我试图在apache 2.2服务器上的网站上安装基本的LDAP身份validation。 我把它放在我的/etc/apache2/apache2.conf文件中 LoadModule ldap_module /usr/lib/apache2/modules/mod_ldap.so LoadModule authnz_ldap_module /usr/lib/apache2/modules/mod_authnz_ldap.so 我find了这些模块,所以我相信他们存在。 我把它放在我的/ etc / apache2 / sites-avaible / default中 <VirtualHost *:80> ServerName monitoring.site.local DocumentRoot /var/www/Monitoring/public <Directory /var/www/Monitoring/public> AuthBasicProvider ldap AuthType Basic AuthzLDAPAuthoritative off AuthName "Monitoring" AuthLDAPURL "ldap://dc1.site.local:389/DC=site,DC=local?sAmaccountName?sub.(objClass=*)"NONE# AuthLDAPBindDN "CN=Admin,CN=Users,DC=site,DC=local" AuthLDAPBindPassword secret require valid-user …. 但是,当我尝试重新启动我的服务器,我得到这个错误 / etc / apache2 / sites-enabled / 000-default的第23行的语法错误:无效的命令'AuthBasicProvider',可能是拼写错误或未包含在服务器configuration中的模块定义的操作'configtest'失败。 Apache错误日志可能有更多的信息。 …失败! 我试图用a2enmod启用一些没有成功的模块。 […]
对生产MySQL实例实施访问控制的最佳方式是什么? 目的不是禁止开发人员访问MySQL,而是执行LDAP身份validation和对数据库的MySQL修改进行审计日志logging。 有没有一种方式的命令行客户端MySQL提供,LDAP身份validation和审计日志logging?
我们是一家小公司,我们的IT经理正在离开。 我们试图更改所有的密码以获得额外的安全性,而用于validationLDAP目录的pipe理员名称是他的用户名,不像“admin”或“diradmin”。 我们如何将用户名更改为更一般的?
我有一个连接到LDAP的Fedora Linux服务器,我无法以普通用户的身份login到它。 我仍然可以以root身份login,但即使如此,我也无法创build我的普通用户的主目录。 LDAPconfiguration为自动挂载用户的主目录,但这似乎没有发生。 遗憾的是,mkdir没有给我有用的错误信息。 例如 [myuser@localhost ~]# ssh myuser@otherhost Connection closed by otherhost [myuser@localhost ~]# ssh root@otherhost [root@otherhost ~]# cd /home [root@otherhost home]# ls [root@otherhost home]# mkdir myuser mkdir: cannot create directory `myuser': No such file or directory 什么是造成这个错误? 我怀疑有LDAP的东西已经成熟,这阻止了目录的创build。 不过,我不知道从哪里开始研究,因为我没有看到任何有用的错误消息。 我应该如何调查? 谷歌search创build主目录的问题只给我一百万关于使用mkdir -p条目,这没有帮助。 编辑:otherhost:/ etc / fstab包含以下行,它定义了/ home的挂载点: /dev/mapper/vg_otherhost-lv_home /home ext4 defaults 1 […]
我刚刚在Debian Squeeze系统上做了一个初始的Samba / LDAPconfiguration。 我将一个用户添加到ldap目录并安装了libnss-ldap。 我现在可以使用新创build的用户成功login到系统,所以看起来Debian本身没有任何问题与LDAPvalidation。 我根据许多教程configuration了Samba,但由于我configuration了LDAP,所以我无法连接到共享。 这里是smb.conf: [global] workgroup = ANDROCS passdb backend = ldapsam:ldap://127.0.0.1/ log level = 5 log file = /var/log/samba/log.%m max log size = 100 time server = Yes domain logons = Yes preferred master = Yes domain master = Yes wins support = No # LDAP ldap admin dn = […]
