编辑:这个问题已经得到了很多的意见,我从来没有真正回来,并提供了一个精确的,一步一步的解决scheme。 所以我18个月后回来,做到了。 这个解决scheme适用于简单的绑定,原来的问题是试图获得一个Gitlab Omnibus安装绑定到LDAP服务器,但它应该工作在任何简单的LDAP绑定的情况下。 请参阅我接受的答案,了解我制定解决scheme的确切步骤。 以下是我的Gitlab版本详细信息(对于Gitlab有这个问题的人): GitLab 7.0.0 GitLab Shell 1.9.6 GitLab API v3 Ruby 2.1.1p76 Rails 4.1.1 原帖:我一直在尝试将近6个小时,让我的Gitlab部署通过Windows Server 2012 Essentials Active Directory LDAP进行身份validation。 我为我的Gitlab服务器运行Ubuntu 14.04。 它已经通过SSSD连接到域控制器。 Gitlab本身使用gitlab.rdconfiguration文件中的LDAP设置,如下所示: # These settings are documented in more detail at # https://gitlab.com/gitlab-org/gitlab-ce/blob/master/config/gitlab.yml.example#L118 gitlab_rails['ldap_enabled'] = true gitlab_rails['ldap_host'] = 'hostname of LDAP server' gitlab_rails['ldap_port'] = 389 gitlab_rails['ldap_uid'] = 'sAMAccountName' […]
碰到openldap的一个问题,我从来没有成功解决。 我们在自己的vlan上运行另一台机器上的openldap。 现在,如果该LDAP服务器死了任何访问UID或GID似乎被停顿,直到超时发生。 这是我的 /etc/nsswitch.conf中 passwd: compat [SUCCESS=return] ldap [unavail=return] group: compat [SUCCESS=return] ldap [unavail=return] shadow: compat [SUCCESS=return] ldap [unavail=return] hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis /etc/ldap.conf中用 ###DEBCONF### ## ## Configuration of this file will be managed by debconf as long as […]
我必须删除或黑名单的LDAP / dovecot用户。 身份validation是从活动目录设置,我无法pipe理,所以我认为应该有一种方法,至less在本地邮件服务器上禁用此特定用户。 # Virtual Accoutns – LDAP – MS AD virtual_mailbox_maps = ldap:/etc/postfix/ldap_mailbox_maps.cf virtual_alias_maps = ldap:/etc/postfix/ldap_alias_maps_redirect_true.cf ldap:/etc/postfix/ldap_alias_maps_redirect_false.cf ldap:/etc/postfix/ldap_mailbox _groups.cf virtual_mailbox_domains = domain.com virtual_uid_maps = static:1000 virtual_gid_maps = static:1000 virtual_transport = dovecot dovecot_destination_recipient_limit = 1 任何人都知道如何做到这一点? 我按照这个指南通过postfixes访问文件来禁用1个用户: http://www.cyberciti.biz/faq/howto-blacklist-reject-sender-email-address/ 不幸的是它不工作。 这就像存储在LDAP中的设置不符合访问规则。 而不是拒绝邮件它继续接受它的邮件。 谢谢!
我正在调查一个新的邮件设置,以使用Cyrus-IMAP,Postfix和Perdition IMAP代理服务器来replace我们组织中的Exchange。 我正在处理根据LDAP属性(extensionAttribute15)(包含用户的三个字母部门(例如FIN,PAY等))将电子邮件发送到不同的邮件存储的问题。 我们目前运行Active Directory,并试图决定将部门映射到特定邮件存储的最佳方式,因为他们不想为每个用户设置邮件主机属性。 我目前使用主机文件将三个字母部门映射到一个邮件存储,因为他们不想查询DNS超过需要,但我不觉得这是一个可行的长期解决scheme。 有两个Cyrus后端服务器和一个前端Perdition / Postfix服务器。 我有IMAP代理正常工作,并根据用户的部门使用hosts文件正确的邮件存储拉如上所述,但我有问题,让Postfix正常工作。 Postfix的ldap_table文档在result_format选项下面提到了将邮件主机地址作为“smtp:[%s]”作为传输表的基础,但是当我尝试这样做时,我在postfix邮件日志中出现错误代理服务器: postfix/qmgr[1593]: warning: connect to transport private/ldap: No such file or directory configuration文件的相关部分贴出如下: #/etc/postfix/main.cf myhostname = perdition.test.domain.com mydomain = test.domain.com mydestination = $myhostname, localhost mynetworks_style = subnet virtual_transport = ldap:/etc/postfix/ldap-virtual-transport.cf virtual_mailbox_domains = email.test.domain.com virtual_mailbox_maps = ldap:/etc/postfix/ldap-aliases.cf alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases #/etc/postfix/ldap-virtual-transport.cf version = […]
