join一家新公司,我inheritance了它的历史。 我发现用户和计算机对象属性lastLogonTimeStamp不可用。 我已经检查过AD Schema版本是2003 R2,域属性ms-DS-Logon-Time-Sync-Interval是“”(应该默认为14,现在我已经明确设置了)。 如果相关,第一个DC是SBS服务器。 (这是我第一次和SBS打交道,到目前为止,我很想把它烧起来。) 检查随机用户和计算机,我看不到LLTS。 我怎样才能强制这个属性存在? 这是CN = ms-DS-Logon-Time-Sync-Interval的Schema条目:
我是一名程序员,向系统pipe理员寻求帮助。 我有一个通过Active Directoryvalidation用户的Wordpress系统(网站),这是通过一个插件完成的。 我的客户想要用TMG网关来保护这个AD。 我正在阅读关于TMG,对我来说就像阅读中文(我不懂中文),但我所理解的是更多的服务器configuration问题比编程,因为我明白一个系统pipe理员应该configurationLDAP服务器被这个预测TMG网关。 所以,不需要编程,因为这对外部连接应该是透明的。 这是正确的吗? 我的意思是,在告诉我的客户没有编程任务需要之前,我想确定一下。 谢谢
我目前使用ActiveDirectory在我的Ubuntu 10.04服务器上使用名为Centrify Express的工具进行身份validation。 Centrify具有在/etc/pam.d/common-auth中configuration的自定义.so文件。 我想为SFTP用户(不是SSHlogin)进行正常的LDAPauthentication(绕过centrify)。 我如何configuration/etc/pam.d/sshd尝试对SFTPlogin进行LDAP身份validation,而不是SSHlogin? 这个想法是,我的SFTP OU将允许用户下载和上传文件,但他们将无法获得一个壳。
我遇到了一个问题,即最近创build的用户无法login,即使他们已被添加到正确的组。 查看错误日志时,我收到这些错误: smb_pam_accountcheck: PAM: Account Validation Failed – Rejecting User name_of_the_user! [2012/05/25 13:32:08.435697, 0] auth/pampass.c:586(smb_pam_account) smb_pam_account: PAM: UNKNOWN PAM ERROR (12) during Account Management for User: name_of_the_user [2012/05/25 13:32:08.435763, 0] auth/pampass.c:794(smb_pam_accountcheck) 我正在运行的系统是具有Samba 3.5.6的Debian稳定机器。 任何想法可能会导致这种或任何方式从桑巴获得更多的信息(考虑到“UKNOWN PAM错误”是相当神秘)。 编辑:正如在评论中所讨论的,我已经添加了额外的日志(日志级别3)。 还有更多logging,虽然这是我发现它看起来可能是有趣的: [2012/05/25 15:28:13.682595, 3] auth/auth.c:265(check_ntlm_password) check_ntlm_password: sam authentication for user [name_of_user] succeeded [2012/05/25 15:28:13.682650, 3] smbd/sec_ctx.c:210(push_sec_ctx) push_sec_ctx(0, 0) : […]
我们正在尝试启动并运行OpenLDAP的一个实例。 我正在使用ApacheDS作为浏览器。 当我在LDAP数据库中创build对象时,我发现许多对象和属性不符合我打算使用它的目的。 所以,我自然想要扩展架构。 我遵循http://www.rainingpackets.com/how-to-add-schema-file-openldap-24/中的说明,我看到有一个“path”cn = schema,cn = config。 我应该能够通过我的LDAP浏览器看到这个path吗? 每当我尝试连接到该位置,它出错(说无效凭据)。 README的path是“dc = maxcrc,dc = com”,ApacheDS证实了这一点,我可以在这里login。 如果有人可以提供一些OpenLDAP的头脑的洞察力,我会很感激。 MJ
在我目前的LDAP模式中,我有一个对象类(让我们称之为组 ),它有两个扩展用户密码的属性。 喜欢这个: attributeType ( groupAttributes:12 NAME 'groupPassword1' SUP userPassword SINGLE-VALUE ) attributeType ( groupAttributes:13 NAME 'groupPassword2' SUP userPassword SINGLE-VALUE ) 组扩展组织已经有一个userpassword属性。 如果我使用它来使用PHPLDAPAdmininput一个新组,它将使用SSHA(默认)并encryption/散列我input的密码。 但是我input的groupPassword1和groupPassword2的密码没有被encryption。 有没有办法让这些属性也被encryption呢?
