当用户更改其OD密码(在OS Xlogin屏幕或系统首选项)时,我遇到了50多个工作站(10.9和10.10)的问题。 密码更改服务器上的更新,但是如果用户没有立即重新启动他们的工作站(以及他们有一个用户帐户的每个工作站),在接下来的几个小时内,工作站将通过几十个身份validation尝试一个不正确的密码(或Kerberos票据,似乎),即使他们从机器注销。 当然这会达到最大的失败尝试,并有效地locking用户。 如果他们重新启动他们有一个用户帐户的每个工作站(移动用户或只是以前login到该计算机的常规networking用户),这不会发生。 当然,这导致我们假设某种密码(或票)的caching正在发生,但在哪里,什么? 有没有解决方法? 更新: 我相信我已经把authentication的尝试追溯到KCM。 看似随机的KCM每隔几分钟(实际上每137秒)开始运行一次,最初几次返回“Success”(在accountpolicy.log中),然后开始返回“Failed Authentication Policy”。 在此特定实例中,“成功”响应的数量等于允许的失败login尝试次数。 然后出现“失败的身份validation策略”响应。 所以它似乎相关。 我需要再次发生失败。 所以我现在的问题是: 是什么使KCM开始运行(12小时以上,有些情况下还没有运行)? 为什么KCM触发locking?
使用Open Directory(从10.8)升级到OS X 10.10客户端和服务器后,我们得到了一个有趣的新问题。 当用户更改密码时(使用系统偏好设置或在login屏幕上),似乎Kerberos凭据不刷新/刷新/更新。 所以,当它们到期时,试图更新它们(10小时后)触发我们的最大失败尝试限制并locking用户。 我可以看到, kcm守护进程是10小时后运行的,最终导致了locking。 我可以看到使用klist密码更改不会更新凭据。 此外,caching的凭据(在7天的窗口内)似乎导致用户使用的任何机器(我们的用户移动很多)。 所以这不仅仅是在密码改变的机器上发出kdestroy的问题。 任何想法发生了什么? 为什么OD能够在目录中的所有机器上同步所有内容? 我只需要禁用凭证caching? 这在10.9之前是不是一个问题?
我正在开发第三方Java应用程序,我需要使用Active Directory对其用户进行身份validation。 此应用程序托pipe在RHEL 6.5上,并使用LDAP通过Windows Active Directory进行身份validation。 AD服务器已经build立,并且与早期版本的应用程序(已configuration为启用集成)工作正常。 对于较新的版本,供应商已经规划了一些步骤来修改/configuration应用程序文件以连接到AD服务器,并期望帮助我们进行身份validation。 应用程序的组件之一是CAS,它当前被configuration为使用数据库作为其身份validation处理程序。 当我们input凭据 – 用户名:abcd,密码:samplepswd,我们能够成功login。 由于业务需求是使用LDAP使用Active Directory进行身份validation,因此我们必须修改CAS属性文件。 根据产品供应商的说明,我们更改了以下属性以使用ldap – authenticationHandler.type=ldap ldapSSLConfig.enabled=false ldapContextSource.url=ldap://sample.ADserver.example.net:389 ldapContextSource.userDn=abcd ldapContextSource.password=samplepswd ldapAuthenticationHandler.filter=uid=%u ldapAuthenticationHandler.searchBase=OU=DEF,OU=PQR,OU=XYZ,DC=ADserver,DC=example,DC=net 我们还需要对casAuthConfig xml文件进行以下属性的更改(因为不支持匿名search):1. anonymousReadOnly,value设置为false 2. java.naming.security.authentication,value设置为simple 有规定也可以使用SSL上的ldap,但目前我们没有使用。 