我有一个问题与LDAPconfiguration: $ ldapadd -x -D 'cn=Manager,dc=ircoms,dc=com' -f file.ldif -W Enter LDAP Password: ldap_bind: Invalid credentials (49) 我删除了/var/lib/ldap的包含,然后执行 ldapadd -x -D'cn = Manager,dc = ircoms,dc = com'-f file.ldif -W 现在我得到这个错误: $ ldapadd -x -D 'cn=Manager,dc=ircoms,dc=com' -f file.ldif ldap_bind: Server is unwilling to perform (53) additional info: unauthenticated bind (DN with no password) disallowed 我在Fedora 15上工作。
我试图启用Linux主机使用端口389和tls对活动目录服务器进行身份validation。 我似乎有这么多的工作,但用户不能通过passwd更改密码。 我假设在密码更改期间,它会绑定用户名和旧密码,而不是在ldap.conf中的binddn / bindpw,但我可能是错的。 如果是这样的话,我该如何得到它的工作,因为test \ ldap域用户没有更改其他用户的密码的权限,我不想给它这个权限,因为这个configuration文件将在每个客户端上。 这是在rhel5(如果我得到它的工作,rhel4也) 这是我的客户端上的configuration文件: / etc / hosts文件 127.0.0.1 localhost 192.168.0.2 TESTSRV.TEST.COM TESTSRV WIN-JERS4CCKFGM WIN-JERS4CCKFGM.TEST.COM 192.168.0.1 /etc/ldap.conf中用 debugging0 uri ldap://WIN-JERS4CCKFGM.TEST.COM/ base cn = Users,dc = test,dc = com ldap_version 3 binddn TEST \ ldap bindpw Pwldap1 bind_policy软 范围子 时间限制30 nss_base_passwd cn =用户,dc = test,dc = com?one nss_base_shadow cn =用户,dc […]
我正在尝试configurationsendmail以使用LDAP查找作为别名表。 我有我的configuration这一行: Kldapfullname ldap -k"uid=%s" -v"mail" -h"my-ldap-server" 我已经使用了很长时间了。 它的工作原理,别名被抬起,电子邮件结束在适当的收件箱。 但是,它正在工作,因为LDAP目前允许匿名绑定。 由于一些政策的变化,这是不能做的了。 我得到这个工作: Kldapfullname ldap -k"uid=%s" -v"mail" -H"ldaps://my-ldap-server/" -Msimple -d"CN=LDAP_USER" -P /path/to/ldap.secret 这符合“不再匿名绑定”的要求。 但是,仍然存在一些安全问题:LDAP绑定不是通过安全通道完成的。 用户名和密码都以明文forms发送。 从长远来看,和匿名绑定一样有用。 在我search的几个例子中,我看到-H标志可以让你指定一个协议,比如ldap:// ,或者在我的情况下是ldaps:// 。 但是当我去validation时,我看到数据仍然通过非安全LDAP端口(端口389),而不是LDAPS端口(端口636)。 (我用snoop来查看我的主机和LDAP服务器之间的stream量。) 所以我的问题是:*为什么是ldaps://被忽略和使用,就好像它只是ldap:// ? *为了做到这一点,我需要改变什么?
根据Apache 2.2文档 ,在对Active Directory成功进行身份validation之后, AuthLDAPUrl伪指令中指定的LDAP属性应该可用作默认前缀AUTHENTICATE_环境variables。 但是,在Debian 6.0.4 + Apache 2.2.16 + mod_wsgi上,env vars没有设置。 我可以无问题地进行身份validation,而其他一切正常。 有什么我可以做,让他们设置? 较新版本的Apache和/或LDAP模块?
