我有一个服务器,我正在运行nslcd查询AD服务器,并将其用于授权,这是按预期工作。 现在,我引入了nscd来减lessAD服务器上的负载。 结果有点奇怪。 如果我正常运行nscd进程(作为nscd用户甚至root用户),守护进程不会返回任何结果。 [root@ldap-auth-test ~]# id testuser1 id: testuser: No such user 现在,看看为什么它不起作用,我试图把这个过程搞定。 strace -p 8327 -f -s 1000 同时,我又在testuser1上做了一个id。 这次, [root@ldap-auth-test ~]# id testuser1 uid=10004(testuser1) gid=10046(A-TESTGROUP1) groups=10046(A-TESTGROUP1) context=root:system_r:unconfined_t:SystemLow-SystemHigh 我多次尝试,看看这是否是巧合,并观察到它不是。 我试图不附加到线程,并可以看到,nscd不工作时,我不附加到线程。 任何帮助是极大的赞赏。 [root@ldap-auth-test ~]# lsb_release -a LSB Version: :core-3.1-amd64:core-3.1-ia32:core-3.1-noarch:graphics-3.1-amd64:graphics-3.1-ia32:graphics-3.1-noarch Distributor ID: CentOS Description: CentOS release 5.5 (Final) Release: 5.5 Codename: Final PS:我也问过Stackoverflow ,因为我不知道在哪里问。 如果有人能指出哪一个是我的,我会删除不相关的。 […]
有没有办法在Linux(Redhat / CentOS)系统上设置OpenLDAP,以便当用户从LDAP服务器上删除或者他/她从“login已被授权”组中删除时,他/她的所有开放terminal会话都是立即(或快速)closures? 我正在寻找的序列是: user1通过PAM / LDAP使用bash会话login 另一个具有LDAPpipe理权限的用户将用户从LDAP数据库中删除(或将用户从可以login到该系统的组中删除) 我想要什么:bash会话被停止 除了限制会话的持续时间和等待会话结束之外,我找不到任何选项。
题 什么SELinux上下文我需要什么文件来获得apache ldap(通过SSL)auth工作? 或者它是一个networking协议或系统调用或其他什么东西? 环境 Centos 7上的Apache 2.4使用基于ssl的基本ldap身份validation。 有了SELinux许可( setenforce 0 ),一切运行良好。 我可以用ldap完美地login到受保护的目录。 当启用SELinux( setenforce 1 )时,apache不能执行ldapsearch并允许用户通过。 这与ssl或证书有关,我无法弄清楚。 在/ var /日志/的httpd / ssl_error_log [Thu Mar 17 15:33:32.529755 2016] [authnz_ldap:debug] [pid 6412] mod_authnz_ldap.c(501): [client 158.158.193.232:17386] AH01691: auth_ldap authenticate: using URL ldaps://ldap-ad.example.org:636/ou=Auto-Accounts,dc=example,dc=org?sAMAccountname?sub [Thu Mar 17 15:33:32.530792 2016] [ldap:debug] [pid 6412] util_ldap.c(372): AH01278: LDAP: Setting referrals to On. […]
我有 dn: ou=people,dc=example,dc=com objectClass: organizationalUnit ou: people 和一组pipe理员为它: dn: cn=people-admins,ou=groups,dc=example,dc=com objectClass: groupOfUniqueNames cn: admins of people group uniqueMember: uid=admin1,ou=people,dc=example,dc=com 我添加这样的规则允许people-admins添加/删除/修改用户组中的用户 dn: olcDatabase={1}hdb,cn=config changetype: modify delete: olcAccess – add: olcAccess olcAccess: to attrs=userPassword,shadowLastChange by self write by dn="cn=admin,dc=example,dc=com" write by anonymous auth by * none olcAccess: to dn.one="ou=people,dc=example,dc=com" by group.exact=cn=people-admins,ou=groups,dc=example,dc=com write by self write by dn="cn=admin,dc=example,dc=com" […]
