我们学校的网站能够从LDAP源拉取用户身份validation。 他们“支持”和LDAP。 不幸的是,要取得组员资格,您必须在每个用户的logging中都有一个memberOf属性。 OS X Lion Server默认情况下不会将用户组成员存储在其logging中。 我已经阅读了OpenLDAP的memberOf覆盖,我希望这将工作。 但是我不知道如何设置,我已经阅读了关于如何在OpenLDAP服务器上configuration反向组成员维护的评论? (memberOf),但我不舒服的导入LDIF,直到我知道更好的是什么,如果我必须为每个用户导入一个ldif。 另外,我相信开放目录使用posixGroups不是一个groupOfNames。 问题:是否可以在OpenLDAP的Apple OS X Open Directory实现中启用memberOf属性? 如果我启用它,它会dynamic更新memberOf属性,当我用Workgroup Manager添加用户到组? 如何启用memberOf属性?
由于各种原因,我们希望将我们的文件服务器从OS X Server 10.9迁移到在Ubuntu 14.04LTS上运行的真正的Samba实现。 我们已经安装了Ubuntu并运行了Samba,甚至还安装了PAM设置来对照我们的Apple OpenDirectory服务器对用户进行身份validation。 但是,让Samba以我们想要的方式validation用户是相当具有挑战性的。 看来我们有两个select。 选项1只是让Samba将其委托给已经正常运行的PAM子系统; 选项2是使用Samba对LDAP和Kerberos的内置支持。 在Ubuntu的开箱即用的configuration似乎赞成选项1,并且确实看起来像这将是最简单的设置来pipe理长期。 (scheme2需要更多的configuration,包括对苹果模式的修改,我的理解在实践中并不是一个好主意。) 所以,所有人都说,我打算试图让选项1工作,(几乎这样做)。 目前, 针对OD的PAMauthentication已经起作用。 我可以sshlogin作为系统OD用户整天的系统。 但是,不好的是用户在Samba将它们识别为UNIX用户之前必须先执行此操作。 换句话说,在用户至less通过SSH成功连接一次之前,Samba将不会识别他们的凭证。 此外,我不相信Samba会看到OD组,因为试图限制连接到基于组名的某些共享也不起作用。 一旦用户使用SSHlogin了一次(或者在尝试使用标准的本地用户帐户时),Samba会永远接受他们的名字和密码。 在此之前,它只是拒绝他们。 smb.conf文件包含以下相关条目: server role = standalone server obey pam restrictions = yes passdb backend = tdbsam unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* […]
我目前有Mac OS X Lion Server从MacMini运行,并希望纯粹作为一个LDAP服务器用于FreeNAS 8的身份validation。我有FreeNAS安装和运行在一个虚拟机,所有function工作正常,如预期的,但我无法连接到我的LDAP服务器(MacMini)。 错误信息; **Nss_ldap: could not search LDAP server – server is unavailable** 对于FreeNAS中的LDAP服务设置,我知道我的主机名和基本DN是正确的(我最初设置的和服务器中显示的完全相同:打开目录概述),但是我不确定要为根绑定DN,密码和后缀的。 我已经研究了哪些地方可以find这些,而不是遵循FreeNAS的例子,看起来有一种方法可以find特定于我的设置的服务器工作组pipe理器 – 但是这个function对我来说是不可用的,不能被勾选查看一些奇怪的原因。 一些论坛解释如何根绑定DN应该是uid=admin, dc=…和其他cn=admin, dc=… – 我很困惑,并感谢您的帮助或build议与此。
尝试解决无法从客户端login到我们的服务器的用户。 客户端绑定到服务器,其他用户可以进行身份validation。 当有问题的用户试图从terminallogin时,ApplePasswordServer.Server.log显示以下内容: Jul 26 2009 17:42:26 AUTH2: {0x473633ea7bc7fcaa0000000553400871, jeffb} DIGEST-MD5 authentication succeeded. Jul 26 2009 17:42:26 AUTH2: {0x473633ea7bc7fcaa0000000553400871, jeffb} DIGEST-MD5 authentication succeeded. Jul 26 2009 17:42:26 GETPOLICY: user {0x473633ea7bc7fcaa0000000553400871, jeffb}. Jul 26 2009 17:42:31 KERBEROS-LOGIN-CHECK: user {0x473633ea7bc7fcaa0000000553400871, jeffb} is in good standing. Jul 26 2009 17:42:31 KERBEROS-LOGIN-CHECK: user {0x473633ea7bc7fcaa0000000553400871, jeffb} authentication succeeded. Jul 26 […]
Active Directory,OpenLDAP或Apple的Open Directory具有用于保存用户信息和组成员资格的不同模式。 在这里有一个开放目录,我可以说,例如,用户的可分辨名称是属性dn ,而它似乎是AD的distinguishedName 。 是否有一个网站,引用如何主DS持有的信息,如果不是为什么不开始在这里列出他们? 我search它,但无法find它。 我正在寻找以下内容: 用户 专有名称 电子邮件地址 用户名(又名login) 真名(又名全名) 组 成员名单
我需要在几个月内完成部署之前,先用OS X Server做一些testing。 我已经configuration了Open Directory,并创build了一些用户。 我已经在10.5客户端上configuration了Directory Utility,但是loginauthentication并不按照我所期望的方式工作。 我希望我可以使用Open Directory中创build的任何用户的用户名/密码,并能够login到客户端。 相反,看来我需要创build一个本地用户,然后使用Directory Utility与一个目录用户同步。 或者,如果我将Active Directoryconfiguration添加到客户端,我可以使用任何AD用户,正如我所期望的。 我希望是不可能的,还是有可能是错误的configuration?