我在Windows计算机RDP到RHEL 7服务器。 我现在希望能够使用我的Windows域凭据(通过SSH,最好是RDP,但不是必需的)login到该服务器。 以下是我到目前为止: realm list返回我的域信息 kinit [email protected]正常工作 ldapsearch -H ldap://srv-ad.mycompancy.local/ -Y GSSAPI -N -b "dc=mycompany,dc=local" "(sAMAccountName=SRV-DEV008$)"从LDAP返回有关该帐户的所有信息。 srv-dev008是我的RHEL服务器。 我像这样configuration我的PAM: Archlinux Wiki 但是,我无法使用我的域凭据login。 我没有直接访问AD,因为我不是我公司的pipe理员。 我应该可以在没有他们的帮助的情况下完成这个任务(这是为了学徒),他们所做的只是将SRV-DEV008机器账户添加到AD中。 我错过了什么? 我感谢任何帮助。
我有一个工作在许多服务器上运行的nslcd设置。 我把这个configuration分发给了很多服务器,几乎所有的服务器都没有问题。 但是,我忘记安装libnss-ldapd和libpam-ldapd就像他们五个。 这导致了以下nslcddebugging日志 nslcd: DEBUG: add_uri(ldaps://dc.example.com/) nslcd: DEBUG: ldap_set_option(LDAP_OPT_X_TLS_CACERTDIR,"/etc/ssl/certs") nslcd: DEBUG: ldap_set_option(LDAP_OPT_X_TLS_CACERTFILE,"/etc/ssl/certs/example.com.pem") nslcd: version 0.8.10 starting nslcd: DEBUG: unlink() of /var/run/nslcd/socket failed (ignored): No such file or directory nslcd: DEBUG: setgroups(0,NULL) done nslcd: DEBUG: setgid(108) done nslcd: DEBUG: setuid(107) done nslcd: accepting connections nslcd: [8b4567] DEBUG: connection from pid=6939 uid=0 gid=0 nslcd: [8b4567] <authc="user"> […]
我在LDAPsearch方面遇到了一些问题,应该指定用户是否是给定AD组的成员(recursion)。 基本上,我正在做的是使用以下参数发出LDAPsearch: get-aduser -LDAPFilter "(memberof:1.2.840.113556.1.4.1941:={group LDAP path})" -SearchBase "{AD LDAP base}" 这确实会产生预期的结果:而不是直接或间接地获得所有正在search的用户组,我得到该组的所有直接成员,以及随机select的间接成员(成员组成员search到的组)。 我得到的列表似乎是任意的:我不能find两个用户之间的组成员身份的任何差异,应该出现在结果集中,但一个是在那里,另一个不是。 (我需要用LDAPsearch解决这个问题,因为结果将被用在应用程序中,而不是通过PowerShell,但是通过这种方式使用PowerShell,我可以用上述方法重现原来的问题)。
你知道有什么方法将用户从GApps同步到LDAP吗? 或者,也许有什么工具可以将GApps用户与passwd文件同步? 我知道,Google有工具将用户从LDAP同步到GApps。 为什么我需要这个? 因为我在GApps Domain工作,我们有很多开发者服务器。 我想自动化我的工作的一部分。 如果没有这样的工具 – 我会尝试用curl,google api和bash写一个! 🙂
我的设置 操作系统:debian git:v 1.7.10 apache(与suexec模式启用)configuration与git-http-backend和LDAP授权git回购这适用于克隆操作,但不适用于推,这就是问题。 我使用HTTPS作为我的git服务器的通信协议。 这是我的configuration: VirtualHostconfiguration: <IfModule mod_ssl.c> <VirtualHost _default_:443> DocumentRoot /git/myrepos <Directory "/git/myrepos"> Allow from All Options +ExecCGI AllowOverride All </Directory> ScriptAlias /git /git/myrepos/bin/suexec-wrapper.sh SSLEngine on SSLCertificateFile /etc/ssl/git.crt SSLCertificateKeyFile /etc/ssl/git.key <FilesMatch "\.(cgi|shtml|phtml|php)$"> SSLOptions +StdEnvVars </FilesMatch> <Directory /usr/lib/cgi-bin> SSLOptions +StdEnvVars </Directory> /git/myrepos/bin/suexec-wrapper.sh: #!/bin/bash PATH_INFO=$SCRIPT_URL GIT_PROJECT_ROOT=/git/myrepos REMOTE_USER=$REDIRECT_REMOTE_USER export GIT_HTTP_EXPORT_ALL=true /usr/lib/git-core/git-http-backend 克隆回购的工作,因为它应该(例如git clone https://192.168.0.1/repo1.git )。 […]
我有一个应用服务器使用LDAPS对Active Directory进行身份validation。 我通过端口636连接到AD服务器。 我正在尝试排查/debugging一些性能问题,并开始怀疑AD本身或者应用服务器和AD之间的连接。 我想运行一个tcpdump (我的第一个!),以在authentication性能不好的时期(用户正在login并在浏览器前面等待)捕获stream量。 到目前为止,从这个教程我的命令是这样的: tcpdump port <???> -v -i eth0 -w ~/capture.log 但是,因为这是我第一次使用tcpdump ,所以我抓住了一些有关端口的事情。 我知道我的应用服务器连接到AD的端口#636上的AD,但我不知道我们正在启动连接的端口(在应用服务器VM上)。 我也不知道LDAPS使用什么样的出站/入站端口来协议,而且Google在这个部门没有提供太多的帮助。 例如,我知道FTP总是使用2个TCP连接(command + data); 我想知道LDAPS是否做了类似的事情? 我想这一切要问: 如果我在应用程序服务器虚拟机上做tcpdump ,我应该捕获什么端口#的stream量? 而且,如果LDAPS为其协议使用多个端口,我可以同时在多个端口上运行tcpdump ( 如果是这样,如何 )? 而且,如果有帮助,应用程序服务器使用Java ldaptive库来启动使用AD的基于LDAPS的身份validation。