有没有办法可以下载整个Active Directory? 我知道我可以编写脚本来抓取层次结构中链接的每个用户的条目。 但是这将是非常低效的。 我想知道是否已经有一个完美的解决scheme。 谢谢。 (我宁愿一个解决scheme,可以脚本的计划下载)
我需要find一种自动通知LDAP帐户用户的方式,以便他们的密码何时到期,并强制他们更改密码。 我是相当新的LDAP。我在RHEL 5.3上运行openldap 2.3.43.el5我想find一个解决scheme(可能在脚本forms),但我打开其他久经考验的解决scheme。 我打算做的是从下面的命令parsing,过滤或格式化LDAP查询输出(示例) slapcat -b "cn=Manager,dc=berkerly dc=ac dc=uk" 这样我得到一个输出显示用户cn(名称)和LDAP数据库中的用户pwChangedTime字段为例 cn: jbloggs : pwdChangedTime: 2011078159Z 或者更好的仍然在同一行上 cn: jbloggs :pwdChangedTime: 2011078159Z 这样,我可以告诉用户密码上次更改时,然后基于我们的密码策略时,LDAP帐户的用户密码将过期。 实际上,这将使我能够很快从迷你报告中计算出密码到期的时间。 我希望在脚本中做到这一点,但不知道如何从slapcat命令输出实现这一点。 在LDAP中有一种方法或命令,列出一个用户cn(名称)和pwdChanged时间或其他字段。我是一个LDAP新手,我只熟悉slapcat命令列出所有LDAP用户及其各种属性字段我LDAP数据库。 这slapcat输出是不容易grep和awkfind我正在寻找什么。 此外,我需要确认字段pwdChangedTime:是否真正代表该用户的密码上次更改的date。 最后有没有办法像在普通的本地Unix,Linux帐户上那样强制用户更改他们的LDAP密码。 你的帮助将不胜感激。
这个问题与此类似,除了在这种情况下,它不工作。 🙁 到目前为止,我把这个设置为ACL: access to attrs=userPassword,shadowLastChange,shadowMin,shadowMax,shadowWarning,loginShell,shadowLastChange by anonymous auth by self write by users read by * none access to * by self write by users read by * none 我能够以root身份更改密码: [root@sl6 openldap]# ldappasswd -D 'cn=root,dc=monzell,dc=com' -W -S 'uid=monzell,ou=People,dc=monzell,dc=com' New password: Re-enter new password: Enter LDAP Password: [root@sl6 openldap]# 但不是像用户那样: [root@sl6 openldap]# ldappasswd -D 'uid=monzell,ou=People,dc=monzell,dc=com' […]
我有一个安全要求,在我的应用程序login一个用户之后,它应该显示用户最近一次以前login的date和时间。 活动目录复制的“lastLogonTimeStamp”的价值是远不及所需,所以我写了一些代码从http://bit.ly/nf3wbM启发,其中我search域中的每个域控制器中的用户,抓住“lastLogon”价值并保留最大值。 这个值似乎是准确的。 坏消息是我的代码find了100多个域控制器,用了13分钟时间查找所有用户。 我已经login到我自己的帐户,并从debugging我的代码我已经注意到,我以前login到这些域控制器只有55。 为了使事情更有趣,这些域控制器中只有7个显示从今天开始的login时间,这7个域控制器上的“logonCount”大于1000,而其他的则是个位数。 如果我改变我的代码,只在这7个域控制器上查找我的账户,我可以在7秒内确定我最近的login时间,这是一个可以接受的性能。 我对社区的问题是使这7个域控制器是特殊的,我应该如何去让我的代码只查看login统计信息? 谢谢,欧根
我正在尝试使用本地条目自定义设置本地LDAP服务器,这些自定义设置位于我们提供的现有LDAP目录之上(这是只读的)。 从我所看到的,看起来像半透明的正是我所需要的。 但是,由于有一些新的LDIFconfiguration格式,旧版slapd.confconfiguration已被废弃/废弃,networking上出现大量关于如何configurationOpenLDAP覆盖的冲突信息。 我已经安装slapd并在我的Ubuntu实例上运行。 有没有人有什么好的指针去哪里设置覆盖? 谢谢! 科迪
我有用于添加attributeType passwordNonRootMayResetUserpwd的ff LDIF文件。 attributeType已经存在。 dn: cn=schema changetype: modify delete: objectClasses objectClasses: ( 1.3.6.1.4.1.42.2.27.9.2.6 NAME 'passwordPolicy' SUP top STRUCTURAL MUST cn MAY ( description $ passwordMaxAge $ passwordExp $ passwordMinLength $ passwordInHistory $ passwordChange $ passwordWarning $ passwordLockout $ passwordMaxFailure $ passwordResetDuration $ passwordUnlock $ passwordLockoutDuration $ passwordCheckSyntax $ passwordMustChange $ passwordStorageScheme $ passwordMinAge $ passwordResetFailureCount […]
我在我的服务器上运行LDAP和Dovecot,Dovecot使用LDAP作为userdb和authdb,postfix使用LDA(递送)将邮件递送给用户。 现在我想拥有[email protected]这样的群组电子邮件地址。 这个组是在我的LDAP这样的: objectClass: extensibleObject objectClass: groupOfUniqueNames objectClass: top cn: group1 uniqueMember: uid=user1,ou=people,dc=example,dc=com uniqueMember: uid=user2,ou=people,dc=example,dc=com (…) mail: [email protected] 除了发送给[email protected]的邮件之外,我怎样才能让我的dovecot LDA发送邮件给group的uniqueMembers? 谢谢 菲利普
将SAPlogin与Microsoft LDAP集成的最佳方式是什么? 我想让我的用户使用他们的Windows Active Directory帐户login到SAP GUI。
机器: debian wheezy 十一 命令: ldapsearch -ZZ -h ad.unsw.edu.au -x perl -we "use Net::LDAP; print Net::LDAP->new ('ad.unsw.edu.au')->start_tls(verify => 'require', capath => '/etc/ssl/certs/')->{errorMessage}" 结果: 机器1,命令1:TLS:主机名与对等证书中的CN不匹配 机器1,命令2:工作 机器2,指令1:工作 机器2,命令2:无法确定对等主机名以进行validation 我不能解释不一致,我真的想要命令2在机器上工作2.任何想法? 在strace之后,看起来像debian-ldapsearch正在查看/etc/ssl/certs/ca-certificates.crt并且suse-ldapsearch正在查看任何内容。 debian- Net::LDAP正在查看/etc/ssl/certs/157753a5.? ( AddTrust_External_Root.pem )和suseNet Net::LDAP正在寻找什么。
我在Ubuntu操作系统的机构上设置了Kerberos和LDAP进行目录pipe理。 我正确地configuration了LDAP和Kerberos。 用户的主目录位于LDAP目录中。 用户login时,authentication过程授予用户访问计算机的权限。 但是他们没有获得对LDAP分区的写权限,导致桌面环境(DE)无用。 从命令行键入klog并提供密码可以解决问题,但是从DE开始,打开terminal键入klog永远不会有任何变化。 当然,预期的行为是在login时调用klog,以便用户直接访问他们的LDAP目录。 我错过了一个包吗? 或者我应该在login过程中添加klog? (如果是的话,在哪里?)