我有一个configuration,我有一个企业活动目录,其中包含用于身份validation的用户名和密码。 我站在自己的云资源,在我的情况下Linux RHEL 7主机; 我给出了一个开箱即用的configuration,在这种configuration中,我为每个Linux主机上的所有用户创build本地(/ etc / passwd)帐户,并使用krb5向该公司AD进行身份validation。 这一切都很好,有用。 但是,我想把我的用户信息放在LDAP中,而不是维护每个主机上的用户信息。 所以我设置了nslcd和openldap服务器和客户端。 我在OpenLDAP中定义了用户信息(等同于/ etc / passwd等价物),但是保留了密码信息(仍在AD中)。 当我通过ssh(putty)login到主机时,这个configuration工作。 我也想通过XRDP而不是直接VNC(因为我来自Windows)login到Linux主机。 如果我使用本地文件configuration,使用户在/ etc / passwd,krb5到企业AD进行密码authentication,XRDP的作品。 但是,当我将用户从/ etc / passwd和shadow中移出时,即使sshlogin有效,XRDPlogin也不会。 /etc/pam.d/sshd和/etc/pam.d/xrdp-sesman是相同的; 两者都首先包含通过pam_krb5的公司AD条目,然后是常规的unix / LDAPloginconfiguration。 问题似乎是,通过XRDPlogin时,pam_krb5没有获得UID / GID信息。 对于LDAP中的用户,ssh的/ var / log / secure看起来像: Oct 3 13:20:56 host sshd[2407]: pam_krb5[2407]: TGT verified Oct 3 13:20:56 host sshd[2407]: pam_krb5[2407]: authentication succeeds for […]
我已经看到OpenLDAP目录对LDAP目录上的查询具有最小字符要求,我想在我的设置。 例如,以下search失败: (uid=*) 并且以下search成功: (UID = ABC *) 我不记得错误代码是什么时候失败了,但我认为这是不愿意做的。 有人知道我需要改变什么设置来添加这个要求吗?
我确实使用PAM身份validation设置了OpenLDAP服务器。 明文,它工作得很好,但是当我尝试添加SSL它总是失败。 我正在遵循该指南来使其工作: http : //kidrek.fr/blog/?p=30 我在Debian lenny系统上这样做。 在我的日志中,我可以看到:9月9日17:00:48主机名slapd [3231]:connection_read(13):检查inputid = 14 9月9日17:00:48主机名slapd [3231]:connection_read(13):无法获取TLS客户端DN,错误= 49 id = 14 9月9日17:00:48主机名slapd [3231]:connection_get(13):得到connid = 14 9月9日17:00:48主机名slapd [3231]:connection_read(13):检查inputid = 14 9月9日17:00:48主机名slapd [3231]:fd 13上的ber_get_next失败errno = 0(成功) 9月9日17:00:48主机名slapd [3231]:connection_closing:准备conn = 14 sd = 13closures 9月9日17:00:48主机名slapd [3231]:connection_close:conn = 14 sd = 13 客户端:9月9日17:00:47主机名称:nss_ldap:无法searchLDAP服务器 – 服务器不可用 9月9日17:00:47主机名id:nss_ldap:无法连接到任何LDAP服务器,因为cn = admin,dc = company,dc = local […]
我Openfire + OpenLDAP安装的系统日志充满了这个消息: slap_global_control: unrecognized control: 1.2.840.113556.1.4.473 这意味着Openfire希望OpenLDAP能够进行服务器端sorting,OpenLDAP不支持。 Openfire LDAP指南build议在这种情况下将属性ldap.clientSideSorting设置为true 。 不幸的是,如果我这样做,Openfire在LDAP中找不到任何用户帐户。 我该如何做这项工作?