我们有一套专门用于我们的分销商和合作伙伴的各种networking应用程序。 有些是标准的软件包,如Alfresco,其他的是定制的网站。 全部受到login保护。 我们希望我们的用户为所有这些应用程序提供单一login。 因此,我们正在考虑设置OpenLDAP服务器来提供所有这些应用程序身份validation请求。 我们应该在哪里存储应用特定的用户权限? 比如,谁可以使用app1,谁可以使用app2和哪个angular色? 是否应将其存储在LDAP或应用程序数据库中? 换句话说,我们是否应该只保留LDAP来进行基本的身份/身份validation查找,并跟踪哪些人可以在每个应用程序的数据库中使用哪个应用程序? 或者我们可以将所有这些信息存储在LDAP中(这是有道理的)? TIA为了摆脱一些光线。
我一直无法find与我想要达成的目标有关的任何事情 我有一个使用Spring Secuirty 3.1的Web系统,它需要链接Active Directory中的用户。 对于我的开发人员,我只是将它们存储在spring-security.xml文件中。 这很好,但对于生产,我需要从Active Directory链接用户。 我现在有这个工作,所以我可以login等,所以这不是问题。 我的问题是,在我的本地开发工作中,我有用户和“组”,即ROLE_USER和ROLE_ADMIN。 在Active Directory中,有两个组映射到这些名称。 我需要做基于这些angular色types的URL拦截URL,但我不知道如何做到这一点的活动目录。 这是我的本地开发版本,硬编码身份validation提供程序中的用户。 这需要forr活动目录: <http auto-config="true" disable-url-rewriting="true"> <intercept-url pattern="/test/*" access="ROLE_USER, ROLE_ADMIN" /> <intercept-url pattern="/admin" access="ROLE_ADMIN" /> <intercept-url pattern="/list*" access="ROLE_USER, ROLE_ADMIN" /> <form-login login-page="/login" default-target-url="/home" authentication-failure-url="/loginfailed" /> <logout invalidate-session="true" logout-success-url="/logout" /> <session-management invalid-session-url="/login"> <concurrency-control max-sessions="1" error-if-maximum-exceeded="true"/> </session-management> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER" […]
我们正在将我们networking的一小部分离线,并使用该部分运行单独的networking。 (小部分我的意思是2台服务器,将连接到30个奇怪的盒子,通常不是我们的networking的一部分,并且不需要authentication。) 我打算在其中一台服务器上创build虚拟机,以提供一般用户服务,以及IRC服务器,远程shell等。我希望用户能够使用他们通常的服务器日志详细信息。 问题是通常检查这些细节的LDAP服务器不是服务器之一。 所以我需要以某种方式把他们的细节closuresLDAP,并将其放在即将到来的服务器上。 我的一个build议是在本地设置虚拟机上的LDAP服务器,并将LDAP数据库克隆到它(使用称为slapcat的东西)。 这是最好的方法吗? 或者我可以将LDAP数据更改为本地authentication数据?
这是我的问题。 LDAP可以引用当前的Active Directory用户名而不是Pre-Windows 2000名称? 这里是问题的细节。 我们有一个新的Windows 2008 Server R2运行我们供应商的市政工资单和总账,其用户名是区分大小写的。 我们的供应商从我们的Active Directory(Windows Server 2003 R2)到我们的新服务器做了他们所谓的LDAP同步。 我们发现LDAP-synch使用Pre:Windows 2000名称,而不是当前用户名。 这是一个例子。 在我们供应商的应用程序中,他们在authentication之前将用户名缩小为小写,所以GSmith将以gsmith身份login。 那失败了,因为当前的用户名是gsmith,但是Pre Windows 2000的名字是GSmith,而GSmith是这个账号的设置方式,而我们的供应商的应用程序使用区分大小写的用户名。 并不是我们所有的Active Directory帐户都是这样设置的,但其中一些是。 我可以调整LDAP以使用Windows 2000以后的名称,或者这是不能configuration的LDAP的一部分?