我有一个约3-6个CentOS服务器的networking,约有5-10个用户(目前和不久的将来)。 我正在寻找一个集中pipe理用户的解决scheme。 我的要求是: Linuxauthentication(login到服务器) 与Samba集成 – 仅将Linux文件公开给Windows; 我不想使用此解决schemelogin到Windows机器 API到其他需要authentication的服务,如Redmine或Alfresco 简单的pipe理 尝试了OpenLDAP,但对于我的小型networking来说似乎太复杂了。 然后,我已经安装了RedHat的IdM(= FreeIPA),这很容易安装,并且非常好pipe理。 这也是基于LDAP,所以我认为它会和其他玩家一起玩。 令人惊讶的是,似乎IdM / FreeIPA并没有很好地与Samba集成。 此外,似乎我错了,IdM / FreeIPA不公开其LDAP服务器的其他服务 – 他们必须被Kerberized,这使业务复杂… 所以,合理的解决scheme似乎回到了LDAP。 我对么? 但即使使用LDAP,我也不确定什么是正确的方法… OpenLDAP / 389服务器 具有LDAP后端的Samba3或具有内置LDAP的Samba4 https://gna.org/projects/smbldap-tools/ 我甚至不知道我在问正确的问题:)
我正在尝试使用syncrepl为LDAP设置复制服务器。 我想使用Kerberos来validation消费者,因为我们已经设置好了,而且看起来更安全。 我的提供者和消费者的数据库定义如下。 当我启动消费者,我得到这个错误: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Credentials cache file '/tmp/krb5cc_55' not found) 我认为这意味着消费者没有有效的TGT。 如何configuration消费者以获得有效的TGT? 我读过一些推荐使用k5start或cron作业的较旧的源代码。 这仍然是做到这一点的方式吗? slapd.conf手册页指出authcid和authzid可以和bindmethod=sasl一起使用,但是它没有指定如何格式化这些页面。 我应该在这里放一个DN还是一个kerberos校长或者其他的东西? 我需要指定这些吗? 感谢您的帮助 消费者configuration: database bdb suffix "dc=example" rootdn "uid=someuser,cn=realm,cn=gssapi,cn=auth" directory /var/lib/ldap dirtyread overlay syncprov syncprov-checkpoint 100 10 syncprov-sessionlog 100 syncrepl rid=1 provider=ldap://provider.realm type=refreshAndPersist starttls=yes searchbase="dc=example" schemachecking=off bindmethod=sasl saslmech=gssapi […]
注:我知道有一些问题在谈论类似的话题,但是他们都已经有几年了,所以我最好提一下我的确切情况,根据时间技术得到最合适的解决scheme。 我想请讨论一些不同的情况来得到完整的理解。 我想pipe理一个公司或大学的系统( 大中型案例),我打算在Ubuntu服务器上为系统用户提供以下服务: OpenVPN,Jabber,Git,FreeRadius,Email, Redmine和samba文件共享等…我希望所有的服务使用相同的用户名和密码进行身份validation(以便从集中身份validation系统,OpenLDAP或Active Directory(以Samba4作为域控制器)获取用户名和密码)。 我想让客户使用以前的用户名和密码 login公司或大学的公共电脑,而客户的公共电脑则是Windows,Linux,MAC的混合体 (我们来讨论一下这个案例,当我们只有窗户的客户,所以没有混合物 )。 我曾经使用OpenLDAP来validation所有提到的服务,并通过OpenLDAP使用pGina来处理Windowslogin,这对我来说是相当不错的。 但是当我开始使用samba4开始了解windows的域控制器的时候,我感到困惑,而且我无法做出什么更好的决定, 是pGina还是Samba4域控制器? 请记住,在这种情况下(域控制器),我不能再使用OpenLDAP,因为我不能authenticationWindows对OpenLDAP,而只是samba4 AD(我不能在同一台服务器上运行Samba4DC与OpenLDAP并行,因为它们都是LDAP服务器) 。 我知道在这个时候,我无法对OpenLDAP进行Windowslogin身份validation,但是我不能让他们以某种方式相互沟通使用它们的好处(以防我需要使用OpenLDAP来执行AD中不可用的function)? 你是否build议使用OpenLDAP或Active Directory(使用Samba4作为域控制器),为什么? (考虑使用JUST ONE用户名和密码为每个客户端处理所有提及的服务的authentication和系统loginauthentication)。 如果我使用Samba4AD而不是OpenLDAP(和相反的情况),我能做什么(而不是什么)。 据我以前的读经了解,他们说AD的好处是可以pipe理Windows中的组策略。 团队政策如何能够为我的案件准确无误? 如果您build议使用OpenLDAP,我还有哪些select? 总结主要问题: 在我的情况下,是OpenLDAP首选或Samba4AD DCauthentication所有服务+客户login使用相同的用户名和密码? (虽然我知道我不能用OpenLDAPvalidation窗口,但是你可能会有一些补充说明)。 通过Samba4将客户端PC连接到域控制器的好处是什么,而不仅仅是使用pGina? 如果两者缺乏特征(某种特征是在一个特征中而不是在另一个特征中),那么为了避免特征缺乏,可以采取哪种替代解决scheme? 请保持简洁,我更喜欢开源,支持和长期的现场解决scheme(逻辑上)。 先谢谢你!