我无法将posix用户/组添加到这个新创build的ldap目录。 OpenLDAP版本是2.4.19。 我已经填充LDAP目录的LDIF可能是问题,但我不知道接下来我需要做什么… dn: dc=company,dc=net,dc=au objectClass: dcObject objectClass: organization o: Company Pty Ltd dc: company dn: cn=manager,dc=company,dc=net,dc=au objectClass: organizationalRole cn: Manager dn: ou=People,dc=company,dc=net,dc=au objectClass: organizationalUnit objectClass: top ou: People dn: ou=Groups,dc=company,dc=net,dc=au objectClass: organizationalUnit objectClass: top ou: Groups 有人可以请教我:) 更新:我已经添加了nis.schema ,我期望解决这个问题,因为它有我所有的posix *类。 但是,我现在得到以下错误: /etc/openldap/schema/nis.schema: line 203 objectclass: AttributeType not found: "manager" /opt/openldap/etc/openldap/slapd.conf: line 6: <include> handler […]
我们在Snow Leopard上有一个新的iMac,用于对OpenLDAP目录进行身份validation。 家庭(自动挂载)NFSv3(Linux,内核服务器)。 NFS似乎工作得很好(如果有点慢,但我们不想冒险不使用locking)。 但是,当用户使用LDAP帐户login时,会发生奇怪的事情:有时甚至在所有桌面图标初始化之前,机器都会挂起,有时用户可能会稍微工作一段时间,但是一段时间后机器会挂起:New由用户进程不起飞,旧的进程不能退出(甚至强制退出挂起)。 有时候早些时候,有时候以后,docker根本没有反应(不显示程序的上下文菜单),Finder不会关注。 尽pipe如此,即使所有其他东西似乎挂起,我可以通过SSHlogin,至less干净地重新启动机器。 即使对于LDAP用户,SSHlogin也可以工作 如果我禁用LDAP,一切似乎对本地用户正常工作。 我们使用RFC 2307映射的OpenLDAP目录。 我们只是真的使用它帐户数据,所以我尝试删除目录实用程序中除Person,User和Group映射之外的任何映射。 这两种映射都具有相同的不良行为。 编辑:这似乎是同样的问题,这位先生有:苹果论坛1/2
这不会是一个问题,而是Ubuntu 10.04上一个令人生气的问题的解决scheme。 如果您尝试按照以下教程使用此发行版部署LDAP服务器,则会遇到严重的麻烦。 错误首先出现,就行了:“ldapsearch -xLLL -b cn = config -D cn = admin,cn = config -WolcDatabase = hdb olcAccess” 它不会允许pipe理员访问“cn = config”,因此您将无法正确部署LDAP服务器。 经过近一个星期的search解决scheme,我find了它! 引用作者: 当你开始设置ACL部分时,你突然需要使用一个不存在的cn = admin,cn = config 创build一个config.ldif dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootDN olcRootDN: cn=admin,cn=config dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: secret dn: olcDatabase={0}config,cn=config changetype: modify delete: olcAccess 并用ldapadd -Y EXTERNAL […]
出于某种原因,我还没有find准确的地方,在我的Windows 7计算机上使用Network ,Samba服务器不显示。 我已经使用LDAPconfiguration了Samba,并成功完成了所有步骤。 两台计算机都在同一个工作组上,并连接到相同的路由器。 我的问题是,是什么决定了这个Samba服务器是否会在networking上显示为一台计算机? 编辑:我知道我提供的信息是非常有限的,我只是不确定我需要提供什么。 请请求任何有用的信息,我会马上发布。
我遇到了FreeBSD(8.2-STABLE)上的OpenLDAP使用Kerberos票证进行身份validation的一些问题。 我希望我的脑子有毛病,所以请随时告诉我,我错过了一些明显的事情。 这里是事情的地方: Kerberos工作得很好。 我可以使用kinit获取凭证,并且可以使用这些凭证进行身份validation(例如,用于ssh或telnetlogin)。 OpenLDAP已安装并与基本身份validation配合使用。 slapd显然与SASL库链接; ldd …/slapd报告: libsasl2.so.2 => /usr/local/lib/libsasl2.so.2 (0x800d07000) 存在/usr/local/lib/sasl2/slapd.conf,内容如下: mech_list: GSSAPI 支持GSSAPIauthentication的slapd报告: $ ldapsearch -x -b '' -s base supportedSASLMechanisms dn: supportedSASLMechanisms: GSSAPI 存在/etc/krb5.keytab其中包含host/<myhostname>和ldap/<myhostname> 。 示例SASL服务器/客户端似乎与gssapi身份validation正常工作: # server -p 2222 -s ldap -m gssapi 其次是: # client -p 2222 -s ldap -m gssapi 最终导致: successful authentication 但是… 我一直无法让slapd接受GSSAPIauthentication。 简单地尝试使用有效的Kerberos票证运行ldapwhoami导致以下错误: SASL/GSSAPI […]
我需要一些关于AD和OpenLDAP用户数据库集成/同步的指导。 这是我想要做的。 我们有完整的Linux数据库(Ubuntu 10.4),OpenLDAP上的用户只使用开源应用程序(POSTFIX,Fileserver,打印服务器,Apache,VPN等)。 目前所有的Windows客户端机器(大多数是7和Vista)不在一个域上。 我们希望引入Active Directory,因为它在处理用户方面有出色的function,而且还可以处理更新补丁,并且可以对使用组策略的用户有各种限制。 我一直在网上挖了几天,但没有find可以将用户信息从AD同步到openldap的东西,所以我们可以为所有应用程序提供一个用户密码。 我们希望有一个集中的用户数据库,所有应用程序都有一个密码。 我希望我能够解释正确的我正在寻找的东西。 请让我知道,如果你已经实现了类似的东西,同步AD和OpenLDAP之间的用户密码信息。 我会感激任何input。