2/rt_tables $ip […]
在试图通过ssl连接到一个MS活动目录服务器,我试图运行这个: ldapmodify -vv -H 'ldaps://abc.def.com:636' -D 'cn=user,cn=Users,dc=abc,dc=def,dc=com' -f test.ldif -w 'password' -d4 我得到这个: ldap_initialize( ldaps://abc.def.com:636/??base ) TLS: certificate [CN=**********] is not valid – error -8179:Peer's Certificate issuer is not recognized.. 但是这个工作: ldapsearch -H 'ldaps://abc.def.com:636' -D 'cn=user,cn=Users,dc=abc,dc=def,dc=com' -w 'password' -b 'dc=abc,dc=def,dc=com 我的/etc/openldap/ldap.conf看起来像这样: TLS_REQCERT never TLS_CACERTDIR /etc/openldap/certs 我忽略了证书,为什么又要求?
我正在探索使用LDAP在一些RHEL 6.4盒子上authentication用户的想法。 我使用sssd和LDAP提供程序,并将nsswitch.conf文件设置为使用sss作为passwd / shadow / group。 我如何设置,以便系统用户(不是来自LDAP)可以与LDAP用户在同一个组中? 例如,我可能希望某些LDAP用户处于“svn”组中,因此他们可以访问SVN存储库。 但是我也需要SVN服务器作为该组中的用户运行,而且该用户不是来自LDAP。 这可能吗?
我试图让dovecot 2.0.19通过LDAP(OpenLDAP 2.4.28)validation用户,并使用Wireshark来debugging过程。 它看起来像dovecot的基本configuration是好的,但它并没有把它发送到LDAP服务器的正确请求。 首先,这是我的LDAP条目的外观: # ht dn: dc=ht objectClass: top objectClass: dcObject objectClass: organization o: ip dc: ht # admin, ht dn: cn=admin,dc=ht objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword:: e1NTSEF9cFY1b0ZZVUhack1aRTVvaUg1T3c2cytVWHV4aUNvaHI= # people, ht dn: ou=people,dc=ht objectClass: organizationalUnit objectClass: top ou: people # groups, ht dn: ou=groups,dc=ht objectClass: organizationalUnit objectClass: top […]
我已经成功地在Fedora VM上设置了LDAP的Bild。 问题是,bind-sdb根本不查询通配符条目。 当我这样做:nslookup doesnotexist.example.com。 127.0.0.1 LDAP服务器获取reuqest并按照我的预期做出错误的答案。 之后,多次绑定-sdb查询@条目。 我期望它做的是查询某种通配符条目。 其中一个项目(bind-dlz)将其描述为〜条目,因为LDAP在查询中使用*(或者我认为bind-sdb查询不是那么好)。 但在日志中没有这样的查询。
当LDAP用户login到系统时,他们对其主目录具有不正确的权限。 LDAP和NFS服务存在于同一台服务器上。 目录显示正确的所有权/权限: drwx——. 4 ldaptest ldaptest 4096 Jun 9 2014 ldaptest 但是UID / GID与服务器上的UID / GID不匹配 客户: bash-4.1$ id uid=10001(ldaptest) gid=10001(ldaptest) groups=10001(ldaptest) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 服务器: [root@ldap1 log]# id ldaptest uid=502(ldaptest) gid=502(ldaptest) groups=502(ldaptest) 我如何解决这个问题?
我有一个使用LDAP作为其后端的samba服务器。 只要我手动创build用户,PDC按预期工作。 这意味着如果我使用以下命令创build新用户,则可以使用用户bob在Windows计算机上login,而不会要求更改密码: sudo smbldap-useradd -a -P bob 由于我没有访问用户的明文密码,我使用ldif文件来修改用户的sambaNTPassword属性。 这是我能想出的唯一方法,因为我只提供密码的NTLM哈希值。 然而,密码然后成功更新,我可以loginWindows机器。 这里是问题:用户和他们的哈希摘要是大批提供给我的。 他们首先写入postgresql数据库。 然后,我必须运行一个脚本,从数据库读取用户列表(新用户)以及NTLM摘要。 由于这个过程应该是自动的,我必须为此目的开发一个bash脚本。 这是我的脚本运行上述命令的一部分: #!/bin/bash /usr/bin/expect <<EOD spawn smbldap-useradd -a -P $username expect "New password:" { send — "$tot\n" } expect "Retype new password:" { send — "$toto\n" } EOD 用户成功创build,我可以用它loginWindows机器。 问题是我收到以下消息: 您的密码今天到期。 你想改变它吗? 有谁从哪里来的差异? 对我来说这两种方法看起来都是一样 我的服务器:Ubuntu 12.04 LTS Samba:3.6.3 以下是用户bob的LDAP条目,当我手动创build它(手动input密码),然后更新其sambaNTPasssword属性: $ ldapsearch […]
我想在Virtual Box中将liferay连接到zimbra,我需要填写以下表单: ![捕获liferay尝试在VB中连接到ldap] 我从这个命令的输出中得到了URL和密码: zimbra@ubuntu:/home/ubuntu$ zmlocalconfig -s zimbra_ldap_password ldap_master_url zimbra_ldap_password = uGNs5PjD ldap_master_url = ldap://ubuntu.formation.com:389 请我想知道其他信息是否正常? 谢谢