背景:我想使用Google Apps Directory Sync(GADS)来同步运行Open Directory的Mac OS X Server(10.9)中的用户帐户和密码。 GADS安装在Ubuntu 12.04 LTS虚拟机上,并成功configuration为将用户帐户从Mac OS X Server同步到Google Apps。 但是,我意识到它可能无法同步来自Open Directory的用户密码。 对于密码同步,GADS需要以下内容:密码属性,密码时间戳属性和密码encryption方法。 支持的encryption方法有:SHA1,MD5,Base64,Plaintext。 我正在使用JXplorer检查Open Directory LDAP模式,并注意到对authAuthority(Authentication Authority)的引用。 有两个标签为authAuthority的LDAP属性 – 一个包含Kerberosv5的值,另一个包含ApplePasswordServer的值。 根据我对“开放目录pipe理员指南”的理解,与其他LDAP目录不同,OS X不在LDAPlogging中存储密码 – 它使用“SASL”机制 – 查询“AuthenticationAuthority”属性来确定位置用户密码可以被检索。 任何人都能确认我的评估吗 此外,如果是这种情况,您能否确认这将阻止我根据其要求使用GADS? 还有一个“userPassword”属性,其值为:(非string数据)。 这可能是什么?
我有几个独立的LDAP服务器,由不同的实体控制,允许匿名访问。 我想AD要告诉LDAP查询使用不同的服务器…像recursionDNS。 这可能在LDAP或特别是AD?
我需要从CentOS 6.5查询Active Directory DC的ldap部分。 ldapsearch允许我这样做,但是我在“ldapsearch”路上发现了两个颠簸: ldapsearch将长文本包装成几行。 不好。 ldapsearch将任何非ASCII字符转换为base64。 更糟。 我需要这两件事来自动化一个经常性的任务。 我已经search了一个解决scheme,但我还没有find一个。 有些页面告诉我CentOS 6.5的ldapsearch似乎没有实现的一些命令行开关。 有没有办法强迫centos 6.5的ldapsearch做我想做的事情,或者我必须去其他地方看看? 是否有任何其他替代ldapsearch,满足任何人都知道的需求?
我有一个约3-6个CentOS服务器的networking,约有5-10个用户(目前和不久的将来)。 我正在寻找一个集中pipe理用户的解决scheme。 我的要求是: Linuxauthentication(login到服务器) 与Samba集成 – 仅将Linux文件公开给Windows; 我不想使用此解决schemelogin到Windows机器 API到其他需要authentication的服务,如Redmine或Alfresco 简单的pipe理 尝试了OpenLDAP,但对于我的小型networking来说似乎太复杂了。 然后,我已经安装了RedHat的IdM(= FreeIPA),这很容易安装,并且非常好pipe理。 这也是基于LDAP,所以我认为它会和其他玩家一起玩。 令人惊讶的是,似乎IdM / FreeIPA并没有很好地与Samba集成。 此外,似乎我错了,IdM / FreeIPA不公开其LDAP服务器的其他服务 – 他们必须被Kerberized,这使业务复杂… 所以,合理的解决scheme似乎回到了LDAP。 我对么? 但即使使用LDAP,我也不确定什么是正确的方法… OpenLDAP / 389服务器 具有LDAP后端的Samba3或具有内置LDAP的Samba4 https://gna.org/projects/smbldap-tools/ 我甚至不知道我在问正确的问题:)
我们使用Apache mod_authnz_ldap来使用我们的LDAP Active Directory向Nagiosauthentication用户。 现在正在使用SamAccountName。 但是,Nagios正在使用SamAccountName作为login用户的名称。这对Author评论等造成了一个小问题(我们没有记住用户ID)。 有没有办法使用SamAccountName mod_authnz_ldap进行身份validation,但返回显示名称或名称? 这样作者评论会显示用户的真实姓名。 这里是我的httpd的nagios.conf: <Directory "/usr/lib64/nagios/cgi-bin/"> # SSLRequireSSL Options ExecCGI Options FollowSymLinks AllowOverride None AuthBasicProvider ldap AuthType Basic AuthzLDAPAuthoritative off AuthName "Active Directory Login" AuthLDAPURL "ldap://my.ldap.server:389/dc=my_dc,dc=my_dc,dc=net?sAMAccountName?sub" NONE Require valid-user </Directory> Alias /nagios "/usr/share/nagios/html" <Directory "/usr/share/nagios/html"> # SSLRequireSSL Options ExecCGI Options FollowSymLinks AllowOverride None AuthBasicProvider ldap AuthType Basic AuthzLDAPAuthoritative off […]
我试图通过使用LDAPsearchtestingLDAP for Moodle身份validation。 当我跑步 $ ldapsearch -H ldaps://totally.legit.hostname "(uid=jldugger)" -b dc=example,dc=org memberOf 我回头: ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) additional info: TLS error -5950:File not found` 我不清楚TLS错误是什么意思,而我的谷歌正在失败。 我明白AD服务器通常作为一个CA来使用,而且这个是不签名的,那是什么意思? 如果是这样,任何提示克服TLSvalidation,所以我可以继续找出正确的baseDN,OU和其他设置? 编辑1 :我可以用netcat打开一个端口到AD服务器,所以AD至less听取端口。
我正在AD服务器上设置LDAPS,以使用内部CA证书encryption域和Web服务器之间的LDAPauthentication。 AD服务器和Web服务器位于防火墙的一侧,但CA不是。 我们有两个AD服务器用于冗余。 我是否必须将两个AD服务器的证书安装到Web服务器上,以便从端到端encryptionLDAPS?
我正在尝试使用syncrepl为LDAP设置复制服务器。 我想使用Kerberos来validation消费者,因为我们已经设置好了,而且看起来更安全。 我的提供者和消费者的数据库定义如下。 当我启动消费者,我得到这个错误: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Credentials cache file '/tmp/krb5cc_55' not found) 我认为这意味着消费者没有有效的TGT。 如何configuration消费者以获得有效的TGT? 我读过一些推荐使用k5start或cron作业的较旧的源代码。 这仍然是做到这一点的方式吗? slapd.conf手册页指出authcid和authzid可以和bindmethod=sasl一起使用,但是它没有指定如何格式化这些页面。 我应该在这里放一个DN还是一个kerberos校长或者其他的东西? 我需要指定这些吗? 感谢您的帮助 消费者configuration: database bdb suffix "dc=example" rootdn "uid=someuser,cn=realm,cn=gssapi,cn=auth" directory /var/lib/ldap dirtyread overlay syncprov syncprov-checkpoint 100 10 syncprov-sessionlog 100 syncrepl rid=1 provider=ldap://provider.realm type=refreshAndPersist starttls=yes searchbase="dc=example" schemachecking=off bindmethod=sasl saslmech=gssapi […]
我在sssd.conf中使用ldap_access_filter来限制对特定ldap组中用户的访问。 但是,当我做一个“getent passwd”时,我仍然可以得到完整的ldap用户列表。 我怎样才能限制输出只有这个特定组的用户(最好与SSSD)?
我试图添加一个新用户通过Active Directory进行身份validation到Apache2(httpd)。 用户已经存在,属于一个域。 我本质上是遵循这个Apache和Subversionauthentication与Microsoft Active Directory文章中的说明。 但是,当我input: htpasswd C:\Apache2\conf\auth\svn_auth_file newuser1 我得到提示input新的密码(和它的重新input),然后我收到消息: Adding password for user newuser1 htpasswd: unable to update file C:\Apache2\conf\auth\svn_auth_file 什么可能会阻止该文件更新? 我究竟做错了什么?