我想要完成的是如果我改变LDAP中的用户属性没有壳; 例如:/ etc / noshell,我不希望用户ssh成功。 我改变了一个用户的属性: # check62, people, wh.local dn: uid=check62,ou=people,dc=wh,dc=local uid: check62 cn: Johnny Appleseed objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e1NTSEF9dklpL2pQcWtNWDBFSUs1eUVDMUMxL2FjWHdJNGRuUXY= shadowLastChange: 15140 shadowMax: 99999 shadowWarning: 7 uidNumber: 6002 gidNumber: 6002 homeDirectory: /home/check62 loginShell: /bin/noshell # check62, group, wh.local dn: cn=check62,ou=group,dc=wh,dc=local objectClass: posixGroup objectClass: top cn: check62 gidNumber: 6002 […]
我已经将CVS从Windows迁移到Linux,并根据需要导入了回购。 现在我必须为CVS设置ldap身份validation(远程服务器/ Linux / Open LDAP)。 根据其他博客,它说我们必须在/etc/pam.d/中为cvs设置一个服务。 所以我创build了这样一个文件:…..。 /etc/pam.d/cvs %PAM-1.0 auth required pam_unix.so account required pam_unix.so session required pam_unix.so 现在我试着用以下命令login: :pserver;username=test;password=xxxxx;hostname=xxxx;port=2401:/opt/test (用户是不在/ etc / passwd中的LDAP用户)。 我得到了以下错误消息: cvs -d :pserver:test@xxxx:2401/opt/test login Logging in to :pserver:test@xxxx:2401:/opt/test cvs [login aborted]: authorization failed: server xxxx rejected access to /opt/test for user test * CVS exited normally with code 1 […]
我们正在使用许多应用程序,如zabbix,phabricator,AC等。我们需要在所有这些应用程序中集成LDAP。 这些应用程序支持LDAP,但不支持基于组的authentication 请让我们知道是否有任何选项来限制选定的用户login。 我们在“用户”下创build了所有用户。 在这些应用程序中,我们只需要login某些用户。 我们如何限制它,因为我们无法限制应用程序 在这些应用程序中,他们只提供“基本DN”和“search属性”,所以我们不能给dn:ou = users,ou =系统,因为它可以访问所有用户。 那么是否可以将Base DN设置为“cn = Zabbix,ou = groups,ou = system”,并且该组仅包含user1和user2。 所以它会限制用户。 请让我们知道我们如何可以实现这种情况。 提前致谢,请帮助我们解决这个问题。 谢谢 地理
我们有几个应用程序,我们能够成功地集成LDAP。 在应用程序中,我们已经给出了基本的dn: ou=People,dc=geo,dc=com和用户dn: uid=geo_pc,ou=People,dc=geo,dc=com可以成功login到应用程序。 现在我们创build一个别名如下: dn: uid=geo_pc,ou=Applications,ou=Groups,dc=geo,dc=com aliasedobjectname: uid=geo_pc,ou=People,dc=geo,dc=com objectclass: alias objectclass: extensibleObject objectclass: top uid: geo_pc 现在在应用程序中,我们已经给出了base dn为ou=Applications,ou=Groups,dc=geo,dc=com但是这个用户ou=Applications,ou=Groups,dc=geo,dc=com我们无法login到应用。 请让我们知道是否有任何额外的configuration,我们需要做的。 任何人都可以请帮助我们。 谢谢 地理
我正在尝试configuration一个OpenAM安装来使用OpenLDAP作为DataStore; 有可能吗? 我已经看到了一些关于configurationOpenLDAP的技巧(如本教程中所述 ),但是这对我来说是不可能的,因为LDAP不在我的控制之下(这是客户的)。 怎么可能 – 如果可能的话 – configurationOpenAM使用OpenLDAP作为DataStore而不修改OpenLDAP安装?
