使用CentOS目录服务器作为后端的域pipe理员的成员在Windows Server 2008中没有pipe理员权限。我已经join域,查看用户已填充,并且可以使用LDAP帐户login。 但是,来自域pipe理员的成员没有pipe理员权限。 我的smb.conf [global] workgroup = DOMAIN netbios name = COMPUTERNAME name resolver order = wins lmhosts hosts bcast time server = yes interfaces = lo eth0 192.168.2.0/24 hosts allow = 127. 192.168.0. socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 enable privileges = yes security = user passdb backend = ldapsam ldap admin dn […]
我不是一个非常有经验的Apache系统pipe理员(因为我是唯一一个知道任何东西的人),我真的被这个问题困住了。 由于过于热心的推销员,我不得不提出一个解决scheme快速… 基本上,我们有一个Apache服务器,除了别的以外,它用于代理到虚拟机上某些专有软件的传入连接。 每个客户都有自己的虚拟机和一个独特的URL。 这些URL被模糊处理,一个RewriteMap脚本用于根据LDAP目录中的信息(以及其他一些因素)来决定代理的位置: RewriteMap routing_map prg:/scripts/routing_map.pl RewriteRule ^/app/([^/]+)(.*)$ ${routing_map:$1:$2} [P,QSA,L] 这一切工作正常。 现在的问题是: 我们必须以类似的方式将另一个path和代理映射到虚拟机,但这次需要密码保护。 所有用户都位于不同组织单位下的LDAP目录中。 只有customerA的用户才能访问customerA的虚拟机。 有没有办法做一些类似的RewriteMap,但与安全性? 即基于URL的唯一客户部分,告诉Apache在searchLDAP以validation用户时使用不同的filter? 在下面的Apacheconfiguration示例中,我需要将XXXXreplace为正在访问的URL的唯一客户部分。 AuthType Basic AuthBasicProvider ldap AuthName "Restricted Access" AuthzLDAPAuthoritative on AuthLDAPURL ldap://ldap.local/dc=batch?sub Require ldap-group cn=customers,ou=group,dc=batch Require ldap-attribute x-od-customer=XXXX Satisfy All 大量的谷歌search和实验后,我完全卡住,需要一些build议,请 干杯!
我有一个700用户公司的trixbox IP PBX,目前这是一个痛苦的pipe理用户名和密码的过程。 我想使用LDAP身份validation连接到Trixbox,以便用户ID,密码等都集中维护。 我们还有其他几个应用程序对LDAP设置进行身份validation,如果我们也可以将LDAP用于trixbox,那将是非常好的。 任何帮助深表感谢
我想为不同级别的URL设置不同的LDAP授权规则。 这是目前使用的configuration <Location /> AuthType Basic AuthName "Foo" AuthBasicProvider ldap AuthLDAPURL "…" AuthLDAPBindDN "…" AuthLDAPBindPassword "…" </Location> <Location /> Require ldap-group cn=foo,ou=Groups,dc=com,dc=company </Location> <Location /path/> Require ldap-user bar </Location> 问题是/path/从/ inheritance了规则。 因此,用户bar能够访问/path/他也必须在foo组。 我怎样才能configuration用户bar能够访问/path/也不必成为组foo的成员? 编辑:改变ldap-group为ldap-user的/path/一个准确的问题描述。
有人可以给我一个path(或链接到文档/如何)在Cisco ASA for RemoteVPN(使用Anyconnect客户端)上实现双因素身份validation(LDAP密码+证书)? 目前我们的思科ASA(5505,8.4.3)configuration为使用OpenLDAP服务器进行密码authentication。 我们使用RemoteVPN与AnyConnect客户端(SSL VPN)。 我想将证书添加到authentication/授权过程中。 我不想使用任何外部证书颁发机构。 我甚至可能不需要每个用户的个人证书。 我需要的仅仅是检查用户是否具有有效的证书之前/之后/期间的身份validation/授权LDAP的密码。 说实话,现在我不清楚它应该如何工作。 1)首先,我不明白,应该在哪里configurationCisco ASA。 我应该通过我的OpenLDAP服务器为我的隧道组启用证书和aaa身份validation“(config-tunnel-webvpn)#authentication aaa certificate”吗? 那么它将如何工作? OpenLDAP是否支持证书validation? 或者我需要使用辅助身份validation来添加证书? 我需要然后configuration一些服务器,然后进行二次authentication? 或者我需要进行其他configuration,如CA权限? 那么CA权威机构如何从OpenLDAP获取用户名呢? 或者我可以为所有用户制作一个证书(这样的安全级别对我的公司来说是完全够用的)? 2)证书validation过程如何工作? 思科ASA如何validation证书? 是不是像openssl私人/公共密钥或不? 我可以在ASA上设置本地CA权限,但仍然可以从OpenLDAP获得所有用户吗? 它会从证书中提取用户名还是以某种方式使用证书本身进行身份validation? 非常感谢您提前。
我最近在玩LDAP,并尝试使用ApacheDS进行身份validation。 我无法安装我的Ubuntu客户端来打印LDAP用户列表(例如getent passwd )。 我在网上find了几个关于如何设置服务器端的教程。 我通过Apache Directory Studio来完成这个工作,而且根本没有任何问题 – 服务器启动并运行,Studio会看到我到达的用户和组。 我正在使用Apache DS网站的示例apache_ds_tutorial.ldif 。 我在网上发现了一些LDAP客户端设置,都是为OpenLDAPdevise的。 我也testing了一个,并成功地进行了validation。 但是,当我尝试以类似的方式对我的ApacheDS进行设置时,它将不起作用。 有谁知道我可以如何设置我的LDAP客户端的ApacheDS? 谢谢!
