我正在开发一个Web应用程序,并且要求使用LDAP进行身份validation/授权。 我对LDAP的经验有限,我想了解如何定义模型,或者使用现有的模型(如果有的话)来将授权信息存储在LDAP服务器中。 通过查看各种LDAP服务器,在我看来,虽然身份validation或多或less都以相同的方式处理,但授权是LDAP服务器特定的,甚至可能是特定于应用程序的。 例如,我已经看到了一个Oracle Internet Directory模型,其中组用于指示angular色,组的用户在该组(即angular色)条目中显示为多值属性。 我还看到了在Microsoft Active Directory安装中使用对称方法的模型,即用户所属的组和权限在用户条目中表示为多值属性。 所以我的问题是: [1]是否有关于如何在LDAP服务器上组织授权信息的已build立的/突出的模型? [2]如果存在这样的话,我可以依靠现有的工具来pipe理angular色,权限和用户吗? 我的想法是将该工具交给客户的pipe理员,而不必自己开发自定义的组/angular色/ privilleges /用户pipe理前端模块。
我正在configuration一个CollabNet Subversion集成。 我有以下collabnet_subversion.conf文件: <Location /svn> DAV svn SVNParentPath /mnt/svn/new_repos SVNListParentPath on AuthName "VegiBanc Source Repository" AuthType basic AuthzLDAPAuthoritative off AuthBasicProvider ldap AuthLDAPURL ldap://ldap.vegibanc.com/dc=vegibanc,dc=com?sAMAccountName" NONE AuthLDAPBindDN "CN=SVN-Admin,OU=Service Accounts,OU=VegiBanc Users,OU=vegibanc,DC=vegibanc,DC=com" AuthLDAPBindPassword "swordfish" </Location> 这很好。 我们的Active Directory中的任何用户都可以访问我们的Subversion存储库。 现在,我只想限制Active Directory组中的人员开发 : <Location /svn> DAV svn SVNParentPath /mnt/svn/new_repos SVNListParentPath on AuthName "VegiBanc Source Repository" AuthType basic AuthzLDAPAuthoritative off AuthBasicProvider ldap […]
有谁知道在LDAP中设置电子邮件别名时使用什么scheme? 我可以使用任何东西,但使用“标题”作为电子邮件别名似乎有点滥用。 extensibleObject可能是正确的使用,但似乎是错误的。
我最近开始使用ejabberd,我正在设置ldap模块。 有一行{ldap_password,“secret”}。 在纯文本中询问我的ldap密码的地方有一种隐藏方式,就像把它放在另一个文件中然后链接。 只是把我的LDAP密码放在那里,我感觉不舒服。
我在Windows AD环境中启用了LDAPS。 使用LDP.exe,我可以连接到有问题的服务器在端口636与SSL选项都选中和取消选中。 这是否意味着明文正在通过端口636传递选项未选中? 是否有可能强制服务器只监听端口636上的SSLstream量? SSL未选中: ld = ldap_open("server.domain.com", 636); Established connection to server.domain.com. Retrieving base DSA information… Getting 1 entries: Dn: (RootDSE) SSL检查: ld = ldap_sslinit("server.domain.com", 636, 1); Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 0 = ldap_connect(hLdap, NULL); Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv); Host supports SSL, SSL cipher strength = 128 bits Established connection […]
当使用Apache Directory Studio在dc=example,dc=com下添加一个新用户时,我有这个树结构: dc=example,dc=com |– ou = engineering |– cn = Lawrence KH Loh+o=IKEA+sn=Loh+uid=lawrence+displayName=Lawrence 以下是cn的属性列表。 objectClass = inetOrgPerson objectClass = organizationalPerson objectClass = person objectClass = top cn = Lawrence KH Loh sn = Loh displayName =劳伦斯 o =宜家 uid =劳伦斯 userPassword = SSHA散列密码 有这个错误LDAP: error code 49 – INVALID_CREDENTIALS: Bind failed: Attempt to lookup […]
我已经安装并运行了Samba v4.0.5。 它正在运行自己的“绑定”ldap服务。 我很高兴它使用自己的内部ldap服务,但我希望它使用外部ldap服务进行身份validation。 有人能告诉我该怎么做吗? PAM? 在smb.conf中configuration语句? 其他?
