我无法使用openldap的olc来修改架构而不closures服务器。 为了testing一些东西,我做了以下模式: objectIdentifier tests orgUlyssisOID:4 objectIdentifier testAttribute tests:1 objectIdentifier testObjectClass tests:2 attributeType ( testAttribute:1 NAME 'attr1' DESC 'attribuut 1' SYNTAX '1.3.6.1.4.1.1466.115.121.1.40' ) attributeType ( testAttribute:2 NAME 'attr2' DESC 'attribuut 2' SUP userPassword SINGLE-VALUE ) objectclass ( testObjectClass:1 NAME 'class1' DESC 'objectclass 1' SUP top STRUCTURAL MUST (attr1 $ attr2 ) ) 并将其添加到名为test的新模式。 (cn = schema中的cn […]
我们正在build立一个DMZ,我偶然发现如何处理那些需要端口暴露在互联网上的机器,同时也能够向我们的内部环境提出LDAP请求。 我们有一些Linux应用程序只能通过LDAP请求来validation用户身份。 我不确定是否可以configurationKerboros(还在检查),但是我相信它必须通过直接LDAP查询来完成。 对于需要使用LDAP的机器,您可以推荐使用哪种机制,并且可以同时直接暴露给内部? 提前致谢!
我已经有好几天能够通过SSL获得AD(LDAPS),我完全遵循了这个指南 。 我安装了Active Directory证书服务(独立的根CA),我可以申请证书,安装证书。 但每当我想使用LDP.exetesting连接 我得到了这个着名的错误 ld = ldap_sslinit("localhost", 636, 1); Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 81 = ldap_connect(hLdap, NULL); Server error: <empty> Error <0x51>: Fail to connect to localhost. 我一直在寻找,我知道有很多东西可能会导致这个错误,我尝试了大部分事情,然后我决定把它发布在这里。 我试图看看系统日志中是否有任何错误,但没有:/(但我可以wwrong) 谁能告诉我还有什么看起来? 更新:我重新启动AD服务以下错误显示在事件查看器中: LDAP over Secure Sockets Layer (SSL) will be unavailable at this time because the server was unable to obtain […]
我在使Kerberos(Heimdal版本)与OpenLDAP很好地协作方面遇到了一些麻烦。 kerberos数据库被存储在LDAP本身中。 KDC以root身份使用SASL EXTERNAL身份validation来访问容器ou。 我希望这是这种问题的正确的董事会。 我使用kadmin -l在LDAP中创build了数据库,但是它不会让我在没有-l标志的情况下使用kadmin: root@rds0:~# kadmin -l kadmin> list * krbtgt/REALM kadmin/changepw kadmin/admin changepw/kerberos kadmin/hprop WELLKNOWN/ANONYMOUS WELLKNOWN/org.h5l.fast-cookie@WELLKNOWN:ORG.H5L default brian.empson brian.empson/admin host/rds0.example.net ldap/rds0.example.net host/localhost kadmin> exit root@rds0:~# kadmin kadmin> list * brian.empson/admin@REALM's Password: <—– With right password kadmin: kadm5_get_principals: Key table entry not found kadmin> list * brian.empson/admin@REALM's Password: <—— With wrong password […]
我设置了openldap,一切看起来不错,但我不能设置身份validation, #getent shadow | grep user user:*::::::: tuser:*::::::: tuser2:*::::::: #getent passwd | grep user git:!:999:999:git daemon user:/:/bin/bash user:x:10000:2000:Test User:/home/user/:/bin/zsh tuser:x:10000:2000:Test User:/home/user/:/bin/zsh tuser2:x:10002:2000:Test User:/home/tuser2/:/bin/zsh 从根我可以login为这些用户之一 #su – tuser2 su: warning: cannot change directory to /home/tuser2/: No such file or directory 10:24 tuser2@juliet:/root 我不能通过SSHlogin也passwd不工作 #ldapwhoami -h 192.168.10.156 -D "uid=user,ou=People,dc=xcl,dc=ie" ldap_bind: Server is unwilling to perform (53) additional […]
我正在寻findOffice365迁移的细节 – 主要是为了使用托pipe的Outlookfunction。 我看到企业计划有“Active Directory同步”,但细节似乎很less。 是否有可能同步一个独立的LDAP服务器(如Apache目录)到O365(我想保持分开),还是我需要托pipe一个Active Directory的本地实例,并使用它来同步用户到O365?