我正在尝试使用ldapadd将条目添加到Active Directory中。 这是我的ldif文件: DN: CN=John_Smith,CN=Users,DC=ad,DC=example,DC=net objectClass: user CN: John_Smith sn: John givenName: Smith displayName: John_Smith sAMAccountName: jsmith userPrincipalName: [email protected] 我知道,如果您尝试修改/更新或添加用户密码,Active Directory将要求您有一个到服务器的SSL连接。 但是,这没有我试图更新用户密码失败。 这是回应: adding new entry "CN=John_Smith,CN=Users,DC=example,DC=net" ldap_add: Server is unwilling to perform (53) additional info: 00002035: LdapErr: DSID-0C090D64, comment: Operation not allowed through GC port, data 0, v2580 此活动目录使用AWS Directory Service向导进行部署。
我正在尝试与Windows Active Directory服务器一起集成SLES以进行身份validation。 我们需要使用sAMAccountName作为login名,但是如果我们没有在ldapsearch命令上提供DOMAIN / sAMAccountName,那么它将无法绑定。 但是,应用程序的login窗口不支持在用户之前提供域名。 我configuration了ldap.conf和krb5.conf来提供身份validation。 有什么办法给“DOMAIN /”开始的sAMAccountName作为默认的绑定? 这工作正常:ldapsearch -x -LLL -h adserver.customer.entp.tgc -D CUSTOMER \ EXT123456 -w password -b“dc = customer,dc = entp,dc = tgc” 提前感谢您的回答。 nynonur
当我们的一个Windows客户端上的用户点击ctrl-alt-delete来更改他的密码时,我们的Samba域控制器将被通知并执行密码更改。 不幸的是,需要密码复杂性的组策略规则被忽略。 此外,我们最近开始实施Kerberos,并没有设立桑巴来更新校长。 我觉得解决这个问题的最简单的方法是禁用域上Windows客户端的密码更改(用户可以使用我们的Web服务来更改密码)。 什么是最简单的方法来实现呢? 希望在smb.conf中。
打开LDAP是一个很好的解决scheme,以一个集中的方式来validation用户在网站上的身份? 是在networking中心?
我想复制一个LDAP子树:我的软件使用 OU =软件,O =公司,C = FR 我想要使用该软件的第二版 OU = software_v2,O =公司,C = FR 我试过JXplore复制树,这对于开发服务器来说是好的,但是我需要在数据中心的生产服务器上。 有没有openldap命令,任何脚本来做到这一点,或者我必须创build它? 最好的祝福, 塞德里克
我们以前的系统pipe理员从全职人员走到了“按需”,让我用“任务”来pipe理局部networking的一部分。 我的工作之一是改变用户的密码(除非由于某种原因,他们不能自己做这个密码)。 对于我所能理解的,有一个主LDAP服务器,用来对用户进行无数的authentication:ssh,redmine,samba,zimbra等等。 他指示我遵循的更改用户密码的过程包括: 启动LDAPpipe理 (Windows版本) 使用特定的凭据login(cn = admin,dc = domainname) 导航到用户 右键单击用户,然后“设置密码” 由于我没有Windows,所以只是为了更改LDAP的密码而投入虚拟机很愚蠢。 我自己也很固执,我不相信这是唯一的出路。 我不熟悉LDAP,但我几乎可以肯定,它从来没有打算用这种方式! 我的问题 :你推荐什么工具来完成这项工作? 我尝试了LDAPManager的OSX,但它没有“更改密码”button。 我试图改变SambaPassword字段(和其他..),但无济于事。 前系统pipe理员说,他已经尝试了所有可用的工具,Windows版本是唯一一个允许你设置密码的工具。 [在这里插入WTF] 到目前为止,我尝试了什么: phpldapadmin安装在服务器上,但是我认为它是错误configuration的,因为一旦我login,我什至不能看到正确的域名 ldapadmin下的ldapadmin ,但非常不稳定 ldappasswd但不明白是怎么回事,它总是给我: 请input您的密码:ldap_sasl_interactive_bind_s:凭据无效(49) 不pipe我尝试什么。 现在,LDAP对我来说有点黑暗的魔力。 当几年前我在做系统pipe理员工作时,我从来不需要configuration一个系统pipe理员。 现在我不明白,如果我做错了什么,如果服务器只是configuration不当,或者如果真的改变用户的networking密码的唯一方法是依赖于Windows的工具(有点不相信)。 所以我问你们所有人:我该怎么办? 而且,它是否必须如此复杂? 我们这里只有10个人,这么浪费所有的时间和精力去做这样一个不可用的系统真的有意义吗? 注意:我知道有些脚本每隔几分钟就会运行一次“以保持LDAP密码和其他密码同步”,但是我没有对服务器的root访问权限,也不会在任何时候给出。