我想在LDAP中根据用户的组ID来授权SVN访问,这样我就可以摆脱AuthzSVNAccessFile。 /etc/httpd/conf.d/subversion.conf如下:(AuthLDAPURL从“Apache Directory Studio”的“search日志”视图中获取) LoadModule authnz_external_module modules/mod_authnz_external.so LoadModule authz_unixgroup_module modules/mod_authz_unixgroup.so DefineExternalAuth pwauth pipe /usr/sbin/pwauth LDAPTrustedMode SSL LDAPVerifyServerCert Off <Location /repos> DAV svn SVNPath /var/www/svn/repos AuthName "SVN Repos" AuthType Basic AuthzLDAPAuthoritative on AuthBasicProvider ldap #AuthzSVNAccessFile /var/www/svn/users-access-file AuthLDAPURL ldaps://ldap_l.cisco.com:10648/ou=users,dc=sprint,dc=com?hasSubordinates,objectClass?one?(objectClass=*) SSL AuthLDAPBindDN "uid=admin,ou=system" AuthLDAPBindPassword secret Require ldap-group ou=users,dc=sprint,dc=com Require ldap-attribute gidNumber=491 </Location> 服务器的LDIF详细信息: version: 1 dn: ou=users,dc=sprint,dc=com objectClass: […]
我想能够对模式中定义的特定属性进行子stringsearch: attributetype ( 1.3.6.1.1.1.1.25 NAME 'automountInformation' DESC 'Information used by the autofs automounter' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 鉴于这是一个外部模式文件,我可以合法地将EQUALITY更改为caseIgnoreSubstringsMatch吗? 它会影响已经在目录中的数据吗? 任何陷阱? 是的,请注意区分大小写。 我更关心的是能够search子string。 特别是询问“哪个自动安装地图与这个文件系统有关?”这个问题通常是有用的。 目前,因为它不是可检索的子string,唯一的办法就是要求“automountinformation”,并通过它来grep。 我正在寻找一个更优雅的解决scheme。 主要是担心是否可以在运行的目录中更改该属性。 会有影响吗? 我必须重新索引吗? 等我长时间暴露在LDAP和LDIF,我从来没有试图改变一个活的目录架构…
我有麻烦我的Kerberos服务器(LDAP后端)。 我想重新启动KDC服务,并失败。 它已经工作好几个星期了。 由于我刚刚调整了LDAP ACL,我尝试了以下命令: $ slapacl -D cn=kdc-srv,ou=krb5,dc=example,dc=org -b ou=krb5,dc=example,dc=org entry/read authcDN: "cn=kdc-srv,ou=krb5,dc=example,dc=org" read access to entry: ALLOWED – $ ldapsearch -b ou=krb5,dc=example,dc=org -D 'cn=kdc-srv,ou=krb5,dc=example,dc=org' -W Enter LDAP Password: ldap_bind: Invalid credentials (49) – 第二条命令的结果对我来说没有任何意义。 怎样才能被允许,但仍然失败? 编辑:另外,如果我这样做,而不是: ldapsearch -Y EXTERNAL -H ldapi:// -b ou=krb5,dc=example,dc=org -D 'cn=kdc-srv,ou=krb5,dc=example,dc=org' -W 我得到No such object (32) 。 – 我首先将LDAP目录中的KDC […]
我build立了PAM链接到一个openldap,我希望所有的authentificated用户能够使用sudo。 我以为我可以在名为sudoersgroup的ldap中创build一个posix组,然后在/etc/sudoers写入一个规则: %sudoersgroup ALL=(ALL:ALL) ALL 但是当我执行“id”命令,会员不会出现,我唯一的会员是gidNumber之一。 我错过了什么? 我可以通过pam_group添加它们吗? (我找不到如何正确使用这个模块)
我正在尝试通过openLDAP实现HP iLO身份validation,为了实现此身份validation,我需要在openldapserver上添加一个attributetype memberof和2个对象类(memberof和user)。 我试图通过ldapmodify命令推送这些元素,但我总是得到以下错误: ldapmodify: invalid format (line 6) entry: "cn=schema,config" 这是我使用的ldapmodify命令: sudo ldapmodify -H ldapi:// -Y EXTERNAL -D "cn=schema,cn=config" -f ilo.schema 在ilo.schema文件中,我定义了attributype和objectclasses: dn: cn=schema,cn=config objectClass: olcSchemaConfig changetype: modify add: olcAttributeTypes olcAttributeTypes: ( 1.3.6.1.4.1.15959.9.1.1 NAME 'memberOf' DESC 'Group which user belongs to' EQUALITY distinguishedNameMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 USAGE userApplications ) – add: olcObjectClasses olcObjectClasses: ( 1.3.6.1.4.1.15959.9.2.1 […]