这实际上是一个更普遍的问题,但我在特定的情况下提出这个问题。 如何解决失败的Samba / LDAPlogin/authentication? 我正在学习Samba / LDAP的过程。 我目前有一个testing机器,我有Samba和openLDAP,我创build了一个单一的posix / samba用户,我想尝试login到networking共享。 从运行Debian的其他机器上,我使用Gnome“连接到服务器”function来尝试加载共享。 我input所有的相关信息,但input密码后,提示不断回来。 它一再要求我的密码,而不给我一个错误。 到目前为止,我一直在拖尾/var/log/syslog文件并查看slapd输出: Aug 1 11:05:16 androserve slapd[3358]: conn=1007 fd=19 ACCEPT from IP=127.0.0.1:52280 (IP=0.0.0.0:389) Aug 1 11:05:16 androserve slapd[3358]: conn=1007 op=0 BIND dn="cn=admin,dc=androcs,dc=com" method=128 Aug 1 11:05:16 androserve slapd[3358]: conn=1007 op=0 BIND dn="cn=admin,dc=androcs,dc=com" mech=SIMPLE ssf=0 Aug 1 11:05:16 androserve slapd[3358]: conn=1007 op=0 RESULT tag=97 […]
SASL / PAM / LDAP让我疯狂……当我在这个领域上search问题时,我读了很多东西,以及我自己的经历:-S我想让Cyrus imap在CentOS上为虚拟主机工作授权后端,真的不知道发生了什么事情。 在saslauthd中,我configuration了LDAPsearchfilter,但看起来像pam完全忽略了它。 这是我做testing(做更多的testing,但都有类似的结果): [root@testserv ~]# imtest -u [email protected] -a [email protected] WARNING: no hostname supplied, assuming localhost S: * OK [CAPABILITY IMAP4 IMAP4rev1 LITERAL+ ID STARTTLS] testserv. Cyrus IMAP4 v2.3.7-Invoca-RPM-2.3.7-7.el5_6.4 server ready C: C01 CAPABILITY S: * CAPABILITY IMAP4 IMAP4rev1 LITERAL+ ID STARTTLS ACL RIGHTS=kxte QUOTA MAILBOX-REFERRALS NAMESPACE UIDPLUS NO_ATOMIC_RENAME UNSELECT […]
我们正在将所有的Mac从本地login迁移到OpenDirectorylogin,以确保一切安全,同时解决了Tiger服务器在AFP共享驱动器上的权限问题。 为了简化,我希望用户能够login到他们的OpenDirectory帐户,然后我希望AFP共享点使用他们刚刚login的凭据进行挂载。 首先,这是可能的(我认为是这样),其次我该怎么去做呢? 干杯, 戴夫
我将OpenLDAPconfiguration为在三个不同的后端之前充当元目录: database meta uri "ldap://ldap1.example.com/ou=domain1,o=combined" uri "ldap://ldap2.example.com/ou=domain2,o=combined" uri "ldap://ldap3.example.com/ou=domain3,o=combined" # …and some suffixmap rules… 我无法控制任何后端目录服务器。 后端提供了部分重叠的信息,有可能有人在不同的后端服务器上拥有相同用户名但密码不同的帐户。 是否有可能在后端执行某种sorting,使得(a)OpenLDAP将总是以相同的顺序查询后端,(b)在find匹配之后返回单个结果(并停止search)? 据我所知,可以并行查询后端,也可以按照与slapd.conf中列出的顺序无关的顺序进行查询。
我在LDAP身份validation故障切换时遇到问题。 目前我们有两个CentOS-DS目录服务器在多主设备中工作。 每个站点一台服务器。 通常,login过程正常。 但是,我在故障切换部分遇到问题。 如果ldap_SiteA.domain.local出现故障,则该位置中通常指向该位置的所有服务器都不会再查看第二个条目:ldap_siteB.domain.local。 我们使用ldaplogin和Sudo。 以下是在Site A中运行的CentOS 5.6服务器上的/etc/ldap.conf的副本(对于站点B,服务器的顺序是颠倒的) 下面是我写过的通过LDAP进行身份validation的脚本的一部分: authconfig –enableldap –enableldapauth –enablemkhomedir –ldapserver=ldap_siteA.domain.local,ldap_siteB.domain.local –ldapbasedn="dc=domain,dc=local" –update echo 'sudoers: files ldap' >> /etc/nsswitch.conf echo 'base dc=domain,dc=local timelimit 15 bind_policy soft bind_timelimit 30 idle_timelimit 30 uri ldaps://ldap_siteA.domain.local/ uri ldaps://ldap_siteB.domain.local/ ssl yes tls_checkpeer no pam_password clear #debug used for troubleshooting #sudoers_debug 2 sudoers_base ou=SUDOers,dc=domain,dc=local ' > […]