我在Debian Stable的OpenLDAP上实现了密码策略覆盖。 服务器端和策略按预期工作。 但是,到期后我不能强制用户更改密码。 用户login,会收到一条消息,表明他们的密码已过期,必须立即更改。 然而无论是在本地login还是SSHlogin,用户都被踢出了。 客户端正在使用libnss_ldap,pam_ldap。 pwdMustChange , pwdAllowUserChange都设置为true 。 使用passwd更改密码也按预期工作。 客户端configuration文件 /etc/nsswitch.conf中: passwd: files ldap group: files ldap shadow: files 将/etc/pam.d/common-account: account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so account [success=1 default=ignore] pam_ldap.so account requisite pam_deny.so account required pam_permit.so 将/etc/pam.d/common-auth: auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_ldap.so use_first_pass auth requisite pam_deny.so auth required pam_permit.so […]
我们设置OS X服务器打开目录(OD)主控和副本。 用户在主服务器上创build,其主目录位于主服务器上。 当主OD服务器closures时,OD客户端(MAC)将自动使用OD副本进行authentication。 这部分工作。 但OD客户端仍然会尝试读取主服务器上的主目录,并且由于主服务器closures,此操作将失败。 我们正在寻找一个解决scheme,使主目录故障转移工作。 任何build议表示赞赏。
我有一个OpenLDAP 2.4设置与多个DIT。 每个DIT数据库都有一个具有pipe理权限的RootDN,就像它应该的那样。 我需要给予pipe理权限(或者至less写入)cn = config或LDAPI,这样才能有OpenLDAP“root”能够pipe理configuration数据库以及单个DIT数据库。 我已经尝试了各种olcAccessconfiguration,没有任何工作。 基本上,我尝试了两种普遍的方法 – 搞乱configurationACL以及将cn = config添加到单独的DIT ACL,如下所示: olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=ldap,dc=com" write by dn="cn=config" write by * none olcAccess: {1}to dn.base="" by * read olcAccess: {2}to * by self write by dn="cn=admin,dc=ldap,dc=com" write by * read 到目前为止没有任何工作。 我一直坚持这一点。
我的公司有一个中央Active Directory服务器,我们的团队拥有自己的OpenLDAP服务器来pipe理基础架构。 我想为我们的ldap用户使用相同的密码作为AD中的密码。 如何将某些属性的请求传递到AD服务器上?
我想添加一个架构到我已经inheritance的OpenLDAP数据库。 ldapadd -vY EXTERNAL -H ldapi:/// -f schema.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 … adding new entry "cn=openssh-lpk,cn=schema,cn=config" ldap_add: Insufficient access (50) 关于相同外部SASLauthentication问题的邮件列表的讨论使我相信我需要“将SASL EXTERNAL标识映射到cn=config rootdn”。 我将如何做到这一点? 在试图解决这个问题的时候,我创build了一个类似的虚拟机,并安装了Ubuntu回购版的slapd。 外部SASL请求像上面那样工作。 我试图比较两个系统之间的cn=config设置,但未能确定任何明显的线索来执行此任务。 生产数据库最初是在Gentoo上运行的。 我将它迁移到了Ubuntu,并愉快地编辑帐户并使用它。 但是,我一直无法修改configuration数据库,因为在迁移过程中转换为cn=config格式。
希望有人能帮助我。 我忘记了debian服务器上的OpenLDAPpipe理员密码,在此过程中,我在slapdconfiguration文件中指定了密码,如下所示: olcRootPW: {SHA}W6ph5Mm5Pz8GgiULbPgzG37mj9g= 我在这里遵循指南: http : //techiezone.rottigni.net/2011/12/change-root-dn-password-on-openldap/ 当我运行service slapd start我收到以下错误: Starting OpenLDAP: slapdrm: cannot remove `/var/lib/ldap/alock': No such file or directory failed! 我删除了这个,但无济于事。 我已经重新启动服务器,但是这没有任何区别。 我有完全访问服务器。 有关如何让OpenLDAP再次运行的build议?
我正在使用OpenLDAP。 pipe理界面是phpLDAPadmin 。 虽然这让事情变得简单,但也意味着我没有接触到内部。 有一个使用uidNumber 2276的现有条目。 在LDAP中,我试图用现有的模板创build一个新的对象。 这个对象是一个电子邮件用户。 该模板不允许我修改uidNumber ; 它会自动尝试将uidNumber 2276分配给对象。 所以,我不能添加更多的电子邮件用户。 现有的条目如下所示: icon cn=UID Pool dn cn=UID Pool,ou=server admin,dc= group cn UID Pool objectClass uidPool top gidNumber 1126 uidNumber 2276 我不知道如何解决这个问题。 我真的很感激任何帮助。
根据ldapdelete的手册页,应该可以删除条目 [root@controller ~]# man ldapdelete EXAMPLE The following command: ldapdelete "cn=Delete Me,dc=example,dc=com" will attempt to delete the entry named "cn=Delete Me,dc=exam‐ ple,dc=com". Of course it would probably be necessary to supply authentication credentials. 但删除域不起作用: [root@controller ~]# ldapdelete -x -D "cn=Manager,dc=my-domain,dc=com" -W "dc=my-domain,dc=com" Enter LDAP Password: ldap_delete: No such object (32) 而它的存在 [root@controller ~]# ldapsearch -x […]
我在我的公司里设置了一个Debian服务器,用户在Active Directory中进行pipe理。 我想用ADauthentication用户,但是我认为如果可行,在AD服务器或networking出现问题的情况下,可以使用本地OpenLDAP进行authentication。 我见过有关设置传递身份validation的教程 https://wiki.debian.org/LDAP/PAM http://ltb-project.org/wiki/documentation/general/sasl_delegation 但是它没有说明如果AD服务器不可达时会发生什么。 AFAIU,请求失败。 这里有人build议使用OpenLDAP代理caching引擎设置高TTL。 我应该复制整个目录吗? 我不介意新用户是否被authentication,如果已经有本地知名用户可以使用上次接受的密码进行authentication,我会很高兴,所以最简单的解决scheme是我最喜欢的。 我search了很多术语,包括caching/caching,副本等。我没有find任何“抓我的手,并显示我怎么做,那在debian-jessie”步骤逐步的解决scheme,所以它可能是我认为相对标准的事实上有点棘手。
我在OpenLDAP和Spring安全方面有一些问题,后者在dn(filter)中用整个path进行search,并且有一个空的基础。 OpenLDAP不喜欢这个,查询失败。 问题是我无法控制查询,所以我想知道是否可以configurationOpenLDAP来允许这样的查询。