我们有一个运行在Windows机器上的BitNami SVN堆栈,它包含我们的SVN仓库。 它设置为对AD服务器进行身份validation,并使用authz来控制权限。 我们需要通过http:// [domain] / svn的Web浏览器访问它。 域名指向我们正在退役的Linux环境,但在我们这样做之前,该框上的其他系统阻止我们重新指向域logging。 目前,我们在linux机器上有一个ProxyPasslogging来转发请求到http:// [machine name] / svn – 它似乎工作正常,并且terminal机器要求凭证,然后进行身份validation:但是当这种情况发生时,访问尝试被logging为来自linux框,而不是来自已经authentication的用户。 这几乎就像凭证的某些元素没有被传递到端点机器。 有没有人以前做过这个,或者有其他的信息可以帮我们弄清楚这个问题,想办法解决这个问题吗? 谢谢! 将尝试以不同的方式解释 – 域名=> A:Apache服务器(linux)== ProxyPass ==> B:Apache / SVN服务器(windows) Windows SVN框中的httpd.conf文件位于: http : //pastebin.com/Pd5zrnyQ 这里是在linux框中的Apacheconfiguration文件,它将请求转发到[domain] / svn到SVN框: # Proxy requests to SVN over to Windows SVN server ProxyPass /svn http://10.2.1.142/svn <Location /svn> ProxyPassReverse http://10.2.1.142/svn </Location> 如果直接访问SVN框,访问日志显示: 10.2.2.89 […]
我们刚买了一台QNAP 419 NAS到办公室,为了简单起见,我想用我们的Domino服务器上的LDAP进行身份validation。 qnap ldapauthentication需要以下设置: 基本DN 根DN 密码 用户 基准DN 组基地DN 我们的Domino服务器具有层次结构: O=/ 我不知道除了root DN和密码之外,还要把上面的字段放进去。 我们有一个防火墙(Fortigate)和ldap身份validation到我们的Domino服务器工作正常。 在这里,我们指定DN为O=但它不指定什么DN … 我有search其他人使用这个组合,但没有命中。 Domino服务器:8.5.3 QNAP:TS419P II,fw:3.8.1 Build 20121205
我喜欢LDAP的想法,但我觉得很难使用(至less只要我是一个新手)。 亲爱的同胞们,这就是我请求你们帮助的原因。 我正在devise我的目录的阶段,我想要做的是: 将人添加到抽象组(开发人员,内容制作人,经理) 用具体组填充抽象组(任务pipe理器访问,scm访问,服务器Xshell) 让用户一次成为许多抽象组的一部分(程序员也可以成为经理) 过滤具体组成员的login查询(即访问shell必须是程序员或pipe理员) 任何解决scheme将是有益的。 当然,我更喜欢通用和/或标准的方式来使这个结构的孩子(所以我使用的应用程序可能会识别和显示,即组页面)。
我可能不是这方面的专家,但在我看来,任何LDAP服务器安装的99%仅用于提供用户身份validation凭证,仅此而已。 鉴于这个限制范围的使用,正是我所需要的,我想知道是否有任何简单的SQL < – > LDAP映射只实现posixAccount对象类,因为它似乎太cubersome让我有另一个数据库pipe理(像OpenLDAP)就是为了这个,我想用我已经运行的PostgreSQL来提供许多软件已经支持的LDAP接口。