我试图在Apache Directory Studio中启用SSL。 您可以看到我启用了LDAPS服务器,并且还configuration了SSLKeystore。 现在,当从我的terminal命令做一个ldapsearch。 我得到这个错误。 你能否build议采取必要的行动? 我的ldapsearch命令: ldapsearch -LLL -H ldaps://127.0.0.1:10636 -Z -b 'dc=example,dc=com' -D 'cn=Robert Smith,ou=people,dc=example,dc=com' -w '<#password#>' terminal输出: ldap_start_tls: Can't contact LDAP server (-1) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate) ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
我已经在OpenLDAP服务器上为两个不同的Active Diretoriesconfiguration了Meta数据库目录,这是工作。 但是现在我想为这个OpenLDAP设置caching,但我不知道如何。 从我的slapd.conf database meta suffix "dc=openldap,dc=domain,dc=com" rootdn "cn=Manager,dc=openldap,dc=domain,dc=com" rootpw pass chase-referrals no nretries 100 bind-timeout 1000000 在这两行之后是AD的configuration。 我发现下面的代码,但是当我使用这个或类似的configuration,我发现在Web上,并重新启动服务器与WAS在LDAPconfiguration为联邦存储库,然后WAS未启动(networking服务器是)。 但是,当我通过Softerra LDAP浏览器检查LDAP时,则可以访问LDAP。 overlay proxycache proxyCache bdb 100000 1 1000 1 proxyAttrset 0 mail telephonenumber proxyTemplate (sn=) 0 3600 proxyTemplate (&(sn=)(givenName=)) 0 3600 cachesize 20 directory /var/lib/ldap/meta index objectClass eq index cn,sn,uid,mail pres,eq,sub OpenLDAPcaching是如何工作的? 谢谢
我有一个预先存在的SQL Server数据库,其中包含由ASP.NET网站维护的成千上万个用户的login信息(用户名,密码哈希)。 我想提供一个身份validation服务,以便其他应用程序和服务器可以通过LDAP等通用协议对相同的数据库进行身份validation。 我的第一个想法是build立一个具有自定义validation模块的Active Directory服务器,但到目前为止,我还没有find关于如何完成的信息。 这甚至有可能吗? 我应该看看像OpenLDAP的其他解决scheme吗?
以下是图片中的场景,我们有一个服务器在后面,另有五个服务器(运行5个以上的应用程序)。 我们正在开发LDAP而不是基本的数据库authentication规则,我们必须手动设置它。 显然,我们有不同的angular色,如:开发者,支持,经理,董事等。 所以,我们的目标是分别授予权限。 例如。 在开发人员组中的用户可以编辑和提交,而支持人员只能查看。 如果我的观念不对,请随意。 技术: Wamp服务器2.5 Apache 2.4.9 PHP 5.5 MySQL 5.6 LDAP Ubnutu v3 以下是我的问题: LDAP是否允许用户权限机制? 或者我想要任何其他第三方软件。 如果是 – 否,我必须使应用程序能够像这样行事吗? LDAP用户/组是否与Linux sudoers用户链接? 在:visudo即/ etc / sudoers
我目前使用sssd.conf只允许login特定组中的ldap用户。 我想根据用户的组成员身份做相反的DENYlogin,同时允许所有其他不是该组成员的用户login。 这可能吗? 我目前的configuration允许基于组看起来像这样 access provider = ldap ldap_access_filter = (|(location=secure)(location=sysadm)) 我想基本上做下面的事情(位置不等于) ldap_access_filter != (|(location=secure)(location=sysadm))
我有一个具有HDFS和Hue服务的cloudera集群,我试图统一使用LDAP的身份validation。 我有我的LDAP服务器运行得益于389-ds(不知道是否是最好的方式),我可以login到用户从LDAP服务器Hue。 当我第一次login时,Hue在HDFS中创build主目录。 但是当我将用户添加到LDAP服务器时,没有使用我设置的UID。 如果我只是通过Hue访问HDFS,但是我也有一台通过NFS安装的HDFS的机器,这不会是个问题。 我也遇到了问题,使用NFS挂载在机器上添加LDAPauthentication。 我可以做su username (用户名是LDAP服务器中的用户),系统添加了主目录,但是我无法通过使用LDAP用户的SSH进行身份validation。 我需要这个来避免添加本地用户。 我的主要问题是:如何强制HDFS或Hue使用我创buildLDAP用户时设置的相同UID。 更多细节: 我已经在cloudera中为Hue和Hadoopconfiguration了LDAP(不知道后者是否正确使用了它)。我知道我可以,也许可以在第一次login时将UID后验更改为由Hue设置的UID,但更多的是解决方法比干净的解决scheme。 图片: 在这个例子中,马铃薯用户有一个uid 10104,但是如果我在NFS挂载中执行ls -la /users/potato ,则表示该文件夹属于uid 3312528423的用户。