我读了一切,我可以find并尝试不同的例子,但由于某种原因,我似乎无法添加一个自定义属性到我的LDAP模式(我试图添加核心模式思考也许会帮助,但仍然没有喜悦) 这是我用来添加2个自定义属性,wiki和jira的ldif # SCHEMA "WIKI-JIRA" dn: cn=wiki-jira, ou=schema objectclass: metaSchema objectclass: top cn: wiki-jira dn: ou=attributetypes, cn=wiki-jira, ou=schema objectclass: organizationalUnit objectclass: top ou: attributetypes dn: m-oid=1.1.1.1.1.1.1.1.1.1.1.1, ou=attributetypes, cn=wiki-jira, ou=schema objectclass: metaAttributeType objectclass: metaTop objectclass: top m-oid: 1.1.1.1.1.1.1.1.1.1.1.1 m-name: wiki dn: m-oid=2.2.2.2.2.2.2.2.2.2.2, ou=attributetypes, cn=wiki-jira, ou=schema objectclass: metaAttributeType objectclass: metaTop objectclass: top m-oid: 2.2.2.2.2.2.2.2.2.2.2 m-name: jira dn: […]
我有一个关于AD LDS的目的的问题。 目前我正在玩弄Windows服务器基础设施,以更好地了解其内部工作,并旨在build立一个简单的testingnetworking。 我完成了安装和设置我的域控制器(安装了AD DS,DHCP和DNS),现在打算构build一个外部networking(在商业世界中更常称为DMZ区域),这可能包含共享点或正常Web应用程序。 从我研究的内容来看,我知道我可以使用LDAP身份validation在我的Web应用程序上执行单点login。 我也了解AD DS也安装了LDAP端口。 我的问题是,在这种情况下,我还需要使用AD LDS吗? 从我所了解的AD LDS,它允许我从我的活动目录同步用户数据。 通过同步数据,我可以执行ldap身份validation。 但是,如果不使用AD LDS,也可以达到同样的效果吗? 我仍然可以连接到我的Active Directory的LDAP端口,仍然实现相同的事情吗?
我需要使用“maxPwdAge”字段,但是我找不到它在哪里。 我可以读pwdLastSet没有问题,但该字段丢失。 根据这个https://msdn.microsoft.com/en-us/library/ms676863(v=vs.85).aspx 该字段可用于2012版本,但在2016版本中缺less该字段? 还是缺less文档更新? 我创build了一个运行MS Server 2016试用版的虚拟机,并且无法在该虚拟机中find该字段(在我的生产AD Server中) 任何暗示,因为这个领域缺失?
尝试执行idsldapmodify命令时出现以下错误。 ldap_modify: Undefined attribute type 我的命令是: idsldapmodify -h server-host -D cn=user_root -w password -b -r -i /tmp/entrymods.ldif 我的文件entrymods.ldif的内容是: dn: erglobalid=12345678901234567890123456789, ou=0, ou=people, erglobalid=0000000000000 0000000, ou=FP, dc=friendsprovident,dc=co,dc=uk changetype: modify replace: mail mail: [email protected] 我已经检查过,并且在条目dn中已经有了一个电子邮件属性: erglobalid=12345678901234567890123456789, ou=0, ou=people,erglobalid=00000000000000000000, ou=FP, dc=friendsprovident,dc=co,dc=uk as [email protected] 有人可以请build议这里错了什么。
我有一个LDAP,我必须从头开始创build。 这将处理多个域,其中将是多个应用程序。 基于每个应用程序的多个授权。 我不想复制用户,而且据我所知,用户不能存在于多个OU中。 所以我希望用户能够访问某个域上的某个应用程序,以及某个其他域上的某个其他应用程序。 build模的最好方法是什么? 我想过: cn=UserXYZ,ou=people,c=multiverse 1个用户的cn=UserXYZ,ou=people,c=multiverse , cn=app1,dc=domain,dc=com,c=multiverse 1个应用的cn=app1,dc=domain,dc=com,c=multiverse 。 然后处理每个应用程序中的每个访问权限,从多个用户引用用户。 我在做一些疯狂的事情吗? 什么是正确的做法? (该域名不会全部来自.com )