我试图为一些开发者设置一个testingLDAP服务器,但是我遇到了一些麻烦。 service slapd start 错误,所以我跑 /usr/sbin/slapd -d 1 这给了我最后的错误: 无法打开pid文件“/var/run/ldap/slapd.pid”:13(权限被拒绝) slapd摧毁:释放系统资源。 slapd停止。 / var / run / ldap的权限如下: root@pec:/var/run/ldap# ls -ld drwxr-xr-x 2 openldap openldap 60 2012-07-04 20:45 所以我不明白为什么仍然有权限被拒绝。 运行slapd时,Syslog提供以下信息: Jul 4 21:00:27 pec slapd[13758]: @(#) $OpenLDAP: slapd 2.4.21 (Dec 19 2011 15:40:04) $#012#011buildd@allspice:/build/buildd/openldap-2.4.21/debian/build/servers/slapd Jul 4 21:00:27 pec kernel: [8147247.203100] type=1503 audit(1341428427.953:64): operation="truncate" pid=13758 parent=20433 […]
我的目标是build立一个代表我们IT资产清单的目录。 我相信LDAP是正确的路,因为它是作为一个层次结构构build的,search可以在分支和属性上完成。 但是,我在LDAP方面的经验有限。 我已经安装了一个服务器,configuration了它,添加了几个条目,玩了很多的查询,但我正在努力定义结构。 这是我想创build的一个例子: Org Servers |–Server1 |–VM1 |–Application1 |–Application2 |–VM2 |–Application3 |–Application4 |–Application5 |–… Users |–Joe |–Jane |–Bob Groups |–Admins |–Auditors |–… 另外,每个[server,vm,application]将有一个pipe理员,操作员,用户等。对用户或组部分的某种引用。 有没有任何模式实现这种关系? 如果不是我应该使用或创build什么对象类? 你将如何处理这个?
有没有办法在LDIF文件中执行下列操作之一? 尝试删除属性时忽略错误(attr未find) 要么: 如果属性存在,请修改它 如果不存在,则添加它
我将把check_mk的Multisite与OpenLDAP整合起来 。 configurationLDAP连接器后,打开“用户和联系人”页面时出现以下错误: Error executing sync hook The "Authentication Expiration" attribute (pwdchangedtime) could not be fetchedfrom the LDAP server for user {u'cn': [u'noreply']}. 以下是我为实现密码策略覆盖所做的所有步骤: 为OpenLDAP服务器安装覆盖模块: yum install openldap-servers-overlays 将以下行添加到/etc/openldap/slapd.conf中: include /etc/openldap/schema/ppolicy.schema modulepath /usr/lib64/openldap moduleload ppolicy.la 然后我重新启动OpenLDAP并尝试更改密码。 我确定它已成功更改,但在运行ldapsearch时看不到pwdChangedTime属性: $ ldapsearch -x -D "cn=Manager,dc=domain,dc=com" -y .passwd.cnf "cn=noreply" dn: cn=noreply,ou=it,dc=domain,dc=com cn: noreply mail: noreply at domain.com maildrop: noreply […]
我在Ubuntu 12.04上设置了一个新的OpenLDAP服务器,并带有我们当前LDAP数据库的副本。 我想,我已经完成了大部分configuration,但是我无法告诉LDAP查询是否被encryption。 我怀疑可能是与证书configuration错误,但我不知道如何说。 任何build议或意见,非常感谢!
我想知道是否可以在公司内部添加来自公司外部的人员,这样他们可以添加为不同邮件列表的成员。 显然,我正在寻找一个安全的方式来做到这一点,并不意味着他们将成为真正的AD用户。 以下是完整的用例:我将Jira与Active Directory / LDAP集成在一起使用,因此公司内部的人员不需要为他们创build帐户。 另外,我们将交换邮件列表映射到JIRA组,以便人们可以根据成员资格更改访问权限。 尽pipe如此,外部人员也可以使用相同的实例,即可以注册拥有新账户的人员。 现在这些帐户保存在本地,但这意味着如果我们想为他们创build组,我们需要从JIRA内部进行,Jira只允许pipe理员组织经理。 相反,Exchange Mailinglists确实有很大的优势,可以由其所有者或IT部门进行pipe理。 现在,我正在寻找一种方法,允许我为外部账户应用类似的解决scheme(显然,创build小组只能由内部人员完成)。 这是可能的,怎么样?
我已经在AWS上设置了一个简单的AD,我最终可以使用LDAP进行身份validation。 我不明白为什么我无法使用dc=这是广泛build议无处不在,但能够使用@domain 。 ldap_bind($ldapconn, "cn=Administrator,dc=ldap,dc=patontheback,dc=org", "<password>"); ldap_bind($ldapconn, "[email protected]", "<password>"); 这些不应该是相当的? @domain会一直工作还是特定于简单AD?
如果一个linux服务器使用LDAP进行身份validation,并且由于某种原因LDAP服务器closures,用户如何login? 我想答案是他们不能? 所以我想我真正要问的是系统pipe理员应该如何防范这种情况呢? 什么是最佳实践? 我的特殊情况是,我们有一小部分开发人员在less量的服务器上工作。 每个服务器上的个人用户帐户正在变得麻烦,所以我们希望通过LDAP实现集中authentication。 我担心在LDAP服务器上出现问题意味着没有人可以login任何东西。 所以我想弄清楚我们应该怎么做。 我的想法到目前为止: 拥有多个LDAP服务器以便我们没有单点故障似乎是一个好主意,但这会增加我们真正想要避免的复杂性。 我们是否应该确保在每台服务器上都有本地configuration的用户,如果LDAP不能正常工作,我们可以用它作为后门。 这是一个严重的安全妥协? 用户会看到LDAP服务器closures,他们只是input了错误的密码之间的任何区别?
今天,我在Active Directory环境中安装了Astaro Web Gateway(代理设备)。 我制作了一个GPO来强制广告用户将httpstream量发送到设备,而不是发送到默认网关。 GPO只是编辑Internet Explorer的代理设置。 据我记得,我发现GPO模板在user..window coponent … internet explorer …代理设置。 策略运行良好,但有一个大不了的事情,它不会阻止用户手动清除该设置。 有没有办法来拒绝编辑该设置? 或者也许另一个GPO做这项工作?
我正在运行10台执行不同types工作的Linux机器。 机器被configuration为使用LDAPauthentication,因此当一个用户在slapd中configuration时,他可以在所有机器上login。 为了使维护更容易,我想在slapd中创build一个root帐户,所以我可以在安装应用程序等时使用它来代替本地root帐户,但我不确定如何执行此操作。 创build一个名为root和gid / uid 0的用户就足够了吗? 应该以某种方式禁用本地根? 我完全意识到,从安全angular度来看,这通常不是一个好主意,但是如前所述,这是一个特例。