当试图在Ubuntu或Debian上添加一个链式覆盖到OpenLDAP 2.4.31时,系统日志中会出现一个“覆盖”链“找不到”。 此外,configuration链式覆盖所需的模式似乎不可用。
如果我只是运行slapd没有参数(作为根),它启动并正常工作。 当我尝试使用/etc/init.d/slapd start启动它时,它立即死亡。 从init脚本中可以看到/etc/sysconfig/ldap中有一个configuration文件,但是我一直无法find一个可用的设置组合。 有人知道我需要做什么吗? 我回到默认的初始化脚本,并尝试运行debugging,但我没有看到任何有用的。 主要细节是: daemon –pidfile=/var/run/slapd.pid –check=slapd /usr/sbin/slapd -h '" ldap:///"' -u ldap /bin/bash -c 'ulimit -S -c 0 >/dev/null 2>&1 ; /usr/sbin/slapd -h " ldap:///" -u ldap'`.
我们刚刚为我们的实验室实施了LDAP解决scheme。 所有LDAP客户端机器暂时在其nsswitch.conf files sss仍然有files ldap (或files sss )(因此本地authentication首先),并且许多本地帐户已经被转移到LDAP目录。 在我们只通过LDAP切换到authentication之前,有什么方法可以在用户更改密码时在LDAP服务器上和本地(如果用户有本地帐户)更新密码? 例如 : user1在server1上有一个本地帐户,在LDAP上有一个帐户。 如果user1运行passwd ,有什么方法可以在本地和LDAP上更新密码? 感谢您的任何反馈!
OS:CentOS 6.4 OpenLDAP:2.4 Mac:10.8.3到10.8.4 我有一个OpenLDAP服务器,我能够让用户进行身份validation,但是,由于某种原因,即使我已经将NFSDirectory的映射更改为apple-home-userDirectory,并将其指向正确的/ Volumes / Users /创build他们的主目录。 我试过的东西; 我试过注释/ etc / auto_master,它没有工作。 我试图使用#/用户/ $ uid作为映射,这是,工作 – 因为它只是告诉它忽略LDAP主目录属性,但我注意到由此产生的行为是古怪的 – 如果,如果我去系统偏好设置>用户和群组,我无法看到任何东西。 有没有像AD一样的方式,你可以强制它创build一个本地目录? 我认为这也适用于服务器问题,因为我必须在两个地方进行更改。 我的意思是,似乎OpenLDAP + NFS上有很多,几乎没有任何Open LDAP +本地目录。
我正在创build一个LDAP目录,并通过完整的DNsearch显示正确的结果。 $ ldapsearch -x -D "cn=ldapbind,dc=server,dc=com" -w bind 我想/ 需要能够使用电子邮件地址进行search,如下所示: $ ldapsearch -x -D [email protected] -w bind ldap_bind: Invalid DN syntax (34) additional info: invalid DN 我们有一个允许进行这种search的Active Directory,但是我不知道为了在LDAP中做什么configuration更改。 我没有附加我的slapd.conf,因为我希望有人向我展示正确的configuration来做到这一点,而我的是非常小的。
我正在学习使用openldap作为kerberos证书的后端数据库。 所有的程序都使用单一login是很好的。 问题是 – 我可以通过kadmin命令提示符pipe理用户,但是没有其他方法可以做到这一点。 问题 1.有没有第三方GUI来pipe理Kerberos数据? 2.我们可以从任何OpenLDAP客户端(如apache directory studio或ldapadmin)创build新的Kerberos主体吗?
我认为这可能是一个复杂的解释简单的问题。 我希望有人可以帮助我如何设置我的LDAP树。 我想有团队和用户。 用户可能属于一个或多个组。 这些组代表用户应该访问的不同服务/应用程序,即使用VPNlogin。 我正在使用OpenLDAP,我有以下树结构(与域example.com)。 -dc=example,dc=com –ou=groups —cn=VPN (members=user1) —cn=redmine (members=user1,user2) —cn=vCenter (members=user2,user3) –ou=users —cn=user1 —cn=user2 —cn=user3 所有用户都是对象类inetOrgPerson,posixAccount和顶部(我用phpLdapAdmin中的通用:用户帐户来创build它们)。 我有memberOf覆盖并运行,所以类似于(memberOf = cn = VPN,ou = groups,dc = example,dc = com)的查询工作。 现在的问题 。 我使用的一些应用程序(例如redmine)具有可以定义要使用的filter的function,因此可以使用memberOf覆盖。 其他应用程序/服务没有这个,但只有一个基地dn在其中进行search,即vCenter执行以下查询, base="dc=xyzz,dc=se" filter="(&(objectClass=inetOrgPerson)(objectClass=inetOrgPerson)(uid=user1)) 没有办法改变除了它所search的基本dn之外的任何东西。我如何使用ldap来检查用户是否应该有权访问vCenter,前提是该用户是LDAP树中vCenter组的成员。 遇到这个问题让我觉得我误解了LDAP的工作原理。
我有运行openLDAP的Centos 6服务器。 在rsyslog.conf中,我将这些日志转发到我的中央服务器: *.* @10.10.10.10:514 openldap似乎令人难以置信的唠叨。 我在多主集群中有3个服务器。 这3台服务器生成的日志数是我的其他80台服务器的两倍。 我一直没有弄清楚如何告诉openLDAP使用合理的日志级别。 (我们从来没有专门设置日志级别)因为这些是我的主要身份validation来源,所以我有点犹豫与他们“玩”。 有没有办法告诉rsyslog转发一切除了LOCAL4?
有什么办法可以为每个新创build的系统用户设置和创build一个默认组,所以他属于它自己的用户组? 我的意思是,当创build一个user foo我想自动创build一个group foo也将这个用户添加到他的default foo组。 先谢谢了。
我开办了办公室,我需要集中login和主目录工作。 由于所有的工作站都要运行Arch和不同LDAP版本的问题,我最终得出的结论是LDAP服务器也需要Arch。 我已经在服务器和工作站上完全安装了Arch。 都有Arch的“base”和“base-devel”软件包组,安装了NTP,OpenSSH和OpenLDAP,服务器也有nss-pam–ldapd。 现在已经很多了。 我遵循https://wiki.archlinux.org/index.php/OpenLDAP,但必须以不同的方式执行以下操作(并且尚未设置SSL或TLS): 在复制DB_CONFIG.example之前,我运行了updatedb,并使用了locate DB_CONFIG 我必须用-u选项运行slaptest来禁止数据库警告 在运行slaptest之后,我在/etc/openldap/slap.d上做了chown -R ldap:ldap systemctl启动slapd失败,所以sudo slapd -u ldap -g ldap,但sudo slapd工作。 运行sudo slapd后,我杀了slapd和chown -R ldap:ldap / var / lib / openldap但是systemctl启动slapd仍然失败。 后chown -r ldap:ldap / etc / openldap我终于可以使用systemctl启动slapd了……我认为这是当ldap用户启动时不能被ldap读取的模式文件夹。 遵循https://wiki.archlinux.org/index.php/LDAP_Authentication 我没有启动或启用nscd 我现在可以在工作站上用LDAP用户login,并且可以使用我的rootdn更新目录。 问题:用户不能使用passwd更改密码。 LPAD返回: password change failed: Insufficient access /etc/slapd.conf(在服务器上): include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema […]