我在使Kerberos(Heimdal版本)与OpenLDAP很好地协作方面遇到了一些麻烦。 kerberos数据库被存储在LDAP本身中。 KDC以root身份使用SASL EXTERNAL身份validation来访问容器ou。 我希望这是这种问题的正确的董事会。 我使用kadmin -l在LDAP中创build了数据库,但是它不会让我在没有-l标志的情况下使用kadmin: root@rds0:~# kadmin -l kadmin> list * krbtgt/REALM kadmin/changepw kadmin/admin changepw/kerberos kadmin/hprop WELLKNOWN/ANONYMOUS WELLKNOWN/org.h5l.fast-cookie@WELLKNOWN:ORG.H5L default brian.empson brian.empson/admin host/rds0.example.net ldap/rds0.example.net host/localhost kadmin> exit root@rds0:~# kadmin kadmin> list * brian.empson/admin@REALM's Password: <—– With right password kadmin: kadm5_get_principals: Key table entry not found kadmin> list * brian.empson/admin@REALM's Password: <—— With wrong password […]
我设置了openldap,一切看起来不错,但我不能设置身份validation, #getent shadow | grep user user:*::::::: tuser:*::::::: tuser2:*::::::: #getent passwd | grep user git:!:999:999:git daemon user:/:/bin/bash user:x:10000:2000:Test User:/home/user/:/bin/zsh tuser:x:10000:2000:Test User:/home/user/:/bin/zsh tuser2:x:10002:2000:Test User:/home/tuser2/:/bin/zsh 从根我可以login为这些用户之一 #su – tuser2 su: warning: cannot change directory to /home/tuser2/: No such file or directory 10:24 tuser2@juliet:/root 我不能通过SSHlogin也passwd不工作 #ldapwhoami -h 192.168.10.156 -D "uid=user,ou=People,dc=xcl,dc=ie" ldap_bind: Server is unwilling to perform (53) additional […]
我喜欢LDAP的想法,但我觉得很难使用(至less只要我是一个新手)。 亲爱的同胞们,这就是我请求你们帮助的原因。 我正在devise我的目录的阶段,我想要做的是: 将人添加到抽象组(开发人员,内容制作人,经理) 用具体组填充抽象组(任务pipe理器访问,scm访问,服务器Xshell) 让用户一次成为许多抽象组的一部分(程序员也可以成为经理) 过滤具体组成员的login查询(即访问shell必须是程序员或pipe理员) 任何解决scheme将是有益的。 当然,我更喜欢通用和/或标准的方式来使这个结构的孩子(所以我使用的应用程序可能会识别和显示,即组页面)。
我明白这个错误已经在服务器错误上被问了好几次了,而且我做了大量的Googlesearch,但是我不能在我的生活中弄清楚为什么我无法使用ldapsearch。 我的最终目标是在通过openLDAP连接到Windows域的debian框上使用adLDAP php脚本。 在debian框中,openLDAP可以正常工作,而且我的域用户能够login等等。 但是,任何时候我尝试ldapsearch或运行adLDAP脚本我收到相同的错误是 ldap_bind:凭证无效(49) 我正在使用的ldapsearch如下: ldapsearch -D“cn = test”-w Test123 -h DomainCont.example.local -b“dc = example,dc = local”-s sub“(objectclass = *)” 我在这里撕掉我的头发。 运行debugging参数似乎没有帮助,因为它显示 ** ld 0x8e6410连接:主机:DomainCont.example.local端口:389(默认)refcnt:2状态:连接上次使用:Thu Jan 10 12:45:48 2013 任何帮助将不胜感激。
我正在使用smbldap-tools在CentOS 6.2主机上安装smb 3.5。 我之前在RHEL4上使用smb 3.0安装了类似的configuration,但CentOS现在使用nss-pam-ldapd和nslcd而不是nss_ldap,因此configuration无法直接移动。 当我做一个共享目录列表,应该有由LDAP确定的用户和组所有权时,我得到的uidNumbers和gidNumbers,而不是UID和GID。 [root@edgar2 openldap]# ls -l /data/home | tail drwx——. 2 30634 30080 4096 Mar 18 2009 userdir1 drwx——. 33 30548 30075 4096 Jan 29 15:20 userdir2 drwx——. 3 30554 30075 4096 Jan 26 2009 userdir3 drwx——. 12 30467 30075 4096 Jun 21 2012 userdir4 drwx——. 4 30543 30075 4096 Oct […]
