我在我的组织中有以下设置: 子组织A具有Microsoft Active Directory服务器,该服务器为“仅Windows”世界提供服务,即其用户没有 UID或GID值。 用户具有固定的用户名(例如,“jdoe”),并且可能改变电子邮件地址“[email protected]”(可能在结婚时变成“[email protected]”…) 子组织B有一个微软的AD服务器,它服务于一个“Unix感知”的世界,也就是说,它为用户提供了UID和GUID值。 用户名一般是固定的,电子邮件可以像上面那样更改。 在两个组织中都可以有一个“jdoe”,代表相同或不同的真实世界的人(如果这个人是两个子组织都知道的话) 现在,我需要创build一个OpenLDAP设置,允许以下几点: 我住在子组织C. 用户可以使用某种唯一的ID(例如,A \ jdoe或jdoe @ A)及其子组织的密码进行login。 对于来自子组织A的用户,必须创build某种“自动”UID。 可以假设一定范围的UID具有足够的空间(例如,40k-80k)。 来自子组织A和B的任何组信息都可以被丢弃,但是我需要在子组织C中有(Unix风格的)组,其中包含来自A和B的用户。 理想情况下,我想在A和B的AD和我的OpenLDAP服务器之间进行“手动同步和保存” 尽pipe与A和B的AD连接可能中断,但我可以对用户进行身份validation。 标记为“禁用”的用户在同步之后,在我的OpenLDAP中也被标记为禁用 没有必要被写回A和B的AD,但AD A和AD B的变化必须被写回到我的OpenLDAP服务器。 在高层次上,这个最好的方法是什么? 在LDAP / OpenLDAP的文档和书籍中查找哪些相关术语。 不是LDAP / OpenLDAP方面的专家,似乎在人们写下任何地方都会使用很多特定领域的语言。
当使用匿名绑定从命令行运行ldapsearch ,我希望只要使用分页,就允许用户/应用程序返回无限的结果。对于cn=admin用户,我想允许无限制结果。 我正在使用下面的LDIF文件,但它不是很正确。 cn=admin正在运行确定,返回所有〜1000个用户。 # ldapsearch -x -ZZ -D "cn=admin,dc=my,dc=org" -W … # search result search: 3 result: 0 Success # numResponses: 1082 # numEntries: 1081 …但匿名绑定仍然限于500个结果(虽然分页确实工作): # ldapsearch -x -ZZ "Objectclass=Person" -E pr=100/prompt … # requesting: ALL # with pagedResults control: size=100 # # search result search: 8 result: 4 Size limit exceeded # […]
我configuration了我的LDAP并添加了Kerberos。 添加kerberos后,我甚至无法使用ldapsearch进行最基本的search。 即使是简单的命令: ldapsearch -x -LLL -H ldap:/// -b dc=kanidey,dc=com dn返回结果 dn No such object (32) 这是来自slapcat的输出的顶部: dn: dc=kanidey,dc=com objectClass: top objectClass: dcObject objectClass: organization o: Kanidey Consulting LLC dc: kanidey structuralObjectClass: organization entryUUID: c3d269da-60ec-1037-8100-4154c88823c4 creatorsName: cn=admin,dc=kanidey,dc=com createTimestamp: 20171118204240Z entryCSN: 20171118204240.798049Z#000000#000#000000 modifiersName: cn=admin,dc=kanidey,dc=com modifyTimestamp: 20171118204240Z dn: cn=admin,dc=kanidey,dc=com objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP […]
我不确定这是可能的或在哪里寻找function。 给定一个活动目录(或任何其他的LDAP真的),我可以站在OpenLDAP与引荐,但在OpenLDAP端增加模式? 更具体地说:使用OpenLDAP将POSIX架构添加到不支持它的LDAP服务器。 这个动机是: *在将模式更改为主LDAP目录之前进行PoCtesting *更好地了解引荐/代理和OpenLDAP如何工作。 (我很熟悉configurationOpenLDAP足够多function的多主集群运行,但只是勉强;-)
我今天跑slapindex ,发现我的openLDAP设置有问题。 具体而言,下面的警告cannot assess the validity of the ACL scope within backend naming context 。 任何人都可以更详细地解释这是试图告诉我什么? 它警告ACL吗? 似乎它试图说,因为DIT不见了,所以无法find应用ACL的方法。 test# sudo -u openldap slapindex -d 128 openldap 5a14539f => access_allowed: search access to "cn=config" "objectClass" requested 5a14539f <= root access granted 5a14539f => access_allowed: search access granted by manage(=mwrscxd) 5a14539f => access_allowed: search access to "cn=module{0},cn=config" […]
我想修改我的LDAP数据库中的一些权限,所以我注意到slapd.conf不在了。 我想要做的是将以下几行添加到slapd.conf中: access to dn.subtree="ou=contacts,dc=example,dc=org" by self write by dn="cn=addressbookuser,ou=people,dc=example,dc=org" write by * break 我将如何使用新方法来做到这一点?
根据OpenLDAP文档,我应该修补Berkeley DB。 我已经安装了Berkeley DB,并且已经find了补丁文件,但是我该怎么处理呢? 他们似乎不可执行。
我有一个openldap服务器,不能迎合所有的连接请求。 它停止响应 – 即。 尝试连接的客户端大约2 – 3分钟后出现错误“无法联系LDAP服务器(-1)”。 有很高的stream量(就我所知)而且整个一天发生的问题 – 服务器响应,然后达到高峰 – 停止,然后再次响应。 请引导我 – 所有帮助非常感谢。 提前致谢。
问题是Solaris本地LDAP客户端无法与OpenLDAP服务器良好地配合使用: http : //docs.lucidinteractive.ca/index.php/Solaris_LDAP_client_with_OpenLDAP_server 我可以按照这些步骤尝试使Solaris服务器作为OpenLDAP的客户端工作,但是我不确定是否进行这些更改会破坏当前OpenLDAP服务器为多个Linux客户端提供服务的设置。 它会继续为其他客户端,即使修补OpenLDAP服务器等工作正常吗? 我也想听听其他人在类似情况下的经历。 有没有其他的select? 例如,是否可以在Solaris 10上安装和configurationOpenLDAP客户端? 或者更简单的方法来configuration本机Solaris客户端本身? 回复Cian:我想你也修补了你的ldap服务器:参见https:// docs.redbrick.dcu.ie/ldapsetup。
我正在运行OpenBSD + CARP + pfsync的路由器/防火墙上设置OpenLDAP。 好奇的是,我想知道如何确保在一旦发生故障时两个盒子之间的设置保持冗余,我最好的办法是什么。 我只需在两台主机之间build立复制,并使用所有客户端使用的VIP(虚拟IP)进行交谈? 有没有更好的方法来处理它?