我使用pam_access和/etc/security/access.conf来限制谁可以login到我的Rhel 6.5主机。 我有一个具有不同用户群的LDAP服务器,安全人员想要一个谁可以login的列表。 我需要一个可缩放的方式来检查一个帐户是否可以login到主机。 getent密码,身份证,手指,组和我试过的每一个工具返回相同的输出,如果一个帐户被限制login或不。 passwd -S似乎不适用于LDAP帐户。 有没有办法来检查给定的帐户是否有login权限? 在Solaris上,如果用户或networking组不在/ etc / passwd中,那么这些工具都不能识别受限帐户,但在Linux上似乎完全相反。 谢谢! 编辑:这是/etc/pam.d/system-auth的帐户部分: account required pam_access.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_krb5.so account required pam_permit.so 我的木偶configuration只能做以下可能改变pam设置。 /usr/sbin/authconfig –enablemkhomedir –updateall /usr/sbin/authconfig –enablekrb5 –updateall /usr/sbin/authconfig –enablepamaccess –updateall /usr/sbin/authconfig –enablesssd –updateall /usr/sbin/authconfig –nisdomain=domainname.corp –updateall […]
我有一个Windows Server,我想用它作为域控制器,将gpo推送到位于从Solaris服务器提供的samba 3域上的工作站。 如果我将这个服务器推广到一个域控制器,这里的任何人能给我一些我应该期待的build议吗? samba域不是一个活动目录域,它是一个简单的ldap服务器,用于共享打印机和文件,并且从来没有将windows服务器用作memeber或dc。 直到最近我还没有在samba环境中工作,我需要一种集中pipe理数百台PC的方法。 任何帮助,链接或build议,将不胜感激。 谢谢
我正在努力设置OpenLDAP以允许Asterisk存储有关用户的信息。 我试图遵循几个如何,但不幸的是我无法正确设置它。 似乎大多数步骤都很好,直到我想导入一个用户。 安装OpenLDAP: yum install openldap-servers openldap-clients mkdir /var/lib/ldap chown -R ldap:ldap /var/lib/ldap cd /usr/local/src/certified-asterisk-13.1-cert1/contrib/scripts 复制星号LDAPscheme: cp asterisk.ldap-schema /etc/openldap/schema/ systemctl restart slapd.service 导入asterisk.ldif: ldapadd -Y EXTERNAL -H ldapi:/// -f ./asterisk.ldif 导入似乎在这里罚款: SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=asterisk,cn=schema,cn=config" 当我检查“/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif”中的configuration时,看到下面的configuration生成了: dn: olcDatabase={2}hdb objectClass: olcDatabaseConfig objectClass: olcHdbConfig olcDatabase: {2}hdb olcDbDirectory: […]
我用来validation活动目录上的用户凭据的方法是(简体): New DirectorySearcher(New DirectoryEntry(path, user, pass, AuthenticationTypes.Secure)).FindOne() 如果失败,则无法创buildLDAP对象,因此用户名,密码或path无效。 这适用于我当前的域,恰好与ldap连接string(上面的path)相对应。 这个authentication的范围是什么:它会在域或dmz之外工作吗?
我有一个用例,默认情况下,所有用户都在远程挂载的主目录中工作。 但是,有时候他们更喜欢在一台或多台机器上安装本地家庭,例如,由于networking太慢,数据量太大等原因。 因此,我想build立以下几点: 用户通过LDAP分发 默认情况下,用户获得他们的远程主文件夹,例如/mnt/smb/$SERVER/$USER 如果/home/$USER的主文件夹存在(符号链接或文件夹),应该select这个文件夹并将其设置为$HOME -env等。 如果需要创build一个主目录(因为它指向/home/$USER ),它应该使用ecryptfs创build 简而言之:不要在全局范围内定义用户的主目录,而要在具有默认位置的机器级别上定义。 当前状态: validation等OpenLDAP已启动并正在运行。 homeDirectory在LDAP中设置为/home/$USER 远程文件夹使用带有硬编码服务器的pam_mount挂载到/smb/$USER 如果用户想在机器上使用他的远程文件夹,他将/home/$USER符号链接到/smb/$USER 。 另一方面,如果用户需要本地home文件夹,则会手动创build一个空目录(或/etc/skel的副本)。 去做: 摆脱符号链接(如果可能的话) 可以指定主文件夹所在的dynamic远程服务器 如果没有本地文件夹或无法安装远程文件夹,则创build一个encryption的主文件夹(ecryptfs) 当试图在pam_script的帮助下实现时,我碰到了几个障碍: 脚本以root身份运行,因此只需导出一个新的$HOMEvariables不会产生任何影响 ecryptfs-utils是可怕的logging和有很多缺点。 没有可能手动指定用户的主目录。 Afaik是从远程文件夹的挂载点而不是/home/$USER getent获取的
