我已经为我们的财务团队在Ubuntu 12.04上设置了一个Samba共享,他们通过Windows 7和Mac OS X访问它。他们使用他们的LDAP凭证来挂载共享。 我们所有的LDAP用户都有“雇员”作为他们的主要群体,财务团队属于一个名为“财务”的次要群体。 当任何财务团队成员在Samba共享中创build一个文件夹时,该文件夹的组默认为“employees”。 如何强制在共享上创build的所有文件和文件夹将该组设置为“融资”?
已解决:原来的问题是由于在各种configuration文件中遗忘了遗留的LDAPTrustedGlobalCert指令而造成的,对于相同的FQDN使用旧证书 tl; dr:我们使用一个自签名的CA,我们从来不必使用禁用证书validation的指令:如何让Apache信任我们的mod_ldap自签名CA? 我正在尝试将我的Apache Web服务器configuration为使用LDAP目录作为用户基的HTTP身份validation。 一切工作正常在非encryption模式,但与SSL或STARTTLS HTTP 500错误代码失败。 这是我的Apacheconfiguration: AuthType Basic AuthName "WebServer" AuthBasicProvider ldap AuthzLDAPAuthoritative on # Plain: AuthLDAPURL "ldap://ldap.example.com/dc=example,dc=local?uid?sub?(objectClass=person)" # SSL: LDAPTrustedGlobalCert CA_BASE64 /etc/ssl/certs/ca-certificates.crt AuthLDAPURL "ldaps://ldap.example.com:636/dc=example,dc=local?uid?sub?(objectClass=person)" SSL # StartTLS LDAPTrustedGlobalCert CA_BASE64 /etc/ssl/certs/ca-certificates.crt LDAPTrustedMode TLS AuthLDAPURL "ldap://ldap.example.com/dc=example,dc=local?uid?sub?(objectClass=person)" AuthLDAPBindDN "cn=webserver.example.com,ou=Apps,dc=example,dc=local" AuthLDAPBindPassword "secret" /etc/ssl/certs/ca-certificates.crt是多个CA证书(由ca-certificates Debian软件包生成)的串联。 我已经尝试了将LDAPTrustedGlobalCert指向LDAPTrustedGlobalCert或签署了ldap.example.com证书的subCA:同样的问题。 error.log说: # TLS: auth_ldap authenticate: user john-doe authentication failed; URI […]
观察DC A上相对于DC B每天在“AD Search Subops”计数器和“PROC LSASS%”计数器中的峰值; 它不在维护窗口中; 它每天开始营业。 – >消除了硬编码的问题,因为在DC B短暂的一瞬间,DC B出现了尖峰,这意味着连接知道如何去不同的DC,但是select不这样做。 – >我的问题是,它可以是链接成本的东西错误(不太可能,因为两个DC在同一个站点),是否有一些设置,使LDAP连接到1 DC,而不是采取随机的方法? – >两个DC都是2008 R2的。 如果细节很less,请详细说明,如果有任何要求,请询问我。
我无法使LDAP查询到达在Cisco PIX 506E防火墙后面的Windows Server 2012 R2上运行的Active Directory。 我的目标是为云中托pipe的一些应用程序(Digital Ocean)创build一个SSO环境。 我完全控制了服务器的整个networkingpath,并且已经在PIX上打开了端口389(LDAP)和636(LDAPS),并添加了一条静态语句将LDAPstream量转发到AD服务器。 正如我将在下面显示的,每当我尝试build立连接时,我都会在防火墙访问列表中遇到一些问题,但是我不成功。 以下是我迄今为止所做的: 1.在防火墙上打开LDAP和LDAPS端口 fw1(config)# show access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024) alert-interval 300 access-list inbound; 4 elements access-list inbound line 1 permit icmp any any (hitcnt=383) access-list inbound line 2 permit udp any interface outside eq 1194 (hitcnt=3) access-list […]
有没有办法将特定用户的请求限制在AD中,以便他只能询问用户名或电子邮件地址是否存在? 用户不应该能够从AD请求其他数据。
是否可以设置无密码的LDAP用户login? 我想创build一个使用sudo权限运行批处理作业的用户。 因此,它可以ssh到多个机器,并运行作业,而不使用ssh-keygen,只有root有权修改它。 这样我就不需要暴露root密码或在多台机器上暴露root ssh。 我可以使用本地创build的login来实现这一点。 是否有可能我可以在LDAP中创build这个?
不知何故,我无法configurationslapd来启用对Debian Lenny的ldaps支持。 看起来OpenLDAP是用GnuTLS而不是OpenSSL编译的,这可能是问题的一部分。 我已经将以下选项添加到slapd.conf中: TLSCipherSuite TLS_RSA_AES_256_CBC_SHA TLSCertificateFile /etc/ssl/certs/myhost.pem TLSCACertificatePath / etc / ssl / certs / TLSCertificateKeyFile /etc/ssl/private/myhost.pem TLSVerifyClient永远不会 和以下到ldap.conf: URI ldap:/// ldaps:/// TLS_REQCERT永远不会 如果我尝试启动slapd,日志中会出现以下错误: 主要:TLS初始化def ctx失败:-64 难道这个由openssl生成的证书不能被GnuTLS读取吗? 有没有人在Debian上用ldaps支持configurationOpenLDAP? 如果是的话,任何提示如何使其工作将非常感激。 谢谢。 编辑 :find一个工作的TLSCipherSuite。
在命令行中,如何使用专有名称查找NT样式的名称? 也就是说,我想把“CN =爱丽丝史密斯,OU =总部,DC = Cyberdyne,DC =本地”,拿出来“CYBERDYNE \ ASMITH” 编辑:活动目录级别2003年,如果这件事。
我想知道是否有可能看到一个特定的login域用户的IP地址。 我已经在eDirectory中完成了这个工作,而且我相当确定在Windows Server的早期版本中不能这样做,但是我听说在Server 2008中是可以的。理想情况下,我想要一个LDAP查询。
这似乎是一个愚蠢的问题,但是…我是否需要nss_ldap和pam_ldap让我的用户在LDAP? 在我看来,pam_ldap会负责根据需要在LDAP服务器上指向一切,我不知道nss_ldap为我添加了什么。