我正在configuration主从ldapconfiguration。 最初我在主机上安装LDAP,也安装在从机上 apt-get install -y slapd ldap-utils 在主机中安装LDAP时,我configuration了主机ldap,具体如下: 主细节 ubuntu.somedc.local domain somedc.local dc=somedc,dc=local 奴隶细节 slave.mysomedc.local domain mysomedc.local dc=mysomedc,dc=local 在主机上,我在slapd.conf文件里面configuration了slaveconfiguration这是主机slapd.conf文件中configuration的configuration replica uri=ldap://ldaptest.somedc.local:389 binddn="cn=somecommonname,dc=somedc,dc=local" bindmethod=simple credentials=******** replogfile /var/lib/ldap/replog 这里ldaptest.somecommonname.local是我的奴隶机fqdn,389是ldap端口,现在我重新启动副本服务器的slapd进程即主, /etc/init.d/slapd restart 在slave机器上,我在slapd.conf文件里configuration了主configuration这是在slave机器的slapd.conf文件中configuration的configuration updatedn cn=somecommonname,dc=somedc,dc=local updateref ldap://ubuntu.somedc.local 这里ubuntu.somedc.local是我在主服务器上的fqdn configuration完成后,我使用以下方法添加主用ldap服务器中的用户,并期望这些用户在slave ldap服务器上复制,但是用户没有显示在从属configuration中。 level1.ldif文件 dn: cn=somecommonname,dc=somedc,dc=local objectClass: inetOrgPerson objectClass: posixAccount cn: somecommonname givenName: somename sn: office uid: someuid uidNumber: 14000 gidNumber: […]
我想在使用OpenLDAP设置集中式身份validation服务器时了解您的意见和经验。 目前有几个托pipe服务器运行几个服务(电子邮件,webapps,数据库等)。 和一个低估:P 在networking安全中部署LDAP服务器时,推荐的或最佳实践是什么? 对于500-800用户目录,CPU /内存的硬件要求是什么? 有一个好的硬件单服务器,或者我可以去廉价的虚拟服务器,并有一个冗余的情况? 我知道医pipe局的情况会好一些,但由于我预算较低,所以我也需要考虑performance。 如果不打算用于虚拟服务器选项。 可以在单个服务器上独立运行LDAP服务吗? 或者我可以与其他东西分享服务器…让我们说MySQL数据库? 我只想着如何充分利用我的资源,而不是有一个太空闲的服务器,并增加了安全风险。 谢谢!
我有一个这样的呃 ou=abcd,ou=ou1,ou=ou2,dc=mydomain,dc=com ou有一个属性叫'l',它的值为pqrs。 我做了以下search ldapsearch -x -b "dc=mydomain,dc=com" "l=pqrs" 这find了ou。 但是,如果我search ldapsearch -x -b "ou=ou2,dc=mydomain,dc=com" "l=pqrs" ou没有find。 这是什么原因? 我究竟做错了什么。 这是在Linux上的openldap
我正在寻找新的OpenLDAP基础设施的最佳devise。 我读了下面的答案,但没有回答我所要找的。 活动目录OUdevise<500个用户,4个地点 我知道可能有很多方法可以完成,但我正在寻找有经验的人可以推荐一个最佳的devise。 以下是要求: – 在美国设有2个办事处,在欧盟设有5个办事处,在亚洲设有2个办事处。 – 销售,营销,技术,支持团队 – 需要访问我们应用程序的第三方服务提供商。 – 服务帐户,例如绑定应用程序的身份validation对于LDAP – JIRI /电子邮件/维基等 每个电子邮件列表的业务function将有一组,并可以访问相应的应用程序。 我想这些将是“组”,而用户将在OU? 作为详细的答案,可以欣赏! 如果问题存在歧义,我会很乐意改善这个问题
我正在设置一台全新的CentOS 7服务器,并且需要设置LDAP身份validation,也就是说,已经存在一个服务器来对用户进行身份validation,我们将其用于其他GNU / Linux服务器。 例如,在Windows中,我可以使用nltest /dclist:XY来查询DC的主机名和IP。 哪个返回我可以确认的DC服务器列表是正确的。 当我使用CentOS 7服务器上的ldapsearchtesting连接到这些DC服务器时,它的工作原理是: ldapsearch -H ldap://<DCSERVER> -D <user>@XY -w 输出是一个很长的信息列表,包括DN信息。 但是,当使用getent passwd ,没有输出,并且在/ var / log / messages中看到错误: Nov 24 16:09:37 XXXXXXXX nslcd[22440]: [16e9e8] <passwd(all)> ldap_result() failed: Operations error: 000004DC: LdapErr: DSID-0C09072B, comment: In order to perform this operation a successful bind must be completed on the connection., data […]
