我们有一个在RHEL6机器上部署的PHP应用程序,依靠一些ldap调用来运行。 特别是,ldap_connect和ldap_bind用于validation用户,并查找其详细信息。 这个机制在Ubuntu服务器上运行的开发服务器上工作得很好。 在RHEL6上运行的生产机器上,该过程失败。 在这两种情况下,我们使用相同的凭据连接到相同的LDAP服务器,因此RHEL6服务器上显然是错误的。 我们使用基本的LDAP,没有SSL的东西。 我可以确认新服务器上没有防火墙或networking问题。 Ping到LDAP服务器工作得很好。 另外,ldap_connect调用也是成功的。 为了从我们的应用程序中分离出问题,我使用了下面简单的PHPtesting脚本: <?php // Set the ldap server $ldapurl = "[snipped]"; $ldapuser = "[snipped]"; $ldappass = "[snipped]"; // Set the debug flag $debug = true; // Set debugging if ($debug) { ldap_set_option(NULL, LDAP_OPT_DEBUG_LEVEL, 7); } // connect to ldap server echo "Trying to connect<br/>"; echo "1: " […]
我正在尝试在Gentoo工作站上设置LDAP来对中央服务器进行身份validation。 但是,我遇到了一些问题,我真的希望你们能帮助我在这里:) 首先,LDAP服务器运行正常,因为其他机器可以连接到它。 其次,我遵循Gentoo wiki上的这个指南来设置客户端。 第三,我甚至尝试从其他工作站使用ldap / nss / pamconfiguration文件,但仍然无法login… ldapsearch有什么作用: ldapsearch -Z '(objectclass=*)' 我使用-Z作为TSL(这是我读的是),但-x也可以。 从我研究/谷歌search/尝试似乎错误是不是与LDAP而是与NSSconfiguration? 任何帮助将不胜感激 :) 这里是ldap.conf(稍微编辑) timelimit 120 bind_timelimit 120 idle_timelimit 3600 TLS_CACERTDIR /etc/openldap/cacerts URI ldaps://<sub>.<domain>.edu/ BASE dc=<sub>,dc=<domain>,dc=edu # Just assume that there are no supplemental groups for these named users nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman,nscd,gdm,polkituser, rtkit,pulse ssl start_tls TLS_CHECKPEER no TLS_CRLCHECK none TLS_REQCERT never […]
我设法build立了运行ArchLinux的OpenLDAP服务器。 我现在可以使用LDAP用户从客户端(也是ArchLinux)login。 现在我想通过networking安装主目录…我假设我需要autofs和NFS,但是我find的所有指南都使用AutofsLDAP,它不存在于Arch中。 有人能指出我正确的方向吗?
我真的没有太多的邮件服务器经验,所以如果我的一些术语closures,请原谅我。 首先,这是我想要做的: 使用ldap(postfix?)获取用户信息 单独的用户账户和ml账户(ml账户可以预定义) 送给ML(邮递员) 将序号添加到主题 将ML线轴保存在/ mnt / ml / {ml-name} / spool中 使用ldap扩展ML 交付给用户(步骤3)[通过后缀?] 交付给用户(dovecot-lda) 保存/ mnt / mail / {用户名} / 有几个组件我的问题。 邮差/ LDAP: 是否可以使用Mailman来使用ldap获取ML的订阅者? (从我研究过的,看起来好像我需要用脚本来同步Mailman和ldap,但是我想确认一下) 邮差 我认为将序列号添加到电子邮件主题是可能的,但我无法find任何信息。 有人可以帮我出来,或告诉我我应该谷歌? 将ML电子邮件保存在自定义目录中。 说实话,我并没有真正的看上去,而是一个快速的指针,告诉我它在哪里做的将有助于一堆。 后缀/达夫科特/ LDAP: 我一直在试图把所有用户的邮件(使用ldap得到)放到一个自定义挂载目录/ mnt / mail / {user-name} /中。 我想我需要使用虚拟邮箱,但是我没有成功。 正在使用dovecot-lda正确的方式来做到这一点? 我知道我问了很多,但是如果人们能够回答这四个问题中的任何一个,或者告诉我,如果我在理解每个组件所扮演的angular色时犯了错误,那么这对我们来说会有帮助。 谢谢! 艾伦
在OpenLDAP中,用户具有成员资格。 假设一个删除用户。 在用户保持的组的成员属性中。 这被认为是一个完整性违规? 有没有办法“autoremove”组成员身份。 我正在使用OpenLDAP 2.4和cn = config。
我正在尝试向我的OpenLDAP服务器添加新的模式。 slapd的版本是2.4.23。 我正在使用Debian 6。 如果我理解的很好,slapd 2.4+默认使用(cn = config)使用OLCconfiguration,我不需要修改slapd.conf或cn = config树中的其他点(我是错的?)。 但是当我试图添加架构与以下命令: ldapadd -x -D "cn=admin,cn=config" -W -f filesystem.ldif 它给了我: Enter LDAP Password: ldap_bind: Invalid credentials (49) 我也试过这个命令(即使我不知道我在这里做什么): ldapadd -x -D "cn=admin,dc=linuxcbt,dc=internal" -W -f filesystem.ldif 其中dc = linuxcbt,dc =内部是我的基地,我得到: adding new entry "cn=filesystem,cn=schema,cn=config" ldap_add: Insufficient access (50) 我的filesystem.ldif文件是: dn: cn=filesystem,cn=schema,cn=config objectClass: olcSchemaConfig cn: filesystem olcAttributeTypes: ( […]
