我必须在Ubuntu 12.04服务器上设置一个外部匿名可访问的LDAP目录,并且我想要将authentication和内部数据保存在不同的子树中。 LDAP布局示例 dc=example.com,dc=com organizationUnit: ou=hie_ext,dc=example,dc=com organizationUnit: ou=group1,ou=hie_ext,dc=example,dc=com inetOrgPerson: cn=user1,ou=group1,ou=hie_ext,dc=example,dc=com inetOrgPerson: cn=user2,ou=group1,ou=hie_ext,dc=example,dc=com organizationUnit: ou=group2,ou=hie_ext,dc=example,dc=com organizationUnit: ou=group_auth,dc=example,dc=com account: uid=group1,password=XXX,ou=group_auth,dc=example,dc=com 这个想法是uid = group1 auth将能够在ou = hie_ext,ou = group1下添加/编辑(“写”基本上)条目。 我尝试了一个像这样的ACL规则: access to dn.children="ou=hie_ext,dc=example,dc=com" by set="this/ou & user/uid" write by * none 当我使用slapacltesting写权限的时候,如果我testing的话,我会得到“允许” "ou=group1,ou=hie_ext,dc=example,dc=com" 但是当我testing时“拒绝” "cn=user1,ou=group1,ou=hie_ext,dc=example,dc=com" 这对我来说似乎有些</s> </s>。 我可能忽视了一些显而易见的事情(在这一点上,我对LDAP很绿)。 对slapacl运行“-d trace”选项并没有什么帮助,因为我不知道我在看什么。 🙂 更新: 所以,虽然“-d trace”对我来说太有用了,我已经意识到“-d acl”这可能会更有帮助。 所以如果我跑步 slapacl -f […]
我有一个基于CentOS 6的VSFTPD服务器,configuration为通过openLDAP服务器validation虚拟用户。 我可以login到FTP服务器,但是,通过身份validation的用户不会redirect到他们的主目录,而是到VSFTPD的主目录! 请注意,每个用户的主目录位于一个伪随机位置,因此,我不能使用类似的属性 user_config_dir=$USER 但是,在LDAP中,属性homeDirectory包含用户主目录的完整path 。 例: uid:[email protected] homeDirectory: /nfs/{RANDOM_storage_location}/{RANDOM_NUMBER}/{DOMAIN}u/s/e/usertest 我如何configurationvsftpd来使用每个用户的主目录? configuration文件: ##Filename: pam_ldap.conf base dc=example,dc=com uri ldap://192.168.1.8:389 binddn cn=ftp,ou=read,ou=groups,dc=example,dc=com bindpw secret bind_timelimit 300 idle_timelimit 300 timelimit 300 VSFTPD conf是: Anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES # Enable Virtual users guest_enable=YES virtual_use_local_privs=YES chroot_local_user=YES chroot_list_enable=NO xferlog_enable=YES log_ftp_protocol=YES connect_from_port_20=YES listen=YES pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES hide_ids=YES 连接示例: ftp ftp> […]
我的Windows SErver上安装了Active Directory。 我想复制一些Active Directory用户到OpenLDAP。 在我的Active Directory用户 CN =pipe理员,OU =资源,DC = MYDOMAIN,DC = COM 我想复制ou =资源到我的另一个openldap服务器 CN =pipe理员,DC = MYDOMAIN,DC =组织 任何人都知道如何做到这一点?
我正在考虑退休一些旧的OpenDJ LDAP服务器,并用OpenLDAPreplace。 (似乎得到更广泛的支持) 我想知道是否有可能直接从OpenDJ复制到OpenLDAP作为临时解决scheme,以删除OpenDJ奴隶,然后翻转主人以后。 LDAP复制实现是特定的还是更一般的? 我想我不得不去试一下,但是我正在寻找来自这条路上的人的build议。
最近搭build环境testing,安装openldap,openwebmail和PAMauthentication模块遇到当前帐户loginwebmail更改密码会出现“密码错误,更改不成功..” openwebmail.log显示 Fri Mar 21 16:50:40 2014 – [2543] (192.168.126.1) testuser – change password error – auth_pam.pl, ret -4, pam_authtok() err 10, User not known to the underlying authentication module 当前的设置 /etc/httpd/conf.d/openwebmail.conf auth_module auth_pam.pl /etc/pam.d/openwebmail #%PAM-1.0 auth sufficient /lib/security/$ISA/pam_ldap.so auth required /lib/security/$ISA/pam_unix.so account required /lib/security/$ISA/pam_unix.so account sufficient /lib/security/$ISA/pam_ldap.so password sufficient /lib/security/$ISA/pam_ldap.so password required /lib/security/$ISA/pam_unix.so 不知道设置错在哪里导致这个问题?