根据说明,我已经configuration了多个LDAP源以实现冗余。 我发现configuration有一些问题。 如果ldap服务不在指定的ldap服务器上工作,而不是转到列表中的下一个服务器,那么工作不会通过列表中的其他条目进行。 如果ldap服务器closures而不能正常工作,则会引发5xx内部服务器错误,而不会通过列表中的其他条目进行处理。 这些Apache的错误,或者我应该包括更多的指令来正确configuration冗余? 有问题的http.conf部分: <AuthnProviderAlias ldap ldap1> AuthBasicProvider ldap AuthLDAPURL "ldap://ldap1.server.com:389/dc=server,dc=com?sAMAccountName?sub?(objectClass=*)" AuthLDAPBindDN "CN=matcher,OU=Application Accounts,dc=server,dc=com" AuthLDAPBindPassword "SECRET" </AuthnProviderAlias> <AuthnProviderAlias ldap ldap2> AuthBasicProvider ldap AuthLDAPURL "ldap://ldap2.server.com:389/dc=server,dc=com?sAMAccountName?sub?(objectClass=*)" AuthLDAPBindDN "CN=matcher,OU=Application Accounts,dc=server,dc=com" AuthLDAPBindPassword "SECRET" </AuthnProviderAlias> <AuthnProviderAlias ldap ldap3> AuthBasicProvider ldap AuthLDAPURL "ldap://ldap3.server.com:389/dc=server,dc=com?sAMAccountName?sub?(objectClass=*)" AuthLDAPBindDN "CN=matcher,OU=Application Accounts,dc=server,dc=com" AuthLDAPBindPassword "SECRET" </AuthnProviderAlias> <AuthnProviderAlias file file1> AuthUserFile /etc/mdpctest/htpasswd.users </AuthnProviderAlias> <Directory /srv/www/htdocs/mdptest> Order deny,allow […]
目前,我已经安装了Fedora Directory Server(FDS)和Windows Vista工作站(使用pGina)。 最初,我在FDS(全部在ou = People下)创build了几个用户。 由于我想将我的用户划分为“admin_group”和“user_group”,我在FDS中创build了这两个组,因此“People”组不再使用。 我的问题是在Windows Vista中的pGina下,我怎样才能识别login后用户属于哪个组? 对于Windows Vista下的每个组,我有不同的组策略。
我有一个Active Directory轻量级目录服务设置。 我有代表Active Directory(Domain_A)中的用户的对象。 我已经设置了它们的objectSID属性,用户可以使用它们的Active Directory密码对LDS进行身份validation。 我喜欢它。 这里是一个成功的LDS代理authentication的格式化Wiresharknetworking跟踪: LDAP bindRequest(1)“cn = ixe013,cn = Users,cn = Fizz,dc = Buzz,dc = tst”simple KRB5 AS-REQ KRB5 KRB错误:KRB5KDC_ERR_PREAUTH_REQUIRED KRB5 AS-REQ KRB5 AS-REP KRB5 TGS-REQ KRB5 TGS-REP LDAP bindResponse(1)成功 LDAP unbindRequest(2) 我想从不同于Domain_A的Active Directory的任何Active Directory(Domain_B)中引入新的用户。 有没有办法告诉LDS在哪个域中查找用户,还是总是查看它所在的域,可能是通过使用Kerberos之外的其他协议? +我想出用户configuration,不需要提及。 谢谢 !
我试图使用ldapsearch从Domino 8 LDAP服务器获取属于特定组的所有用户的所有列表。 我已经尝试了几乎所有可能的以下filter的变体,但没有成功: (memberOf=CN=GroupName) (dominoaccessgroups=CN=GroupName) 请注意,属性dominoaccessgroups显示在LDAP浏览器中,并包含用户所属的组的名称。 对于用户所属的每个组,都有一个匹配的用户对象的dominoaccessgroups属性 无论我尝试什么,它总是返回一个空的结果集。 欢迎任何帮助,我整个下午都在苦苦挣扎。 编辑 如下所示,我可以通过查询组中的成员属性来获取组中所有用户的列表。 不过,我原来的问题在这一点上并不清楚:我不想提取用户的DN,而是提取另一个属性的值(在我的情况下是mail属性)。 有没有办法做到这一点,而不需要运行两个单独的查询(一个用于组成员的DN,一个用于第一个返回的所有DN的邮件属性)?
当我用我的帐户login时,我试图为另一个用户设置一个属性,该帐户是Active Directory的Domain Admins组的成员。 Error while executing LDIF- [LDAP: error code 50 – 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data java.lang.Exception: [LDAP: error code 50 – 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 我需要做什么才能使用LDAP编辑数据?
我几乎将我的AD集成完全在我的OpenSUSE 12.1服务器上工作。 我有一个成功集成到AD环境中的OpenSUSE 11.4系统。 (也就是说,我们使用ldap通过Kerberos对AD目录进行身份validation,所以我们可以通过AD用户login到我们的* nix系统,使用名称服务caching守护进程来caching我们的密码和组)。 此外,重要的是要注意这些系统是在我们的局域网中,sslauthentication被禁用。 我几乎都在那里。 NSS_LDAP最终是通过ldap服务器进行身份validation(如/ var / log / messages shows),但是现在我又遇到了一个问题:getent passwd&getent shadow失败(仅显示本地帐户),但是getent组工作正常! Getent小组显示我所有的广告组 我从我工作的OpenSUSE 11.4框中复制了relaventconfiguration文件: 的/etc/krb5.conf /etc/nsswitch.conf中 /etc/nscd.conf /etc/samba/smb.conf中 /etc/sssd/sssd.conf /etc/pam.d/common-session-pc /etc/pam.d/common-account-pc /etc/pam.d/common-auth-pc /etc/pam.d/common-password-pc 我没有修改这两者之间的任何东西。 我真的不认为我需要修改任何东西,因为getent passwd,getent shadow和getent group在OpenSUSE11.4框中都工作正常。 试图重新启动nscd服务,不幸的是没有做太多的工作,而且没有运行/ usr / sbin / nscd -i passwd。 你们有没有pipe理员有什么build议? 老实说,我很高兴我做到了这一步。 我几乎在那里家伙!