我正在尝试使用以下命令来识别哪些文件被编辑,但找不到。 authconfig –enablemd5 –enableshadow –enablecache –enablelocauthorize –enableldap –enableldapauth –ldapserver = ldap: //test-01.com –ldapbasedn = "dc = teste, dc = com, dc = us" – -enablemkhomedir -update 我只能将ldapconfiguration为authconfig命令。 我需要手动编辑文件。
当用户更改其OD密码(在OS Xlogin屏幕或系统首选项)时,我遇到了50多个工作站(10.9和10.10)的问题。 密码更改服务器上的更新,但是如果用户没有立即重新启动他们的工作站(以及他们有一个用户帐户的每个工作站),在接下来的几个小时内,工作站将通过几十个身份validation尝试一个不正确的密码(或Kerberos票据,似乎),即使他们从机器注销。 当然这会达到最大的失败尝试,并有效地locking用户。 如果他们重新启动他们有一个用户帐户的每个工作站(移动用户或只是以前login到该计算机的常规networking用户),这不会发生。 当然,这导致我们假设某种密码(或票)的caching正在发生,但在哪里,什么? 有没有解决方法? 更新: 我相信我已经把authentication的尝试追溯到KCM。 看似随机的KCM每隔几分钟(实际上每137秒)开始运行一次,最初几次返回“Success”(在accountpolicy.log中),然后开始返回“Failed Authentication Policy”。 在此特定实例中,“成功”响应的数量等于允许的失败login尝试次数。 然后出现“失败的身份validation策略”响应。 所以它似乎相关。 我需要再次发生失败。 所以我现在的问题是: 是什么使KCM开始运行(12小时以上,有些情况下还没有运行)? 为什么KCM触发locking?
我运行Ubuntu 12.04和OpenLDAP 2.4.28-1.1ubuntu4.5。 我有用户在LDAP中填充userPassword属性是{SHA1}散列。 用户可以通过SSHlogin并通过Web应用程序进行身份validation。 现在,我想添加Radiusauthentication(从一个OTP服务器)到LDAP服务器作为一个额外的机制。 这样,用户可以通过Radius的“一次性密码”进行身份validation,但所有的POSIX属性都会从LDAP中被拉下来。 这可能吗? 什么机制叫?
我在这里遇到了一个关于OpenLDAP的小问题。 问题是search嵌套组的成员。 可以说,我有这样的结构: DN =域,DN =本地 OU =人 cn = marvyn(inetOrgPerson) OU =部门 cn =pipe理(groupOfNames) OU =应用 cn = jira(groupOfNames) 马文是pipe理的成员。 行政是jira的成员。 我想对jira进行authentication,并检查marvyn是否在其中,但marvyn是在jira的成员的主pipe部门。 我如何需要search或build立searchstring,以查明如果marvyn是jira的成员。 感谢你们,
在DNS域中 domain.local. 有两台机器 host.domain.local. = 192.168.1.1 srv1.domain.local. = 192.168.1.2 host.domain.local. is KDC for Kerberos realm DOMAIN.LOCAL, srv1.domain.local. is a KDC for Kerberos realm RC.DOMAIN.LOCAL. RC.DOMAIN.LOCAL和DOMAIN.LOCAL之间存在单向信任关系: RC.DOMAIN.LOCAL ===trusts===> tickets from DOMAIN.LOCAL, 但反之亦然。 在srv1上的RC.DOMAIN.LOCAL的KDC已经build立了一个OpenLDAP-后端根据 http://web.mit.edu/kerberos/krb5-devel/doc/admin/conf_ldap.html 其OpenLDAP后端位于host.domain.local中,可通过 ldaps://host.domain.local:636. 在srv1上也安装了一个本地的OpenLDAP(但是是diabled),因此在srv1上存在本地的ldap.conf等。 当我在(srv1)根会话中手动启动srv1上的KDC时 root@srv1:~# krb5kdc 一切正常。 当我尝试通过系统init脚本在srv1上启动KDC时 root@srv1:~# /etc/init.d/krb5-kdc start 要么 root@srv1:~# service krb5-kdc start srv1上的krb5kdc与主机上的slapd之间的TLS对话框失败; 组合的系统日志是 14:46:44 host.domain.local slapd[1778]: daemon: […]
我正试图让ldaps与openldap一起工作。 我有一个为此域颁发的通配符ssl证书,并使用ldapmodify将相关文件添加到cn = config,如此处所示。 一旦我完成了这个,我无法重新启动OpenLDAP。 我完成了OpenLDAP的设置,并确认可以使用ldap成功绑定。 我在端口为389和636的AWS EC2实例上使用Ubuntu 14.04 TLS。 一些诊断: /etc/init.d/slapd重启 restart * Stopping OpenLDAP slapd [ OK ] * Starting OpenLDAP slapd [fail] slapd -u ldap -g ldap -d 65 563e5b20 @(#) $OpenLDAP: slapd (Ubuntu) (Sep 15 2015 18:19:13) $ buildd@lgw01-53:/build/openldap-2QUgtL/openldap-2.4.31/debian/build/servers/slapd ldap_pvt_gethostbyname_a: host=ip-172-31-62-171, r=0 563e5b20 daemon_init: listen on ldap:/// 563e5b20 daemon_init: 1 listeners […]
