Articles of openldap

我有一个LDAP服务器（slapd）的ACLconfiguration问题。 以下ACL条目作为适用的第一条规则处于活动状态： {0}to dn.subtree="ou=some,ou=where,ou=beneath,dc=the,dc=rain,dc=bow" attrs=entry,children by users write 现在发生的奇怪的事情是，给定的规则，我可以添加一个条目到相应的DN，但如果我想修改它与同一个用户，那么我得到 0x32（LDAP_INSUFFICIENT_ACCESS） 有人可以给我一个提示，问题可能是什么？

我正在尝试将Linux服务器添加到由AD控制的networking中。 目标是服务器的用户将能够对AD域进行身份validation。 我有Kerberos工作，但NSS / PAM更麻烦。 我正尝试使用如下所示的简单命令进行debugging，请参阅错误。 任何人都可以帮助我debugging？ root@antonyg04:~# ldapsearch -H ldap://raadc04.corp.MUNGED.com/ -x -D "cn=MUNGED,ou=Users,dc=corp,dc=MUNGED,dc=com" -W uid=MUNGED Enter LDAP Password: ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece 我不得不详述一些细节，但是我可以告诉你，cn = MUNGED是我login到AD域的用户名，我input的密码是所述域的密码。 我不知道为什么它说“无效的凭据”，其余的错误是如此神秘，我不知道。 我的方法有什么缺陷吗？ 我的DN显然是错的吗？ 我如何确认正确的DN？ 网上有一个工具，但我找不到它。 NB我无法访问AD服务器进行pipe理或configuration。

我有以下的ldif文件，我试图加载到openLDAP中： 为Monas项目创build自定义模式 dn: cn=testSchemas,cn=schema,cn=config objectClass: olcSchemaConfig cn: testSchemas olcAttributeTypes ( 1.3.6.1.4.1.4203.666.1.90 NAME 'competence' DESC 'The field an individual is qualified' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubStringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{128} ) olcAttributeTypes ( 1.3.6.1.4.1.4203.666.1.91 NAME 'spokenLanguage' DESC 'The language spoken by a person.' SUP preferredLanguage EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubStringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} ) olcObjectClasses ( 1.3.6.1.4.1.4203.666.2012.1 NAME 'inetOrgTestPerson' DESC 'An […]

如何在iRedMail开源版本中为域创build全部电子邮件别名？ 我知道这是可能的通过LDAP，并发现以下说明： http : //iredmail.org/wiki/index.php?title=Addition/OpenLDAP/Catch-all 问题是如何通过phpLDAPAdmin添加这个参数？ 我select“在此创build新条目”并selectmailUsertypes。 然后在步骤2中，第一个问题是关于“RDN”，select框“selectRDN属性”。 我应该select什么作为RDN？ 应该填写“创build对象”表单的哪些字段？ 不幸的是，用户input是完全没有validation的，最终的错误不包含解释什么是错误的 另外当我尝试从iredmail维基phpldapadmin导入示例它给LDIF导入parsing错误说明：有效的DN行是必需的[] dn行是：dn：mail = @ mydomain.eu，ou =用户，domainName = mydomain.eu，o =域，dc = myserver，dc = pl

我正在尝试同步一个ldap从服务器和主服务器。 主服务器使用的是openldap 2.3.43-12，从服务器使用的是openldap 2.4.23。 我复制了/ var / lib / ldap中的文件，启动服务器并得到这个错误： Oct 22 16:16:41 xe-ldap-slave1 slapd[12111]: bdb(dc=mydomaine,dc=fr): Program version 4.7 doesn't match environment version 4.4 Oct 22 16:16:41 xe-ldap-slave1 slapd[12111]: bdb_db_open: database "dc=mydomaine,dc=fr" cannot be opened, err -30971. Restore from backup! Oct 22 16:16:41 xe-ldap-slave1 slapd[12111]: bdb(dc=mydomaine,dc=fr): txn_checkpoint interface requires an environment configured for the transaction […]

从控制台运行： ldapsearch -D cn=admin,dc=psikon,dc=net -LLL -W 我得到一个条目： dn: cn=megatron,ou=Executive,dc=psikon,dc=net sn: megatron objectClass: inetOrgPerson objectClass: top userPassword:: [password] cn: megatron 到现在为止还挺好？ 所以一个虚拟主机有一个简单的configuration： AuthBasicProvider ldap AuthLDAPURL "ldapi:///?cn" AuthLDAPBindDN "cn=admin,dc=psikon,dc=net" AuthLDAPBindPassword "[admin passwd]" Require valid-user 当尝试login但是，Apache日志说： [Fri Nov 30 09:14:57 2012] [debug] mod_authnz_ldap.c(403): [client 173.246.22.18] [11233] auth_ldap authenticate: using URL ldapi:///?cn [Fri Nov 30 09:14:57 2012] [info] [client […]