刚在一台备用机器上安装了pfsense和squid。 我试图让Squid通过LDAPvalidationAD用户。 首先我试过这个: http : //vicryhc.wordpress.com/2013/07/08/how-to-setting-squid-on-pfsense-with-authentiaction-ldap-windows/ 我的域名是ads.example.local我在AD的Users容器中创build了一个用户“squid”。 LDAP服务器用户DN:cn = squid,cn =用户,dc = ads,dc =示例,dc =本地LDAP密码:mypassword LDAP基本域:dc = ads,dc = example,dc =本地LDAP用户名DN属性:uid LDAPsearchfilter:(sAMAccountName =%s) 令我沮丧的是,这并不奏效。 所以我尝试了一下,并改变了基本域: LDAP基本域:** cn = Users,** dc = ads,dc = example,dc = local 和宾果! 有效。 但是,这个设置是为了validation一个用户 – 在我的AD的用户容器中的“squid”。 所以我继续进一步说明如何validation一组用户。 我在AD的“Users”容器中创build了一个名为“InternetUsers”的组,并添加了一些用户。 然后,我更改了以下设置:LDAP服务器用户DN:cn = squid,cn = Users,dc = ads,dc = example,dc =本地LDAP密码:mypassword LDAP基本域:dc = […]
我有一台运行8e Release 2的Fiery打印机。我可以使用LDAPconfiguration对AD进行身份validation,但是如果我不使用SSL / TLS,只有在使用SIMPLE身份validation时才能使用它。 目前,它使用的是影响相对较小的用户进行身份validation,但是它也是我们networking中不使用LDAPS的唯一系统。 我可以使用从我的机器,我们的防火墙,我们的邮件filter,我们的Linux盒等ldp.exe的LDAPS AD信息很好。唯一的问题是Fiery。 我已经将LDAP服务器证书添加为Fiery的可信证书,但是在选中安全通信checkbox并将端口更改为636后,按“validation”结果将出现一个对话框,提示:LDAPvalidation失败的服务器名称无效或服务器不可用。 我已经尝试改变服务器名称,只使用名称,FQDN和IP地址,并将其更改为另一台服务器,只是为了查看是否只是这台AD服务器对Fiery感到烦恼。 编辑:删除LDP输出,从wireshark添加数据包捕获分析:对话似乎对我来说很正常,直到Fiery在服务器发送回握手响应后终止连接的点。 也许他们搞砸了他们的TLS实施? 我正在尝试支持,但到目前为止它已经相当无用了。 该证书是SHA-2(sha256RSA)2048位证书。 此外,它看起来像Fiery指定TLS 1.0。 看看http://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx ,我没有看到SChannel支持SHA256和TLS 1.0组合。 headdesk也许这就是为什么在DC改变密码规范后,连接被Fiery终止的原因? TLS 1.1和1.2在DC上启用。 Wireshark对话:DC:172.17.2.22,Fiery:172.17.2.42 No.Time Source Port Destination Port Protocol Length Info 1 0.000000000 172.17.2.42 48633 172.17.2.22 ldaps TCP 74 48633 > ldaps [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSval=3101761 TSecr=0 WS=4 2 0.000182000 Dell_5e:94:e3 Broadcast […]
最近我一直在努力使用LDAP后端(基于推送的复制)获得slapd syncrepl的工作。 虽然我使用syncrepl进行pull操作的时候出现了很棒的效果,但是基于push的操作却让我失望了。 当我启动slapd时,遇到以下输出问题:syncrepl_message_to_entry:rid = 700 mods check(pwdAttribute:value#0 invalid per syntax) 这是关注我的默认密码策略。 我已经看到关于这个类似问题的其他消息,但其中大多数从来没有产生答案,所以我希望我必须俯视一些相当简单的东西。 我正在使用olc数据库运行此slapd(2.4.35)实例,并使用以下相关参数: objectClass: olcDatabaseConfig objectClass: oldLDAPConfig olcDatabase: {1}ldap olcDbACLBind: bindmethod=simple binddn="cn=Directory Manager" credentials="xxxxxxx" olcDbOnErr: continue oldDbUri: ldap://mysatelliteldapserver oldSyncrepl: rid=700 provider=ldaps://masterldapserver.mydomain.com:636 bindmethod=simple binddn="cn=Directory Manager" credentials="xxxxxxxx" filter="(objectclass=*)" searchbase="dc=my,dc=base" scope=sub schemachecking=off type=refreshOnly interval=00:00:05:00 哪个应该从“masterldapserver”拉到“mysatelliteldapserver”。 这工作,直到它达到我的密码策略,然后它得到: syncrepl_message_to_entry: rid=700 mods check (pwdAttribute: value #0 invalid per syntax) 这完全是假的。 […]
我试图超过2个小时find一种方法来使用ldapsearch连接到Microsoft Active Directory,我无法执行成功的绑定。 我不想使用我的帐户的CN(太长,包含Unicode字符)。 我只想使用我的login。 我能够使用其他LDAPlogin进行相同types的login,只需使用我的用户名或将其作为前缀添加到域,如EXAMPLE.COM \ johnd。 仍然看来,如何做到这一点是缺less有关ldapsearch。