我有 dn: ou=people,dc=example,dc=com objectClass: organizationalUnit ou: people 和一组pipe理员为它: dn: cn=people-admins,ou=groups,dc=example,dc=com objectClass: groupOfUniqueNames cn: admins of people group uniqueMember: uid=admin1,ou=people,dc=example,dc=com 我添加这样的规则允许people-admins添加/删除/修改用户组中的用户 dn: olcDatabase={1}hdb,cn=config changetype: modify delete: olcAccess – add: olcAccess olcAccess: to attrs=userPassword,shadowLastChange by self write by dn="cn=admin,dc=example,dc=com" write by anonymous auth by * none olcAccess: to dn.one="ou=people,dc=example,dc=com" by group.exact=cn=people-admins,ou=groups,dc=example,dc=com write by self write by dn="cn=admin,dc=example,dc=com" […]
我有两个openLDAP服务器,每个服务器使用脚本完成所有繁重的工作,两个服务器将configuration/用户互相复制,并且很长一段时间以来我都认为一切正常。 刚刚发现其中一台服务器实际上没有协商TLS ,所以没有任何可以对其进行validation。 这两个系统都是RHEL 6.7 ,两者都是在创build完成后以完全相同的方式更新完全相同的时间。 每个服务器应该100%相同…. 使用自签名证书 如果我(在破坏的一个): ldapsearch -ZZd 1 -D "cn=Manager,dc=example,dc=org" -w secret-b "" TLS: loaded CA certificate file /etc/openldap/certs/ca-bundle.crt. TLS: error: tlsm_PR_Recv returned 0 – error 22:Invalid argument TLS: error: connect – force handshake failure: errno 22 – moznss error -5938 TLS: can't connect: TLS error -5938:Encountered end of file. ldap_err2string […]
我目前正在设置两个同步的OpenLDAP服务器,通过starttls / ldaps进行访问。 在客户机/从机上,我遇到了TLS连接问题。 我正在使用基于目录的configuration,并设置了olcTLSCACertificateFile: /etc/ssl/certs/root-ca.pem对于用户ldap是可读的。 但是,starttls和ldaps连接失败: ldapwhoami -x -H ldap://192.168.56.201/ -ZZ ldap_start_tls: Connect error (-11) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate) 如果我用下面的条目添加一个ldaprc文件到当前目录 TLS_CACERT /etc/ssl/certs/root-ca.pem 按预期运作。 所以似乎olcTLSCACertificateFile设置被忽略,或者可能有任何其他错误/我错过configuration错误? OS是Suse Enterprise 11sp4,OpenLDAP版本是2.4.26
我想复制一个LDAP子树:我的软件使用 OU =软件,O =公司,C = FR 我想要使用该软件的第二版 OU = software_v2,O =公司,C = FR 我试过JXplore复制树,这对于开发服务器来说是好的,但是我需要在数据中心的生产服务器上。 有没有openldap命令,任何脚本来做到这一点,或者我必须创build它? 最好的祝福, 塞德里克
我试图在OpenLDAP 2.4.23服务器上启用SSL连接,但是我find的所有说明只讨论了旧的slapd.confconfiguration。 任何人都可以指向一些指示,在cn=config下设置它?
目前,我正在为使用OpenLDAP for Red Hat Linux设置集中身份validation。 目标 – 为Red Hat Linux Servers设置一个集中的OpenLDAPauthentication,其中客户端可以通过ssh连接,用户pipe理可以在一台服务器上完成。 请不要查找rpm或yum安装no cn = config。 我想用slapd.conf和ldap.conf进行configuration tar -xvf db-4.7.25.NC.tar.gz ls -ltr cp patch.4.7.25.1 patch.4.7.25.2 patch.4.7.25.3 patch.4.7.25.4 db-4.7.25.NC cd db-4.7.25.NC patch -p0 patch.4.7.25.1 patch -p0 < patch.4.7.25.1 patch -p0 < patch.4.7.25.2 patch -p0 < patch.4.7.25.3 patch -p0 < patch.4.7.25.4 cd build_unix/ ./dist/configure make make install export […]
Debian Jessie(特别是Debian Server Wheezy x64,带有testing版) OpenLDAP 2.4.39 libpam-ldapd 0.9.4-1 在安装libpam-ldapd时,dpkgconfiguration要求input我的LDAP地址信息(ldapi:\\ localhost),并正确检测到我的服务器基础。 我试图去关注Debian Wiki的文章 ,但是有一些不存在的文件的引用,并且没有足够的信息来表明我可能确信LDAP正在被咨询。 我configuration了OpenLDAP,并加载了inetorgperson和NIS模式。 用户应该拥有所有正确的属性。 现在,我只是试图确定LDAP是否被咨询,因为它似乎不是。