我有一个openldap服务器(用户密码)打开全球,我试图保证。 步骤1是通过ACL限制对通过身份validation的用户的数据访问。 第二步,防止蛮横攻击,实行政策。 似乎工作正常,很酷。 第三步是通过尽早发现停工的可能原因来“处理被锁住的用户,发誓不是他的错”。 我已经开始编写脚本,检查pwdAccountLockedTime属性的存在,通过电子邮件,铃声等警告。这很好,但我很难将其链接到日志中的数据,说明何时发生login的罪名,从何处等等。所有的数据在那里,但把它们放在一起是一个真正的痛苦。 我确信我不是唯一遇到这个问题的人(或者我正在努力解决错误的问题?),而且解决scheme是存在的,我只是无法find它们。 我错了吗 ? 忘了说,fail2ban并不适合。 有很多客户,其中我不一定知道地址,谁可能做目录上的合法的大量请求,并不会通过fail2ban。 听起来很奇怪,我知道,但我们的configuration是复杂的,我们必须要做。 这就是为什么我在看政策。 简而言之,我想有一种方法来监视pwdAccountLockedTime的发生,当发生这种情况时,立即获得关于哪个用户的信息,pwdFailureTime值,当时做了什么请求以及从哪个IP地址(s)在一个单一的,易于阅读的日志文件。 这将是伟大的,当然存在?
在试图通过ssl连接到一个MS活动目录服务器,我试图运行这个: ldapmodify -vv -H 'ldaps://abc.def.com:636' -D 'cn=user,cn=Users,dc=abc,dc=def,dc=com' -f test.ldif -w 'password' -d4 我得到这个: ldap_initialize( ldaps://abc.def.com:636/??base ) TLS: certificate [CN=**********] is not valid – error -8179:Peer's Certificate issuer is not recognized.. 但是这个工作: ldapsearch -H 'ldaps://abc.def.com:636' -D 'cn=user,cn=Users,dc=abc,dc=def,dc=com' -w 'password' -b 'dc=abc,dc=def,dc=com 我的/etc/openldap/ldap.conf看起来像这样: TLS_REQCERT never TLS_CACERTDIR /etc/openldap/certs 我忽略了证书,为什么又要求?
我已经成功地在Fedora VM上设置了LDAP的Bild。 问题是,bind-sdb根本不查询通配符条目。 当我这样做:nslookup doesnotexist.example.com。 127.0.0.1 LDAP服务器获取reuqest并按照我的预期做出错误的答案。 之后,多次绑定-sdb查询@条目。 我期望它做的是查询某种通配符条目。 其中一个项目(bind-dlz)将其描述为〜条目,因为LDAP在查询中使用*(或者我认为bind-sdb查询不是那么好)。 但在日志中没有这样的查询。
我想在Virtual Box中将liferay连接到zimbra,我需要填写以下表单: ![捕获liferay尝试在VB中连接到ldap] 我从这个命令的输出中得到了URL和密码: zimbra@ubuntu:/home/ubuntu$ zmlocalconfig -s zimbra_ldap_password ldap_master_url zimbra_ldap_password = uGNs5PjD ldap_master_url = ldap://ubuntu.formation.com:389 请我想知道其他信息是否正常? 谢谢
我终于把我的新服务器configuration为我现有的LDAP客户端。 现在,每次我以root身份login时,系统都会提示更改我的“LDAP密码”: login as: root [email protected]'s password: You are required to change your LDAP password immediately. Welcome to Ubuntu 12.04.4 LTS (GNU/Linux 2.6.32-042stab090.3 i686) * Documentation: https://help.ubuntu.com/ Last login: Fri Jul 4 15:45:24 2014 from xxxxxx.xxxxx.xxxxx.de Changing password for root. (current) UNIX password: Enter new UNIX password: Retype new UNIX password: root@ubuntuserver:~# 我使用“pam-auth-update –force”来禁用了LDAPauthentication,但是我仍然在每个rootlogin上都得到相同的提示。 我的“/val/log/auth.log”是完整的空白。 […]