我理解Open Directory是OpenLDAP + SASL(密码服务器)+ Kerberos。 看来,OpenLDAP按照SASL进行authentication; 我不知道Kerberos。 我想从脚本更改用户密码,最好是远程更改密码,我希望密码能够正确更改。 (也就是说,在任何情况下,我都不希望用户拥有不同的密码,具体取决于进入Open Directory的三种服务中的哪一种进行身份validation)。 我可以在没有绑定到目录的机器上通过networking执行dsimport ,但是当您尝试导入密码时(将AuthType设置为dsAuthMethodStandard:dsAuthClearText),只有当密码没有已经设置好了。 (我相信可以设置Crypt密码,但是我担心这意味着只有OD的LDAP部分才会知道当前密码。) 有没有什么我可以做短缺的服务器启动SSH会话,并在那里更改密码? 如果我这样做,是否有任何命令可以让我指定一个用户和他们的新密码在一行? 哪些命令可以改变所有打开的目录密码,有没有人喜欢? apropos password给了我这些有趣的结果: kpasswd(1) – 更改用户的Kerberos密码 ldappasswd(1) – 更改LDAP条目的密码 lppasswd(1) – 添加,更改或删除摘要密码 passwd(1) – 修改用户的密码 pwpolicy(8) – 获取并设置密码策略 saslpasswd2(8) – 设置用户的sasl密码 slappasswd(8) – OpenLDAP密码实用程序 我会看看一些手册页,我的印象是, pwpolicy是最好的select,但我很想知道是否有任何微妙的使用这些(例如,不要改变Kerberos密码,而不改变LDAP和SASL密码),如果没有SSH会话远程工作。
在Windows上有活动目录。 在Linux上有几个选项,但最简单的选项设置是什么? 我想集中pipe理用户和组,但除此之外不需要任何东西。 比方说,这不必扩展到十几台机器。
这可能是一个大的问题。 我已经在Mac OSX 10.8(Mountain Lion)上与用户build立了开放目录,允许networking上的每个人使用这些集中存储的用户login到任何客户端。 在这个系统之前,我们使用了NIS,并用automounter(autofs)挂载了主目录。 这很容易设置为NIS主机和文件服务器在同一个盒子上。 现在,我需要帮助主目录。 Open Directory服务器上的用户需要使用外部文件服务器的主目录,而这些主目录需要使用自动挂载程序进行挂载。 主目录作为NFS共享导出,文件服务器具有旧的autofs映射。 我只是不知道从哪里去。 任何帮助或文件的链接将不胜感激。 在Mac OSX 10.8上查找有关Open Directory服务的文档很难 编辑:据我已经能够阅读,NIS地图需要被添加到开放目录中的LDAP目录。 我已经find了OSX 10.7的指南,但是从那以后改变了很多。
将用户添加到Mac OS X Server的build议方式是什么?不需要与Workgroup Manager相关联的所有Workgroup Manager ? 在Mac OS X Server( www , root , ldapadmin等)中预先configuration了许多用户,这些用户没有“全名”或邮件帐户等。 我想根据本教程创build一个'svn'用户作为Subversion版本库的所有者: 如果您决定使用Apache或svnserve ,请在您的系统上创build一个svn用户,并以该用户的身份运行服务器进程。 一定要让版本库目录完全由svn用户拥有。 从安全angular度来看,这使得存储库数据很好地被操作系统文件系统权限分隔和保护,只有子版本服务器进程本身才能改变。 想知道是否有办法超出WorkgroupManager和OpenDirectory,因为这个帐户将完全基于服务器。 这是在OS X服务器下仍然健全的build议吗? 如果是这样,创build用户最简单的方法是什么(Mac OS X Server似乎没有响应useradd )。