我试图根据Ubuntu网站上的指示设置LDAP复制。 我没有任何麻烦地完成了设置提供商的所有方向。 但是,当我试图build立消费者,我遇到了一个错误。 我试图导入这个ldif文件: dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: syncprov dn: olcDatabase={1}hdb,cn=config changetype: modify add: olcDbIndex olcDbIndex: entryUUID eq – add: olcSyncRepl olcSyncRepl: rid=001 provider="ldap://myserver.mycompany.com" bindmethod=simple binddn="cn=admin,dc=mycompany,dc=com" credentials=mypassword searchbase="dc=mycompany,dc=com" logbase="cn=accesslog" logfilter="(&(objectClass=auditWriteObject)(reqResult=0))" schemachecking=on type=refreshAndPersist retry="60 +" syncdata=accesslog – add: olcUpdateRef olcUpdateRef: ldap://myserver.mycompany.com 当我运行ldapadd -Q -Y EXTERNAL -H ldapi:/// -c -f consumer.ldif我得到这个错误: modifying entry "olcDatabase={1}hdb,cn=config" […]
我知道,同步AD和OpenLDAP是一个常见的问题,但经过几个小时的谷歌search和阅读这样的post,我仍然不确定是否有一个良好的(在方便和安全的意义上)的方式来接受外部服务与内部AD相同的密码。 关于这个问题的更多背景: 我负责一个小软件开发人员的IT工作。 公司和最近越来越多的服务(项目pipe理,文件共享等)需要由我们networking之外的客户,自由职业者和员工访问。 到目前为止,所有这些服务都有自己的用户帐号和密码,这样就变得单调乏味,容易出错。 我的想法是build立一个所有服务都可以访问的OpenLDAP服务器,并作为中央用户存储库。 我缺乏的是将我们的一些内部用户帐户推送到这台服务器,以便这些用户可以使用外部服务。 我不喜欢让我们的DC从互联网上到达的想法。 所以基本上我有两个问题: 我正确的方式? 或者这是否会因为我错过了一些要点而失败? 我怎么能做到这样的事情? 从开发背景来看,我正在考虑编写一个列出所有内部用户的小应用程序/脚本,并让我select哪些服务可以访问哪些服务,但是我将如何处理密码更改?
我有一个项目,我必须从使用LDAP服务器的不同计算机上validation客户端。 模拟我在我的电脑上安装了virtualbox,运行两个虚拟机,一个是Ubuntu 11.10,另一个是Windows XP。 我正在使用Ubuntu 12.04在我的真机上。 我做了什么 : 我在我的真机上安装了OpenLDAP和phpldapadmin,并创build了一个简单的testing环境。 我按照这个教程https://askubuntu.com/questions/33636/how-can-i-setup-ldap-client-authenticationconfigurationUbuntu的虚拟机作为一个客户端,它运行良好。 我在我的Windows XP虚拟机中安装了pGina 3.1.8,并试图configurationLDAPauthentication插件,但它不工作。 我需要的: 我需要你的帮助来configurationpGina的ldapauthentication插件,我真的不明白的是模式字段,我该写什么呢? 我阅读这个页面,但不完全不明白: http ://pgina.org/docs/v3.1/ldap.html 任何人都可以给我一个具体的LDAP例子和等同configuration在pGina 3.1.8的例子吗? 非常感谢
我尝试安装openldap和openssh,最后从openldap基地拿钥匙。 我安装了openldap-server-5.3p1并configuration了他。 另外我安装openss-ldap-5.3p1。 增加了schemeopenssh-lpk到cn = config base。 当我尝试将Lpk选项添加到sshd_config时,他发誓: Starting sshd: /etc/ssh/sshd_config: line 132: Bad configuration option: UseLPK /etc/ssh/sshd_config: line 133: Bad configuration option: LpkLdapConf /etc/ssh/sshd_config: line 134: Bad configuration option: LpkServers /etc/ssh/sshd_config: line 135: Bad configuration option: LpkUserDN /etc/ssh/sshd_config: line 136: Bad configuration option: LpkGroupDN /etc/ssh/sshd_config: line 137: Bad configuration option: LpkBindDN /etc/ssh/sshd_config: line 138: […]
有没有办法使用openldap来确保用户的密码不包含他们的名字或用户名? 我知道你可以使用ppolicy覆盖pwdCheckModule通过编写一个C函数来进行密码检查,但是这是最好的方法吗? 这似乎不像许多人正在做这样的密码质量检查 – 我发现的唯一例子是一个只做基本检查的github例子 。