我有CentOS6,使用LDAP用户authentication,使用OpenLDAP和SSSD。 我试图强制用户更改密码。 根据这个ServerFault的问题,我试图将ShadowLastChange设置为0 ,但是当用户使用SSHlogin时,它似乎被忽略了。 在这个问题有一个警告,它可能会导致无限循环的密码更改请求的错误,但我甚至没有得到单一的请求… 在这个问题上还有另一个build议, 试试passwordMustChange属性 但是当我尝试在我的.ldif文件中使用它时,我得到一个Undefined attribute type (17)错误 我也尝试在本地Unix用户上使用passwd -e username ,只是为了validation它是否正常工作,是的 – 当SSH用户login后,本地用户被迫更改密码。 编辑 我在OpenLDAP文档中发现了Password Policies覆盖。 应该有帮助吗? (如果是的话 – 是解决我的问题的唯一方法吗?) EDIT2 Password Policies似乎也没有帮助。 EDIT3 一个。 实际上,密码策略正在工作。 首先,我试图用hp支持提示来检查它,但ppolicy没有显示在日志文件中。 但后来我发现validation策略的好方法 – 将pwdAllowUserChange设置为FALSE ,并查看用户无法使用passwd更改密码,并从服务器收到错误消息。 或者,将pwdMaxAge更改为1 ,login并查看用户是否收到密码更改提示。 但是, pwdMustChange: TRUE仍然没有帮助。 在更改用户密码(使用JXplorer客户端或从Unix shell ldapmodify )后,用户不会收到密码更改通知。 也许我没有按预期设置密码? 他们说,在slapo-ppolicy pwdMustChange This attribute specifies whether users must change their […]
我从epel回购首次安装了lighttpd。 我更改了networking服务器的用户和组,并运行了lighttpd服务器。 我可以在一秒左右的时间内下载200张小图片。 如果我通过configurationldap启用ldap身份validation并添加下面的内容,请求开始花费1分钟,在萤幕上显示5秒暂停。 auth.require = ("/" => ( "method" => "basic", "realm" => "here", "require" => "valid-user" ) ) 这是一个已知的问题? 我已经尝试了一切,我不能让这个问题消失。 Apache处理〜等效的authenticationconfiguration没有这样的问题。 auth正在工作。 提示出现,它只接受正确的凭据。
我试图采用perl Net :: LDAP的AD服务器(w2k12)的安全连接。 脚步: $ldaps = Net::LDAPS->new('AD.server.ip', port => '636', verify => 'none', capath => 'W2K12AD-0-CA'); $binddn = "Administrator\@NAS.net"; $mesg = $ldaps->bind (dn=>$binddn, password=>'xxxx' ); 给我错误: errorMessage' => 'I/O Error An existing connection was forcibly closed by the remote host. 任何帮助将是伟大的。
我们使用LDAP进行身份validation和组织,我们有以下结构(当然,除了几个顶层): 客户端 客户端1 client1Users(用户组,成员是clientUser1) 客户端2 client2Users(用户组,成员是clientUser2) 用户 USER1 用户2 clientUser1 clientUser2 项目pipe理站点(用于按组成员资格进行validation) client1Project(成员是client1Users和user1) client2Project(成员是client2Users和user2) SVN回购(用于通过组成员身份validation) client1Repo:/:rw(成员是user1谁读写访问整个回购) client1Repo:/ trunk / specificFolder:r(成员是client1Users只读/ trunk / specificFolder的读取权限) client2Repo:/:rw(成员是user2和client2Users) 我正在寻找的是一种方法,我们可以将repos和PM站点的文本名称放入每个客户端下的对象中,而不是使用groupOfNames对象的完整DN。 我们想要防止循环引用的可能性,并且在每个客户端下创build名称对象的“资源”组需要很长的时间来处理我们拥有的用户数量。 我正在寻找一些我可以使用的东西,不是只有一个字段,我可以空间分隔值或一个对象,我可以有一个属性的多个实例(例如“成员”为groupOfNames)。 我希望不要创造一个新的东西,但我也不反对。
为了更好地理解解决scheme,这是一个例子: 公司拥有1000名不断换座的用户(计算机设置有DHCP IP,因此用户可以不断更改其IP地址)和团队(LDAP组)。 每个组(LDAP组)都可以访问特定的VLAN 如何编写基于用户ldap组的路由规则? 我想build立一个像这样工作的VPN解决scheme: VPN将仅在局域网内使用。 没有互联网或远程服务器… VPN服务器可以访问所有专用VLAN和默认用户的VLAN(1)。 我将使用LDAP服务器来validation/授权用户。 基于客户端的LDAP组,VPN服务器将允许/拒绝私有VLAN的stream量。 所以我认为,我所描述的configurationVPN将在这种情况下工作。 是否有可能使用OpenVPN来构build这样的解决scheme? 怎么样? 新的想法是受欢迎的。 谢谢。