我是SSSD的新手,但是我认为我正确地configuration了它,考虑了id {ldap user}为多个testing用户返回了期望的uid和gid值。 我使用两台CentOS 6.4服务器作为testing机器。 一个运行ApacheDS和另一个SSSD。 但是,当我试图通过SSH或直接在控制台上login,使用任何一个用户,我得到访问被拒绝。 我已经花了最后的几天浇注SSSD日志,我不知道还有什么地方看。 而不是包括所有的configuration文件,我现在只是说,我在客户端服务器上运行以下authconfig –enablesssd –enablesssdauth –enablelocauthorize –update 。 请检查下面的我的SSSDconfiguration和这里 SSSD_Default日志。 让我知道你想看什么额外的日志,我会尽快把他们拉。 谢谢你的帮助! cat /etc/sssd/sssd.conf [SSSD] config_file_version = 2 服务= nss,pam 域=默认 debug_level = 4 [NSS] filter_users = root debug_level = 4 [PAM] debug_level = 4 [域/默认] debug_level = 4 ldap_tls_reqcert =从不 auth_provider = ldap ldap_schema = rfc2307 ldap_search_base = […]
我正在升级各种Debian 6服务器到Debian 7.有一些小问题,但这是一个展示塞尔。 在Debian上,Postfix运行在chroot环境中。 该环境设置正确(它在Debian6上工作正常)。 我只使用debian版本库的稳定版本中的软件 相关的(部分)configuration(匿名): 在/ etc / default / saslauthd中: START=yes DESC="SASL Authentication Daemon" NAME="saslauthd" MECHANISMS="ldap" MECH_OPTIONS="" THREADS=5 PARAMS=" -m /var/spool/postfix/run/saslauthd -O /etc/saslauthd.conf" OPTIONS=" -m /var/spool/postfix/run/saslauthd -O /etc/saslauthd.conf" PIDFILE="/var/spool/postfix/run/saslauthd/saslauthd.pid" 在/etc/saslauthd.conf中: # With multiple servers, separate URIs with a space ldap_servers: ldaps://my.ldap.server # Don't use SASL to connect to LDAP!! (Use SSL) #ldap_version: […]
我有一个设置了LDAPS(openldap)的Centos 6.3虚拟机虚拟机快照。 我已经在几天前根据不同来源的提示设置了它,然后写下了所有内容。 但是,当我试图重复安装(按照我自己的指示),我没有这样做:SSL握手被丢弃,就好像服务器完全configuration了错误的SSL证书。 它看起来像是如果我指出服务器configuration到不存在的证书文件。 我在本地运行所有检查(使用ldapsearch和“openssl s_client”)。 更糟糕的是,在我的快照中,LDAPS在重启后会停止同样的问题。 在不重启的情况下重启slapd / nslcd / nscd服务不会中断0_o将同一虚拟机的准确configuration和证书复制到同一虚拟机的快照(无LDAPS设置)并不起作用。 这就是为什么这个问题似乎与configuration和证书无关。 我花了超过10个小时的时间,但仍然有一个强烈的愿望去了解原因。 我明白为什么这个问题只在重新启动后才会发生,而不是在服务重新启动之后。 当Linux主机重新启动时,请随时发布重置为默认/粉碎/混乱的任何想法。 换句话说,在VM快照中捕获的单独服务的范围内,系统重新启动可能与服务重新启动有何不同? 我已经检查过了: 当然,logs / netstat / ps 一个tmp目录(每次重新启动都会清除,但不包含任何相关文件) 环境variables date(在快照中,date是错误的。修复date和重新启动服务不会中断LDAPS) 主机名/ IP(我正在使用手动分配的IP为这个实例。在重新启动和恢复networking设置后,我尝试重新启动服务没有成功) 服务参数和/ var / run目录下的slapd.args文件 将垃圾写入服务的configuration文件并重新启动,以查看是否使用了该文件。 / etc / env / .bashrc / .bash_aliases文件没有被修改,不应该干涉。 也许SELinux是一个原因(也许它在快照被禁用,明天将在工作中检查) 还有其他build议吗? 今天打得太累太累了…