我与10名软件开发人员和一个由5名科学家组成的实验室(thelab.org)运行一个小公司(mycompany.com)的networking。 但总共有12人,其中3人为实验室和公司工作。 从某种意义上说,实验室是公司的子公司。 虽然有两个不同的域名(包括电子邮件和JID),实验室和公司共享一个共同的服务器。 在某一时刻,我们决定将用户迁移到LDAP,以便在办公室运行从LDAP副本,并进行集中式身份validation。 如果有一家公司,这不是问题,但是其中有两家我被困住了。 LDAP基础:一个还是两个? LDAP基础:基于DC还是基于O / O? 区分用户的公司/实验室的方法? 我们是否仍然使用组(我们现在有用户/组在passwd / groups) 在一些PC上,我想要所有这些,但是有些必须过滤用户(我们有时运行Linux和一些FreeBSD,所以pam_ldapd是我们的select) 而且,我更愿意将sudoers信息存储在LDAP中。 而且,我们正在运行Exim4 MTA + Dovecot LDA,如果给出一个用户名(他们使用LDAP对单个公司设置不成问题),他们可以自动决定域名部分。 请注意,那些为公司和实验室工作的人都具有实际映射到单个maildir的电子邮件地址:) 任何食谱和想法赞赏。
我尝试修改一个AD架构,在用户中添加一个自定义辅助类 (Cn = MyName,CN = Users,DC = xxx,DC = yyy) 用新的对象窗口popup来添加类时,我只能select“classStore,ms-net …,nTRSSSubscriptions” 我在“可能的上级”中join了“用户”,但没有改变。 我看不到我的习惯课!
Ubuntu 12.04服务器,AMD64,通过LDAPauthentication。 即使“getent group”显示分配给我的帐户的正确的一组组,也无法在login时将LDAP组映射到我的用户帐户。 更令人困惑的是,有时候它有效,而其他时间则不行。 例如,这是我目前的login名: $ ssh zoyd $ id uid=522(cswingley) gid=513(Domain Users) groups=513(Domain Users), \ 4(adm),24(cdrom), 27(sudo),30(dip),46(plugdev),111(lpadmin), \ 112(sambashare) 但: $ getent group | grep cswingley | sort -t : -n -k3 | \ awk 'BEGIN {FS=":"} {printf("%s(%s)\n", $3, $1);}' | \ xargs | sed 's/) /),/g' 4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),111(lpadmin), \ 112(sambashare),500(level2),502(gis),503(level3), \ 504(management_accounting),544(Administrators),606(abruser),\ 619(proposal),621(project_managers),700(unixadmin),\ […]
有人知道基于项目的matrix授权策略是否应该与LDAP集成一起工作? Jenkins Jira网站上有几个closures的bug报告,说用户不需要全局读取访问权限,他们仍然可以进入单个项目,但似乎没有启用LDAP,或者别的我做错了? 从这个SO线程的第一个答案不适用于我的LDAP(你可以阅读我的post上面链接的JIRI以获得更多的细节): 简短描述没有截图:在“Manage Jenkins”=>“configuration系统”下使用Jenkins的“基于项目的matrix授权策略”。 在每个项目的configuration页面上,您现在具有“启用基于项目的安全性”。 现在添加您想要授权的每个用户。