我想在Centos 6.3上用ldap后端运行kerberos在创buildRealm之后: kdb5_ldap_util -D "cn=admin,dc=example,dc=com" create -sscope sub -sf /var/kerberos/krb5kdc/example_stash.keyfile -r EXAMPLE.COM -s 我试图运行kdc ,得到: Starting Kerberos 5 KDC: krb5kdc: cannot initialize realm EXAMPLE.COM – see log file for details 日志显示这样的错误: krb5kdc: Error reading password from stash: Bind DN entry missing in stash file – while initializing database for realm EXAMPLE.COM krb5.conf文件: [logging] default = […]
我们目前有一个主ldap服务器和大约400个奴隶服务器,通过这个主服务器被部分复制。所有的openldap版本都是相同的,2.4.31 我们想要的实际上是,如果主服务器ldap服务器closures,另一个完全复制的主服务器ldap占据了自己的位置,部分复制的从服务器想继续服务ldaplogin。 到目前为止,我已经build立了第一个主ldap主镜像服务器。 但我不能让奴隶服务器意识到第二个主ldap.I实际上增加了第二个提供者字段到我们的slave.conf,但没有运气。 这里是我的slave.conf syncrepl rid=001 provider = ldap://master1IPadress tls_reqcert=never type=refreshAndPersist retry="5 5 300 +" searchbase="dc=company,dc=com,=dc=tr" schemachecking=off filter="here is we filter main ldap tree with unique slave server number" bindmethod=simple binddn="cn=root,dc=company,dc=com,dc=tr" credentials="password" 我怎么能设置第二个主要的LDAP故障转移,而不使用额外的负载平衡器?
我想知道是否有人成功configurationAmazon Linuxauthentication到LDAP服务器? 编辑: 有关我所做的更多信息: 我禁用了OpenLDAP服务器上的匿名访问,因此我试图让Amazon Linux上的openldap客户端使用binddn进行身份validation,从而连接到OpenLDAP服务器。 但是当我检查OpenLDAP服务器上的日志时, binddn是空的。 我已经将我的binddn和bindpw添加到/etc/pam_ldap.conf。 我的/etc/nsswitch.conf passwd: files ldap shadow: files ldap group: files ldap 我的/etc/pam_ldap.conf base dc=example,dc=com bindnd uid=test_client,ou=System,dc=example,dc=com bindpw secret scope sub pam password md5 nss_base_passwd ou=System,dc=example,dc=com?one nss_base_passwd ou=People,dc=example,dc=com?one nss_base_shadow ou=People,dc=example,dc=com?one nss_base_shadow ou=System,dc=example,dc=com?one tls_checkpeer no uri ldap://ec2-00-00-00-00.compute.amazonaws.com ssl no tls_cacertdir /etc/openldap/cacerts
目前,我们正在为OpenLDAP用户门户使用基于自定义perl的前端,并且将端口转移到新的服务器上也是非常棘手的。 我已经在新的服务器上设置了phpLDAPadmin,但是它似乎并不旨在允许用户编辑他们自己的LDAP信息。 我们有一些自定义字段,例如Public SSH和GPG密钥,我需要一种方法来允许用户更新存储在LDAP中的公钥。 有谁知道一个程序,可以让用户login和更新他们的LDAP信息? 有很多密码更新工具,但是我找不到允许编辑其他字段的工具。
我是LDAP的新手,我有以下问题: 我使用OpenLDAP作为远程Active Directory的caching代理。 而用户的完整DN就像"cn=Doe\, John,ou=users,ou=others,dc=company,dc=com" ,而uid ( sAMAccountName )则是第一个和第二个名字的简写forms。 例如, John Doe将成为jdoe 。 我已经有SVN服务器,Bugzilla和ReviewBoard正常工作,因为他们有很多LDAP支持的设置。 但现在我正在尝试设置YouTrack,并且缺lessLDAP设置。 我希望能够使用短格式login(如“ jdoe ”)loginYouTrack,但是当我将YouTrack中的变换string设置为"sAMAccountName=$login$,ou=users,ou=others,dc=company,dc=com" other "sAMAccountName=$login$,ou=users,ou=others,dc=company,dc=com"我一直有下面的错误: [LDAP:错误代码49 – 80090308:LdapErr:DSID-0C0903A9,注释:AcceptSecurityContext错误,数据52e,v1db1]这是“无效的凭据”。 但是,如果我在转换string中明确指定全名,我可以login(但当然没有其他人): "cn=Doe\, John,ou=users,ou=others,dc=company,dc=com" 所以,我的问题是:我可以修改用户的“即时”的DN,以便有这样的事情,例如: "cn=jdoe,ou=users,ou=others,dc=company,dc=com" ?