2016年即将到来。 我们仍然使用openldap。 我已经从现有的用户从Ubuntu 12.04的OpenLDAP服务器。 它除了通过sssd在ubuntu主机上包含用户,组和机器账户信息外,还提供了authentication层。 我在Ubuntu上有samba文件服务器,它通过pam和非标准系统帐户对用户进行身份validation。 我使用pam_smbpass.so pam模块在文件服务器上的tdb samba db中同步用户名/密码。 这不是一个好的解决方法,因为用户必须首先在FTP服务上通过身份validation。 然后他们可以访问samba共享。 我决定从12.04到14.04迁移ldap服务器,并在14.04发现了一个新的slapd-smbk5pwd软件包。 它将包含smbk5pwd openldap模块。 此模块可以更新samba特定属性的密码,如sambaNTPassword 。 我在testing容器上使用sambascheme成功地在新版本的ubuntu上迁移了ldap目录,用于testingsmbk5pwd模块。 但面临缺乏桑巴特定的属性。 我必须编写一个脚本,用sambaSamAccount等适当的samba属性更新现有的用户。在ibm kb上有很好的文档logging。 对我来说没有问题。 但在这种情况下,我已经很难algorithm(我使用phpldapadmin添加新用户)变得更加复杂。 有必要手动向新用户添加其他属性。 每次必须生成新的sambaSID,并使用模板化的ldif文件更新目录中的用户。 有smbldap-tools软件包和smbldap-useradd工具。 但我从来没有用过它们。 也许我应该只通过smbldap-useradd创build用户? 对于ubuntu机器的auth和samba服务器来说就足够了? 我可以在这样的计划中遇到什么问题? 在我的情况下是否有更简单的方法来支持用户? 怎么样迁移到freeipa或者samba4? Samba4必须使用许多标准的unix模式进行扩展。 在现实世界中可能吗? 我们大部分的桌面系统都是ubuntu和macosx系统。 我们还需要sudoers和ppolicyscheme来locking帐户,并受到暴力保护。
我需要使用startTLS和OpenLDAP客户端连接ApacheDS数据库。 我的ldaprc文件包含: URI ldap://127.0.0.1:7323 ldaps://127.0.0.1:7423 SSL start_tls SASL_MECH plain TLSCipherSuite HIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3 TLS_REQCERT allow 我用过的命令是: ldapsearch -H ldap://localhost:7323 -D "uid=admin,ou=system" -w secret -Z -d1 我已经检查过,我的服务器正在侦听这些端口,我可以连接其他客户端(例如ldapbrowser,jxplorer),但是使用OpenLdap的testing失败: … ldap_connect_to_host: Trying 127.0.0.1:7323 ldap_pvt_connect: fd: 3 tm: -1 async: 0 ldap_open_defconn: successful ldap_send_server_request ber_scanf fmt ({it) ber: ber_scanf fmt ({) ber: ber_flush2: 31 bytes to sd 3 ldap_result ld 0x7f81d95282a0 […]
我已经将用户添加到LDAP中的一个组中。 用户在ldapsearch中显示。 但是,当我使用getent group my_group在RHEL实例上列出组成员时,用户不会显示出来。 假设这是因为SSSDcaching了组员资格,我是否正确? 当我尝试清除组的SSSDcaching时,它不会执行任何操作: # sss_cache -d LDAP -g my_group (Mon Dec 14 10:40:41:816191 2015) [sss_cache] [confdb_get_domain_internal] (0x0010): Unknown domain [LOCAL] (Mon Dec 14 10:40:41:816364 2015) [sss_cache] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [LOCAL], skipping! # echo $? 0 具体来说,用户仍然不会出现在getent group my_group列表中。 当我在命令中指定“LDAP”域时,为什么要查找“LOCAL”域? 这是SSSDconfiguration # cat /etc/sssd/sssd.conf […]
目前,我们需要为我们的自定义应用程序configuration基于组的LDAPlogin。 我们有名为app1,app2等的应用程序 为了限制用户login特定的应用程序,例如app1,那么对于该用户,应该具有名为allowedService = app1的属性,用于login到app2,用户需要allowedService = app2 那样我们就创build了用户 现在为了将应用程序绑定到ldap,我们创build了像 cn = app1,ou =应用,dc =素数,dc = ds,dc = geo,dc = com cn = app2,ou =应用,dc =素数,dc = ds,dc = geo,dc = com 现在我们configurationLDAP ACL如下: olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=ds,dc=geo,dc=com" write by * none olcAccess: {1}to dn.base="" by * read olcAccess: […]