免责声明:我是新来的ldap,所以希望我没有做任何重大错误! 目的:集中用户凭证并限制客户端login到某些机器。 我通过使用以下内容在新鲜的Ubuntu 14.04服务器上安装了准系统openLDAP服务器。 实质上,安装LDAP并进行架构更改以启用用户的host属性: # Install ldap apt-get install -y slapd ldap-utils ldapscripts # Modify the schema so we can use the host attribute for users grep -P '^include.+?\.schema' /usr/share/slapd/slapd.conf > ./schema_convert.conf echo -e "include\t\t/etc/ldap/schema/ldapns.schema" >> ./schema_convert.conf # Convert the schema into LDIF mkdir -p ./ldif_output index=$(slapcat -f ./schema_convert.conf -F ./ldif_output -n 0 | […]
我是OpenLDAP的新手,我有点卡住了这个结构。 我到处看到这样的例子: dc=our,dc=company,dc=com -ou=USERS -ou=GROUPS -ou=ROLES 我们公司有更多的地理位置,我应该如何实施这些地点? 目前我们有Novell eDirectory,它可以与树级别一起工作: o=company -ou=BELGIUM user1 user2 -OU=GROUPS -OU=PROGRAMS -ou=NETHERLANDS user1 user2 -OU=GROUPS -OU=PROGRAMS 在OpenLDAP中实现这些位置的最佳方式是什么? KR, Joeri
我有两台CentOS 7.0的机器。 第一个是只有OpenLDAP的域控制器。 我根据本教程configuration了OpenLDAP: http : //www.server-world.info/en/note? os=CentOS_7&p=openldap 然后,我有另一台机器与GitLab。 我正在尝试configurationLDAP身份validation,但每次收到“无效凭据”错误。 我的GitLabconfiguration: gitlab-rails": { "ldap_enabled": true, "ldap_servers": { "main": { "label": "LDAP", "host": "192.168.50.4", "port": 389, "uid": "uid", "method": "plain", "bind_dn": "CN=gitlab,OU=people,DC=courseproject,DC=org", "password": "mypass", "active_directory": false, "allow_username_or_email_login": false, "base": "OU=people,DC=courseproject,DC=org", "user_filter": "" } 我必须使用普通身份validation和LDAP,而不是LDAPS的另一个项目。 我的用户和群组configuration: dn: dc=courseproject,dc=org objectClass: top objectClass: dcObject objectclass: organization o: courseproject org […]
我有一个具有groupOfUniqueNames对象类和一个辅助posixGroup对象类的LDAP组。 当我使用memberUid属性的值(组的成员)在Linux中被识别。 但与独特的会议不。 在我的ldap客户端的ldap.conf中有这样的configuration: nss_schema rfc2307bis 所以我想它应该工作,因为rfc2307bis支持uniqueMember值。 我在这里错过了什么?
我需要让Solaris和AIX系统为AD获取身份validation和名称服务。 在使用OpenLDAP作为用户authentication代理的 Solaris上,我取得了一些成功。 我也成功地configuration了AIX使用AD kerberosauthentication和AD LDAP命名服务。 但是,对于这两个平台,我有两个严重的问题需要帮助: AD用户/组可能是大写或小写,或者它们的任意组合,但为了在UNIX中保持一致的最终用户体验和实用程序的正常工作,它们应该是小写的。 在AD中重命名ID很难销售。 Linux sssd可以做更低层的操作,但是AIX / Solaris不能。 AIX和Solaris期望组成员使用rfc2307'memberUid'属性(例如memberUid = user1),而AD使用rfc2307bis'member'属性(例如member = cn = user1,dc = foo,dc = com)。 有没有办法用OpenLDAP或其他方法来重写Solaris / AIX客户端成员的memberUid? slapo-rwm可以重写DN,但是像这样转换,似乎并不存在。