我在Debian / Squeeze下使用slapd,并尝试将系统configuration为仅允许在端口389上使用STARTTLS进行TLSencryption的连接。 所以我configuration了我的/ etc / default / slapd来侦听端口389: SLAPD_SERVICES="ldap://:389/" 我生成了一个证书并启用了TLS,将以下条目添加到/etc/ldap/slap.d/cn=config.ldif olcTLSCertificateFile: /etc/ssl/openldap/ca-cert.pem olcTLSCertificateKeyFile: /etc/ssl/openldap/ca-key.pem 最后,我添加了一个/etc/ldap/slapd.conf,内容如下: security tls=256 有了这个configuration,我可以运行TLSencryption连接使用: ldapsearch -ZZ -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password" 但除此之外,未encryption的连接仍在使用: ldapsearch -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password" 从我的angular度来看,似乎/etc/ldap/slapd.conf中的安全指令根本没有使用。 另外,当我尝试将slapd.conf转换为cn = configconfiguration格式时,我可以清楚地看到,安全性指令不包含在生成的cn = configconfiguration文件中。 有人知道那里发生了什么,以及如何改变configuration来禁止未encryption的连接?
我们正在安装使用shadowAccount属性的OpenLDAP版本2.4。 我想启用ppolicy覆盖。 我已经完成了OpenLDAP提供的步骤和教程 。 我已经对slapd.conf进行了更改并导入了密码策略。 在重新启动OpenLDAP工作正常,我可以看到密码的政策,当我做一个LDAPsearch。 用户对象如下所示。 # extended LDIF # # LDAPv3 # base <dc=xxxxx,dc=in> with scope subtree # filter: uid=testuser # requesting: ALL # # testuser, People, xxxxxx.in dn: uid=testuser,ou=People,dc=xxxxx,dc=in uid: testuser cn: testuser objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount shadowMax: 90 shadowWarning: 7 loginShell: /bin/bash uidNumber: 569 gidNumber: 1005 homeDirectory: […]
在openldap中实现帐户locking的最佳方式是什么? 我有一个Ubuntu桌面客户端连接到它进行身份validation的OpenLDAP服务器。 我想他的帐户被locking在说5失败的authentication尝试之后 我在slapd.conf中启用了ppolicy布局。 overlay ppolicy ppolicy_default “cn=default,ou=policies,dc=example,dc=in” ppolicy_use_lockout 我现在也input了一个政策。 这是ldapsearch的输出 # policies, example.in dn: ou=policies,dc=example,dc=in ou: policies objectClass: top objectClass: organizationalUnit # default, policies, pramata.in dn: cn=default,ou=policies,dc=example,dc=in objectClass: top objectClass: device objectClass: pwdPolicy cn: default pwdAttribute: userPassword pwdMaxAge: 7776002 pwdExpireWarning: 432000 pwdInHistory: 0 pwdCheckQuality: 1 pwdMinLength: 8 pwdMaxFailure: 5 pwdLockout: TRUE pwdLockoutDuration: 900 pwdGraceAuthNLimit: […]
我正在尝试将Kerio连接到一个Open Directory实例。 我正在使用kinit来testing设置,我得到以下内容: $ kinit -V -S host/[email protected] [email protected] Please enter the password for [email protected]: Kerberos Login Failed: Cannot resolve network address for KDC in requested realm 发生这种情况,即使我100%确定密码是正确的。 无论哪种方式,我更关心的是这个消息的部分 Kerberos Login Failed: Cannot resolve network address for KDC in requested realm 从服务器运行OD,第二个内部服务器我得到相同的错误消息。 我可以从两台服务器上正确地挖掘和ping server.domain.co.uk,所以它使我的脑海里有什么可能是错误的。 我需要这个工作之前,我可以前进,并连接到我的OD的Kerio实例。 edu.mit.kerberos [libdefaults] default_realm = SERVER.domain.CO.UK [realms] SERVER.domain.CO.UK = { admin_server […]