但是,如果我们使用SSL,则必须对以下属性进行其他更改: ldapSSLConfig.enabled=true ldapSSLConfig.trustStorePath=/home/dir1/subdir1/subdir2/keystorename.keystore ldapSSLConfig.trustStoreType=jceks 这些是在我们(客户端)完成的唯一configuration更改; 实际上只做了一些改变。 服务器(AD服务器)上除了另一个用户以外没有添加/修改任何内容,但是这对现有设置没有影响。 重新启动cas以反映更改后,我们会遇到错误的凭据错误,虽然input的值是正确的: 2015-09-16 12:12:30,558 INFO [com.emeter.cas.authentication.support.DelegatingAuthenticationHandler] – Authenticating credential using handler com.emeter.cas.adaptors.ldappwd.BindLdapAuthenticationHandler 2015-09-16 12:12:30,558 DEBUG [com.emeter.cas.authentication.support.DelegatingAuthenticationHandler] – credentials.getUsername() = abcd […]
我有一个Centos 7服务器的专用networking。 每个服务器只能通过SSH堡垒到达。 而且,所有这些服务器都使用SSSD来针对LDAP目录validationSSH用户的密钥。 由于密钥是针对LDAP目录进行身份validation的,因此没有标准的authorized_keys文件。 二进制文件/usr/bin/sss_ssh_authorizedkeys不是通过一个标准的authorized_keys文件来pipe理一个针对LDAP的查询, sshd格式化为一个authorized_keys文件 – 但实际上并不是一个文件。 因此,就我所知,通过将RSA键绑定到commands=" … "条目来限制用户到特定的命令是不可能的。 SSH用户可以使用以下命令通过堡垒authentication他们的工作站: ssh -A -l [email protected] joes.workstation.ip -o ProxyCommand="ssh -l [email protected] -q bastion.ip nc joes.workstation.ip %p" 不幸的是,他们也能够在堡垒服务器上进行SSH会话,这是我不希望他们能够做到的。 无论如何,我可以使用我当前的工具 – SSSD,SSHD,一个LDAP目录 – 允许SSH用户通过堡垒,但不能进入堡垒?
我试图解决与我们的git服务器冻结问题。 我们在专用Windows Server 2012 R2标准虚拟机上运行Atlassian Stash 。 服务器有时(每周几次)会冻结几分钟。 冻结似乎只影响连接的git客户端; 机器上的其他活动运行良好。 我们仍然可以使用远程桌面来访问这个盒子。 任务pipe理器显示很less的CPU活动和可以忽略的磁盘和networkingIO数量。 我们已经注意到,该机器正在与工作站进行出站LDAP连接,而不是任何Active Directory域控制器,而是连接到笔记本电脑。 显然笔记本电脑不会回应,所以连接挂起,直到超时。 一旦超时,正常的git服务恢复。 至less,直到下一次。 我们已经validation了networking连接是由Tomcat(Stash的应用程序主机)发起的。 什么会导致此服务器尝试build立到不是Active Directory控制器的计算机的LDAP连接? Stash的目录服务configuration仅列出本地Active Directory域控制器,但我们注意到还有多个到其他有效的域控制器的出站连接。 机器如何发现这些其他域控制器? 这种机制可能解释为什么它试图与笔记本电脑谈话?
