我有一个关于我的用户身份validation方式的小问题。 我的debian 7使用/etc/libnss-ldap.conf连接到LDAP服务器 我有一些本地用户和一些ldap用户。 在nsswitch.conf文件中,我希望用户首先在“文件”中search,而在“文件”中找不到“ldap”。 问题是对于做监视的本地用户(nagios),我的检查有一些超时。 当我尝试“suagios”时,需要很多时间! 当我尝试“strace su nios”时,我可以看到有很多对LDAP服务器的请求,为什么呢? 这里是nsswitch的内容: passwd: files [SUCCESS=return] ldap group: files [SUCCESS=return] ldap shadow: files [SUCCESS=return] ldap hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup:nis 我怀疑站在/etc/pam.d文件中的东西。 这里是一些文件的内容: 普通账户: account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so broken_shadow account [success=1 default=ignore] pam_ldap.so account […]
这里有一个问题。 我有一个域名(AD),我需要通过ADloginSVN用户。 DC:10.20.3.30 Svn服务器在freebsd上,它不在域中 Apache 2.4 AD读取用户:OU SVN中的“svnr”。 Svnr用户testing,并可以login到域。 Apache加载的模块:mod_ldap,mod_authnz_ldap,mod_authz_svn,mod_dav_svn 在相同的服务器lighsquid通过NET :: LDAP从AD读取用户。 Svn使用文件身份validation。 正好。 如果我尝试login与任何域用户拒绝和Apache日志显示“密码不匹配”。 httpd-vhosts.conf <VirtualHost *:80> ServerAdmin [email protected] DocumentRoot "/usr/local/www/svn" ServerName svn ServerAlias svn.domain.ru ErrorLog "/var/log/svn.error.log" CustomLog "/var/log/svn.access.log" common <Location /> DAV svn SVNParentPath /usr/local/www/svn SVNListParentPath on AuthType Basic AuthName "SVN Server" AuthBasicProvider ldap AuthLDAPURL "ldap://10.20.3.30:389/DC=domain,DC=ru?sAMAccountName?sub?(objectClass=*)" NONE AuthLDAPBindDN "CN=svnr,OU=SVN,DC=domain,DC=ru" AuthLDAPBindPassword 123 Require […]
我们正在考虑使用基于LDAP的身份和访问pipe理设置与VMware vCloud和OpenStack Nova计算虚拟机。 VMware vCloud和OpenStack Nova计算虚拟机是自助服务的,因为最终用户(非pipe理员)可以根据需要创build虚拟机。 目前,我们将ldap_access_filter设置为((memberOf = cn = System Adminstrators,ou = Groups,dc = example,dc = com)),以允许访问LINUX / UNIX机器的人员。 由于最终用户不属于该组,所以他/她无法login。 我们想自动将创build虚拟机的最终用户添加到ldap_access_filter。 另外,由于我们在LDAP中pipe理Sudo规则,所以我们希望自动为该VM创build一个Sudo规则,并使用户为该规则创build一个Sudo规则。 任何想法如何最好地devise这个? 也许我们正在过度思考这个问题,并且有一个更简单的解决scheme。 最终目标是除了系统pipe理员LDAP组以外,创build虚拟机的最终用户还应具有对该虚拟机的完全访问权限。
我pipe理一个非常奇怪的案件,我需要一个专家在PAM Ldap的帮助。 我的结构是: Linux(LDAP客户端) – > ODSSE(LDAP服务器) – > ACTIVE DIRECTORY ODSEE被configuration为在用户请求具有dc = users,dc = com后缀的绑定时,对AD执行传递身份validation(PTA)。 ODSEE baseDN是dc = central,dc = com(这是一个posix数据库 – Rfc2307)AD baseDN是dc = users,dc = com 我想在AD上执行身份validation并从ODSEE中检索configuration文件用户。 在我的ldap.conf中设置了user / passw,PTA成功了,但在我的Unix日志中,我收到了用户unknown。 我相信在ldap.conf中第一次连接硬编码的用户/ passw进行得很顺利,但是从ODSEE /密码检索到的第二个与我的用户绑定失败。 有没有一种方法可以看到/跟踪这个绑定的全部内容? 这里有人面对一些相同的情况吗? 欢迎任何帮助。 谢谢Daniel
现在的情况 我有一个以前处于工作组模式的OmniOS文件服务器,并使用本地用户/组(在服务器上创build)和本地passwd密码来validation访问Windows CIFS / SMB共享的用户。 一切按预期工作, /usr/bin/ls -V显示ACL中的本地用户和组名,还可以由Windows用户从资源pipe理器的Windows安全性选项卡设置和修改权限。 计划的结果和采取的步骤 现在我想将此服务器移动到由samba4 AD DC(域模式)服务的Active Directory域。 为了方便以后添加更多的服务器,我想停止使用本地凭据,而是将中央AD用于用户,组和密码。 文件服务器join到一个testing域没有问题,然后我添加pipe理帐户的基本映射: root@omnios:/root# idmap list add winuser:[email protected] unixuser:root add wingroup:[email protected] unixgroup:root 之后,可以以pipe理员身份login,使用资源pipe理器安全性选项卡授予AD用户和组的权限,然后使用这些Windows用户帐户访问文件夹。 没有进一步的设置是必要的,权限按预期工作(当打开安全选项卡时,从SID到AD用户名的翻译在很短的时间内是可见的)。 除了系统用户/组以外, /usr/bin/ls -V显示的是自动创build的数字ID(root / Administrator除外,其映射在idmap是硬编码的)。 drwx——+ 3 root root 3 Oct 17 13:45 test user:root:rwxpdDaARWcCos:fd—-I:allow user:2147483651:rwxpdDaARWcCos:fd—-I:allow 根据文档,这些应该在重新启动后丢失,但在我的简单的testing案例中,他们似乎坚持。 (编辑:我似乎误判了它,重新启动文件服务器后权限仍然存在,但它们被删除,重新启动域控制器后,更改为nobody )。我有点怀疑使用这种简单的模式,因为后来的潜在麻烦(见第三个问题)。 问题 我已阅读命名服务的不同选项的文档 ,但有些部分仍然不清楚。 很多例子都是关于两组不同的用户帐户(Unix / Windows),这些用户帐户应该被转换,这样inputAD的用户也可以login到Solaris系统,拥有一个shell等等。 通常,还必须映射/翻译不同的名称(例如[email protected] <=> jdoe )。 […]