我怎样才能安静下来? 每秒都会将相同的五行写入/ var / log / messages文件。 May 24 13:16:09 servername slapd[21299]: conn=5866 op=15204 SRCH base="" scope=0 deref=2 filter="(objectClass=*)" May 24 13:16:09 servername slapd[21299]: conn=5866 op=15204 SRCH attr=subschemaSubentry namingContexts altServer supportedExtension supportedControl supportedFeatures supportedSASLMechanisms supportedLDAPVersion vendorName vendorVersion May 24 13:16:09 servername slapd[21299]: conn=5866 op=15204 SEARCH RESULT tag=101 err=0 nentries=1 text= May 24 13:16:09 servername slapd[21299]: […]
我已经成功安装了nagios,它通过apache2提供身份validation,通过联系Kerberos身份validation服务器来validation用户身份。 现在,用户已经过身份validation,但是他们没有任何授权,因为在cgi.cfg上configuration了cgi.cfg ,我不想一个接一个地手动configuration我的所有用户,也没有授予每个经过身份validation的用户的所有权限。 我想知道是否可以在cgi.cfg文件(如nagios_reader,有权观看Web界面,主机和服务状态,nagios_writer,能够运行外部命令)而不是用户上设置组。如果这些组可以从LDAP中提取。
我试图设置我的第一个LDAP服务器,将用于存储用户帐户(如邮件,混帐服务器等一些东西)。 我设法安装服务器,但当我想创build我的第一个对象时,我卡住了。 我想要设置的服务器是ashley-vps.mildred.fr(现在,这是一个testing服务器)。 它的dn是dc=ashley-vps, dc=mildred, dc=fr 。 我做的第一件事是导入cosine (是一个math函数?)和nis模式。 然后,我修改了我的configuration的oldSuffix和oldRootDN ,如下所示: dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcSuffix olcSuffix: dc=ashley-vps, dc=mildred, dc=fr – replace: olcRootDN olcRootDN: cn=Manager, dc=ashley-vps, dc=mildred, dc=fr 我在“没有全球优势知识”的时候使用了答案, 同时把一个国家作为模板。 我不认为我需要设置任何特殊访问,因为我使用-Y EXTERNAL -H ldapi:/// ,当我查看我的访问设置时,我似乎有必要的权限: # {0}config, config dn: olcDatabase={0}config,cn=config olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external ,cn=auth" manage by * none # {1}monitor, config dn: […]
我有一个有两个BDB后端的LDAP服务器。 用户帐户分为两个后端。 后端A有一个引用对象到后端B. 我曾尝试在Linux Mint 13上设置LDAP客户端身份validation。getent passwd在后端A和后端B之间列出用户,但在使用su时,su会返回“未知ID”。 但是,使用su从后端A的用户ID工作得很好。 以下是我在客户端(Linux Mint 13)中的/etc/ldap/ldap.conf: base dc=backendA uri ldaps://ldap.x.example.com ldap_version 3 binddn cn=auth,dc=backendA bindpw admin@123 referrals yes 和客户端中的/etc/ldap.conf: base dc=backendA uri ldaps://ldap.x.example.com ldap_version 3 binddn cn=auth,dc=backendA bindpw admin@123 rootbinddn cn=admin,dc=backendA pam_password md5 deref always referrals yes nss_base_passwd ou=users,dc=backendA?one nss_base_shadow ou=users,dc=backendA?one nss_base_group ou=roles,dc=backendA?one nss_base_passwd ou=users,dc=backendB?one nss_base_shadow ou=users,dc=backendB?one nss_base_group ou=roles,ou=users,dc=backendB?one 什么可能是错的?
我正在尝试使用LDAP身份validation设置具有CIFS共享的FreeNAS 9.1.1服务器。 我build立了一个OpenLDAP服务器,使用smbldap-populate填充它,为我自己添加一个用户帐户,并configurationFreeNAS上的LDAP客户端来使用这个目录。 在我看来,像FreeNAS可以很好地检索用户和组,因为getent passwd和getent group输出列出了我在OpenLDAP服务器上设置的实体。 到现在为止还挺好。 我现在创build了一个新的ZFS卷,并将其设置为由我的LDAP用户帐户和Domain Admins组拥有。 当我现在尝试使用共享时,通过在Windows命令行上发出net use \\freenas\zfs0-share ,得到以下结果: System error 59 has occured. An unexpected network error occurred. 在我的FreeNAS控制台中,我得到以下输出: freenas smbd: auth/check_samsec.c:491(check_sam_security) check_sam_security: make_server_info_sam() failed with NT_STATUS_UNSUCCESSFUL 这个错误是什么意思,我该如何解决?
我有几个独立的LDAP服务器,由不同的实体控制,允许匿名访问。 我想AD要告诉LDAP查询使用不同的服务器…像recursionDNS。 这可能在LDAP或特别是AD?