我们已经从Linux上的openldap服务器迁移到Windows 2008上的DirX。ldap服务器和正常的serch请求按预期运行。 但是,有些应用程序(weblogic部署的webapps)会导致性能问题。 我们追踪了networking活动,发现当客户端发送“放弃”操作时,ldap服务器发送并确认具有0.1-0.2s的RTT。 我们不是100%肯定的,但我们认为这是performance冲击的来源。 我们看到的交互有270个放弃,179个ACKS的RTT> 0.2s。 不是很熟悉TCP,我有以下问题: 响应于接收到分组而发送的ACK独立于接收者将花费多长时间来处理发送的数据。 这发生在收件人甚至收到传入的有效负载之前的tcp级别(在我们的情况下放弃)。 对? 所有其他交互说searchrequest / searchresponse在有效载荷数据包有ack。 这是“延迟了”? 他们只需要约0.01秒,这包括有效载荷和可能的计算。 那么为什么单个的ACKS被放弃呢? 或者像这样提出问题:什么时候发送个人ack而不是合并ack +数据? 657 9.2943 ldapserver ldapclient LDAP 170 searchResDone(57) 658 9.2948 ldapclient ldapserver TCP 66 18367 > 389 [ACK] Seq=10007 Ack=19799 Len=0 659 9.2954 ldapclient ldapserver LDAP 1009 searchRequest(134) 660 9.2972 ldapserver ldapclient LDAP 630 searchResEntry(134) 661 9.2973 […]
我试图让OpenLDAP主服务器使用LDAP后端作为代理对远程OpenLDAP使用者执行只推复制。 主人将能够到达奴隶,但奴隶不能到达主人。 我的问题是,我在复制过程中遇到LDAP约束错误 Dec 12 11:51:27 rhel7 slapd[1417]: syncprov_search_response: cookie=rid=100,csn=20141211222736.923231Z#000000#000#000000 Dec 12 11:51:27 rhel7 slapd[1417]: do_syncrep2: rid=100 LDAP_RES_INTERMEDIATE – SYNC_ID_SET Dec 12 11:51:27 rhel7 slapd[1417]: syncrepl_message_to_entry: rid=100 DN: dc=example,dc=com, UUID: 56f70834-13d3-1034-9c4b-b9373d9331cc Dec 12 11:51:27 rhel7 slapd[1417]: syncrepl_entry: rid=100 LDAP_RES_SEARCH_ENTRY(LDAP_SYNC_ADD) Dec 12 11:51:27 rhel7 slapd[1417]: syncrepl_entry: rid=100 be_search (0) Dec 12 11:51:27 rhel7 slapd[1417]: syncrepl_entry: rid=100 […]
首先,我从来没有做过任何Nagios或LDAPconfiguration,我曾经像往常一样倾向于这种情况,所以原谅我对这些事情不可避免的无知,但我一直在挖掘一段时间关于这个问题的地方,我现在相当坚定地坚持。 当我去URL拉起Nagios核心terminal,它提示我login当前configuration,我已经做了检查对LDAP的,因为我想它但用户名是对用户的全名(Distinguished Name?)进行身份validation。 例如,如果我是名为John Doe的用户,则可以使用以下凭据login: 用户名:'John Doe'密码: 作为用户名,用完整的大写和空格填写完整的名字显然是不理想的。 在系统的其他地方,LDAP使用标准化的用户名进行authentication。 在John Doe的情况下,这将是'jdoe'。 我需要在Nagioslogin中的这个行为。 我认为我追查了负责任的服务器(运行Linux 2.6.18-308.13.1.el5,CentOS版本5.8(最终))的configuration文件。 它是/etc/httpd/conf.d/nagios.conf。 这是该文件的匿名内容的一部分,<>中的任何内容实际上都在那里,除了上述问题外,还可以正常工作: # SSLRequireSSL Options ExecCGI AllowOverride None Order allow,deny Allow from all # Order deny,allow # Deny from all # Allow from 127.0.0.1 # AuthName "Nagios Access" # AuthType Basic # AuthUserFile /usr/local/nagios/etc/htpasswd.users # Require valid-user AuthType Basic AuthName "SST/Nagios" […]
我最终成功地将Apacheconfiguration为我的应用程序的SPNEGO反向代理,并使用AUTHORIZE_SAMACCOUNTNAME , AUTHORIZE_CN和AUTHORIZE_MAIL来找出有关login用户的一些信息。 但这只是第一步。 目前,我正在使用通用规则,例如Require ldap-group cn=General Group,cn=Users,dc=example,dc=com ,但是我真正需要的是多个规则,每个组都有一个规则。 即 <RequireAny> Require ldap-group cn=Regular Users,cn=Users,dc=example,dc=com Require ldap-group cn=Managers,cn=Users,dc=example,dc=com Require ldap-group cn=Admins,cn=Users,dc=example,dc=com </RequireAny> 这个configuration工作,但我需要知道哪些Require指令通过。 我的最终目标是将像X-Auth-Rule这样的自定义标题设置为不同的值,例如Regular , Manager或Admin 。 有没有办法做到这一点? ps在有人提出这个build议之前,我知道我可以从代理应用程序中获取sAMAccountName并自己查询LDAP,但是我正在寻找替代scheme。