我有两个运行TLS的OpenLDAP服务器。 他们是： ldap1.mydomain.com ldap2.mydomain.com 我也有一个负载均衡器集群，它有一个自己的DNS名称： ldap.mydomain.com SSL证书具有ldap.mydomain.com的CN，ldap1.mydomain.com和ldap2.mydomain.com的SAN。 一切正常…除镜像模式复制。 我的镜像模式复制是这样设置的： 的ldap.conf TLS_REQCERT allow CN = config.ldif olcServerID: 1 ldap://ldap1.mydomain.com olcServerID: 2 ldap://ldap2.mydomain.com 在ldap1上，olcDatabase {1} hdb.ldif olcMirrorMode: TRUE olcSyncrepl: {0}rid=001 provider=ldap://ldap2.mydomain.com bindmethod=simple bindmethod=simple binddn="cn=me,dc=mydomain,dc=com" credentials="REDACTED" starttls=yes searchbase="dc=mydomain,dc=com" schemachecking=on type=refreshAndPersist retry="60 +" 在ldap2上，olcDatabase {1} hdb.ldif olcMirrorMode: TRUE olcSyncrepl: {0}rid=001 provider=ldap://ldap1.mydomain.com bindmethod=simple bindmethod=simple binddn="cn=me,dc=mydomain,dc=com" credentials="REDACTED" starttls=yes searchbase="dc=mydomain,dc=com" schemachecking=on type=refreshAndPersist […]

我在Ubuntu上设置了一个OpenLDAP服务器，这样它将成为authentication的授权用户数据库。 我将要使用Atlassian Crowd，以便Google Apps可以使用针对Crowd的SSO。 为了进一步最大化在LDAP中的投资，我想使用Google的目录同步工具，以便IT可以pipe理LDAP详细信息，然后将同步工具上传到Google。 这也将确保如果用户使用Crowd来更改密码，GADS会将密码重新同步到Google，以便非SSO应用程序（如智能手机，POP等）继续工作。 我的问题源于如何最好地在OpenLDAP中定义一些对象。 人们似乎相当直接地定义为inetOrgPerson objectClass定义所有我想要的属性。 邮件组和联系人似乎更难以确定，因为我找不到符合条例草案的任何对象。 例如，groupOfUniqueNames没有邮件属性（用于定义电子邮件地址）。 我找不到任何看起来像联系人的东西。 GADS的文档build议该工具将寻找像“文字”的属性作为电子邮件地址。 关于什么可能用于联系人没有任何build议。 有关我如何继续的build议？ 我确实希望将LDAP用于组而不是Google Apps，因为我也希望使用组成员资格来控制对SSH访问服务器，git存储库访问等资源的访问。 非常感谢。

我正在尝试在OpenLDAP服务器和Google Apps之间build立同步。 在Google Apps中已经创build了一些用户帐户，这些帐户不在我的OpenLDAP服务器中。 每次执行同步时，该帐户都会暂停。 根据GADS文档，可以创build包含不应同步的用户帐户的排除列表。 但正如我从文档中理解的排除列表应该只包含本地LDAP用户帐户，而不应该同步。 我错了还是有这种情况的解决scheme？

新安装的CentOS 6.3，openldap-servers-2.4.23。 生成一个新的证书请求，签署证书，开始slapd。 ldapsearch响应ldapi：///和ldap：///。 但是，只要在ldaps：///上发出请求，slapd进程就会占用所有可用的CPU，并且从不响应。 strace -p -ff会在无限循环中产生以下结果： [pid 5978] open("/etc/openldap/certs/server.key", O_RDONLY) = 21 [pid 5978] stat("/etc/openldap/certs/server.key", {st_mode=S_IFREG|0640, st_size=1704, …}) = 0 [pid 5978] read(21, "—–BEGIN PRIVATE KEY—–\nMIIE"…, 1704) = 1704 [pid 5978] close(21) = 0 [pid 5978] open("/etc/openldap/certs/server.key", O_RDONLY) = 21 [pid 5978] stat("/etc/openldap/certs/server.key", {st_mode=S_IFREG|0640, st_size=1704, …}) = 0 [pid 5978] read(21, "—–BEGIN PRIVATE […]