我正试图让ldaps与openldap一起工作。 我有一个为此域颁发的通配符ssl证书,并使用ldapmodify将相关文件添加到cn = config,如此处所示。 一旦我完成了这个,我无法重新启动OpenLDAP。 我完成了OpenLDAP的设置,并确认可以使用ldap成功绑定。 我在端口为389和636的AWS EC2实例上使用Ubuntu 14.04 TLS。 一些诊断: /etc/init.d/slapd重启 restart * Stopping OpenLDAP slapd [ OK ] * Starting OpenLDAP slapd [fail] slapd -u ldap -g ldap -d 65 563e5b20 @(#) $OpenLDAP: slapd (Ubuntu) (Sep 15 2015 18:19:13) $ buildd@lgw01-53:/build/openldap-2QUgtL/openldap-2.4.31/debian/build/servers/slapd ldap_pvt_gethostbyname_a: host=ip-172-31-62-171, r=0 563e5b20 daemon_init: listen on ldap:/// 563e5b20 daemon_init: 1 listeners […]
我在同一个问题上经历过类似的post,却找不到正确的答案。 我需要强制所有LDAP用户在第一次login时更改pipe理员设置的默认密码。 我已经尝试了用户属性中的pwdReset:TRUE选项,并且在默认ppolicy中使用了pwdMustChange:TRUE 。 两者都没有帮助解决这个问题。 请build议的方式,因为我可以如何强制用户在第一次login时更改自己的密码(在pipe理员重置密码之后)。
我有一个服务,使用LDAP目录(匿名绑定)来获取用户和他们的密码,以执行身份validation。 问题是,我已经意识到,即使我在密码后面放置字符,我也可以与用户一起login。 作为一个例子,让user1的密码被passwd 。 我的意思是我可以使用服务,如果我inputuser1和密码,但我也可以input,如果我inputuser1和passwdwdwd 。 只要第一个字符是我可以input的真实密码,但我之后键入其他字符。 另一方面,如果我在真实密码之前input字符,则无法使用该服务。 我们在SUSE Linux Enterprise Server 11 SP2中安装了OpenLDAP 2.4.26 slapd的configuration是这样的: include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/rfc2307bis.schema include /etc/openldap/schema/yast.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args access to dn.base="" by * read access to dn.base="cn=Subschema" by * read access to attrs=userPassword,userPKCS12 by self write by * auth access to attrs=shadowLastChange by […]
我在通过IBM XIV上的LDAP(Active Directory)Windows 2008 R2validation用户方面存在问题。 排除故障后,我发现CommonName中的波兰语字母(distinguishedName包含CN) CN中没有波兰字母的用户可以正常工作。 这里输出XCLI会话XIVlogin没有波兰字符CN XIV >> ldap_test user = [email protected] password = p4ssword 命令执行成功 这里输出XCLI会话,在CN中input波兰语 XIV >> ldap_test user = [email protected] password = p4ssword 错误:LOGIN_FAILURE_USER_NOT_AUTHENTICATED_BY_LDAP_SERVER 详细信息:用户[email protected]未通过LDAP服务器“dc.domain.com” 我已经google'd很多,但是…没有发现什么特殊的文件只有ASCII字符只允许: http ://www-01.ibm.com/support/knowledgecenter/SSAW57_7.0.0/com.ibm.websphere.nd 。 DOC /信息/ AE / AE / csec_chars.html 我不知道我现在可以做什么…任何人有想法如何得到它与特殊的波兰信件工作? 我不想在我的AD:s中把CN改成非波兰字母
我从ApacheDS(2.0.0-M21)得到这个错误: ERR_04447_CANNOT_NORMALIZE_VALUE Cannot normalize the wrapped value ERR_04473_NOT_VALID_VALUE Not a valid value 'gu\C3\AApes' for the AttributeType 'attributetype ( 1.3.6.1.1.1.1.12 NAME 'memberUid' 当试图“ldapadd”一个LDIF条目如: # Admins, Groups, example.com dn: cn=Admins,ou=Groups,dc=example,dc=com objectClass: posixGroup cn: Admins gidNumber: 10002 description: Group account memberUid: john memberUid: gu\C3\AApes 用户导入罚款(见下文)。 我猜问题是“memberUid”必须是ascii“String(IA5)”,而“uid”是允许的Unicode。 看来MS Active Directory的架构是一样的: https://msdn.microsoft.com/en-us/library/ms677101(v=vs.85).aspx https://msdn.microsoft.com/en-us/library/ms680508(v=vs.85)的.aspx 为什么“memberUid”与“uid”不一样? # guêpes, people, example.com dn: uid=gu\C3\AApes,ou=people,dc=example,dc=com […]