我试图configurationOpenvas 9使用LDAP,login到Greenbone软件。 它似乎基于其他线程,这个问题与LDAP尚未解决,除非我严重错误。 我的问题是,我试图让多个用户基于活动目录,访问Greenbone。 但是,我的configuration似乎没有工作。 当我尝试使用在Greenbone中创build并指定用于LDAP的用户login时,这是输出: lib serv: DEBUG:2016-11-15 19h47.35 utc:9786: Shook hands with peer. md main: DEBUG:2016-11-15 19h47.35 utc:9786: sql_open: db open, max retry sleep time is 0 lib ldap: WARNING:2016-11-15 19h47.35 utc:9786: StartTLS failed, trying to establish ldaps connection. lib ldap: WARNING:2016-11-15 19h47.35 utc:9786: LDAP Authentication failure: Can't contact LDAP server lib ldap: […]
我有一个系统,目前使用LDAP / AD服务器通过pam和pam_ldap模块进行身份validation。 为了使用此服务器进行身份validation,pam_ldap需要一个将LDAP上的数据公开给我的帐户。 帐户数据通常通过configuration的binddn和bindpw字段填充。 据我所知,pam模块使用binddn和bindpwlogin,然后为用户执行search,然后绑定每个能够login的用户。 LDAP / AD服务器的pipe理员希望我使用加载到我的系统上的Kerberos密钥表,而不是提供binddn和bindpw。 所以我的问题是: 我怎样才能configuration帕姆这种情况? 我能够获得ldapsearch命令与kerberos证书一起使用,但是pam_ldap 文档声明初始绑定仅支持简单的身份validation。 这意味着服务器需要提供binddn和bindpw(他们想要停止使用),或者允许匿名绑定,这是他们绝对不想允许的。 我发现这个页面包含一个标题为“为LDAP绑定configurationKerberos身份validation”的部分,这听起来正是我想要做的,但我一直无法弄清楚如何将其应用于我的情况。 任何帮助,方向或commiserating将不胜感激。 这是我可以find我的问题已经在这里最接近的事情: 链接 。
什么是好的: LDAP是正常的,可以用phpLdapadmin访问没有问题。 LDAP hybris95home.local包含“dn = admin,dc = hybris95home,dc = local”值。 哪里不对: 使用net getlocalsid提供这个输出: smbldap_search_domain_info:为RASPBERRYPI添加域信息失败NT_STATUS_UNSUCCESSFUL pdb_init_ldapsam:警告:无法获取域信息,也不会将其添加到域。 没有它,我们就无法可靠地工作。 pdb后端ldapsam:“ldap://raspberrypi.hybris95home.local/”没有正确初始化(错误是NT_STATUS_CANT_ACCESS_DOMAIN_INFO)警告:无法打开passdb 另外, smbd不能正确启动。 (请参阅下面的进一步细节) 使用的版本: OS: Linux raspberrypi.hybris95home.local 4.4.34-v7 +#930 SMP Wed Nov 23 15:20:41 GMT 2016 armv7l GNU / Linux(Raspbian) Ldap: @(#)$ OpenLDAP:slapd(Apr 15 2015 10:45:41)$ buildd @ BM-WB-04:/build/openldap-omOdCq/openldap-2.4.40+dfsg/debian/build/servers/slapd 桑巴: Samba v4.2.10-Debian 附加信息 在/ etc /主机名 raspberrypi.hybris95home.local / […]
所以我们一直在尝试与外部供应商build立LDAP同步。 我们有一个思科ASA,我相当有信心configurationNAT / PAT正确。 我也打开了服务器本身的端口。 所以这里是我的问题,这可能是非常愚蠢的….但我更像是一个networking人,所以我可以肯定地使用一些帮助:外部供应商使用telnet来testing端口(例如:telnet myip 636/389 )我需要在服务器上运行telnet客户端来连接吗? 他们尝试连接的特定服务器没有运行telnet服务(启动时出错,我没有机会真正查看它)。 我仔细研究了一下configuration,所以现在我想知道是否小到可能是连接testing失败的原因。 再次,我很抱歉,如果这是一个愚蠢的问题,但我感谢帮助。
我正在努力寻找关于如何configurationCentOS 6.8机器以使用LDAPS查询在Windows 2012 R2域控制器上运行的Active Directory的简单说明。 我已经将Linux客户端join到域中,并将域控制器configuration为证书颁发机构。 从DC我可以使用LDP并连接到端口636本地主机。所以我相信DC应该支持LDAPS在这一点上。 在客户端,我使用以下命令生成证书:openssl req -nodes -newkey rsa:2048 -keyout domain.key -out domain.csr 所以它生成了这两个文件。 根据我的理解,我需要从客户端向DC发送请求,以便向CA注册客户端。 我不知道如何做到这一点。 我相信,一旦我完成了这一点,我应该能够使用ldapsearch从客户端查询活动目录。 如此有效,如何将客户端configuration为使用可信证书与DC进行通信?