我们公司有许多单独的站点,目前每个站点都有自己的Linuxauthenticationscheme。 我们正在考虑重新devise一个统一的scheme,将未来计划将所有帐户移植到单个LDAP(可能是OpenLDAP)。 作为第一阶段的一部分,我们希望重做所有的gid以至less适合某种标准。 我们希望根据需要为每个站点分配一系列gid。 我们希望从gid 10000开始(以避免系统gid,以及任何其他已经在任何特定站点build立的gid),并分配至less1000个gid来使用它们。 这个计划把我们的最高水平在30万以下。 问题归结为OpenLDAP是否可以引用一个很高的gid。 这不是多less个gid的问题,因为大多数这些网站目前不需要Linux gid。 这只是OpenLDAP是否会有一个问题访问一个值至less高或更高。 我的理解是,NIX操作系统认为是“gid”只是OpenLDAP的一个价值,所以从理论上讲,OpenLDAP不应该有任何限制,但我没有发现这个说法,或者任何已经成功使用超过20万的gid。 有没有人真的知道在300000范围内使用gid会导致OpenLDAP的问题?
我有一个CentOS服务器,还有几个应该连接到远程的Windows客户端。 我成功安装了OpenVPN(带公钥),客户端连接到服务器; 然后他们使用SSH来做实际的工作。 在这个configuration中一切正常。 但是,这里有一些冗余 – 用户使用OpenVPN密钥进行身份validation后,必须手动login到SSH并提供密码。 是否有可能,SSH服务器将“理解”用户已经authentication? 我曾试着去设置LDAP服务器,将它用于Unix账户pipe理,然后用它来进行OpenVPNauthentication – 但这太复杂了,我不确定这么做是否值得这么做组态。
我们最近更新了我们的LDAP主机上的CA证书。 有几个CentOS 5.x服务器似乎没有任何问题对LDAP主机进行身份validation,但有一个Centos 6.6服务器无法使用。 我不知道服务器是如何configuration的,系统pipe理员离开时没有留下太多的文档。 ldapsearch客户端似乎没有任何问题。 当我运行ldapsearch最详细的debugging输出,我没有看到任何错误: $ ldapsearch -h ldap.hostname.com -x -LLL -v -d 167 -s base -b "" 2>&1 | grep -i error res_errno: 0, res_error: <>, res_matched: <> res_errno: 0, res_error: <>, res_matched: <> 以下是openssl s_client实用程序的输出: $ openssl s_client -connect ldap.hostname.com:636 < /dev/null CONNECTED(00000003) depth=3 C = SE, O = AddTrust AB, […]
有谁有SSL客户端身份validation与OpenLDAP(在CentOS7上 – 使用moznss)? 我已经search了最近2天试图让这个工作,无论是与certutil数据库和直接的PEMconfiguration,并沮丧,它不工作。 我最初虽然是客户端不发送SSL证书进行validation,我已经certificate了这一点,当使用PEM身份validation和strace(并没有打开()的crt文件或密钥)。 首先,这是RHEL7,客户端和服务器都安装了相同版本的openldap: 服务器: openldap-servers-2.4.39-6.el7.x86_64 openldap-2.4.39-6.el7.x86_64 客户: openldap-clients-2.4.39-6.el7.x86_64 openldap-2.4.39-6.el7.x86_64 SSL:我自己的CA. 使用PEMauthentication: 服务器(cn = config.ldif): olcTLSCACertificateFile: /etc/openldap/tls/ldap-ca.crts olcTLSCertificateFile: /etc/openldap/tls/ldap-server.crt olcTLSCertificateKeyFile: /etc/openldap/tls/ldap-server.key olcTLSVerifyClient: hard 服务器(/ usr / sbin / slapd -u ldap -h“ldapi:/// ldap:/// ldaps:///”-d 1): 55935ff8 slap_listener_activate(10): 55935ff8 >>> slap_listener(ldaps:///) 55935ff8 connection_get(18): got connid=1000 55935ff8 connection_read(18): checking for input on id=1000 TLS: loaded […]
我将RHEL6用户帐户从传统的/ etc / passwd,/ etc / shadow和/ etc / group文件迁移到OpenLDAP。 但是,由于错误的用户密码错误,尝试以已迁移的用户身份login不起作用: 示例(删除)/ etc / passwd行: leopetr:x:1005:1005:Leo Petr:/mnt/home/leopetr:/bin/bash 示例(删除)/ etc / shadow行: leopetr:$6$+7sZw4ID$CyLfaFeo.aDn1Xd5.MCBWXDm131CIOPExg0hgUQb4sdInuXIf4IBU8LxJo7Hz144uIp3nYB6cmnIzLAyI6fzr.:16205:0:99999:7::: (哈希值对应于一个未授权帐户随机生成的密码。) 使用OpenLDAP转换工具生成的LDIF示例: dn: uid=leopetr,ou=People,dc=imdemocloud,dc=com uid: leopetr cn: Leo Petr objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword: {crypt}$6$+7sZw4ID$CyLfaFeo.aDn1Xd5.MCBWXDm131CIOPExg0hgUQb4sdInuXIf4IBU8LxJo7Hz144uIp3nYB6cmnIzLAyI6fzr. shadowLastChange: 16205 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 1005 gidNumber: 1005 […]
我将如何logging在我的实验室的Linux上对我的ldap系统进行身份validation的身份validation? 我有一个实验室,有几个工作站,还有一个运行openldap的服务器。 我想要具有类似的function,与last命令与谁,何时,何地。 服务器和工作站都运行科学的Linux。
我已经在最低限度的centos 7上安装了openldap,并成功地为用户添加了newuser01数据库。 ldapsearch可以正常使用这种格式的主服务器和客户端: ldapsearch -H ldaps://provider.example.com -x -D "cn=Manager,dc=example,dc=com" -W 但是getent passwd -s sss newuser01或getent passwd newuer01在客户端和主服务器上都getent passwd newuer01返回任何内容。 这里是我看到的文件,我不知道他们是否正确configuration,如果有其他人我应该看看,非常感谢你的努力: /etc/nsswitch.conf /etc/openldap/ldap.conf /etc/sssd/sssd.conf /etc/openldap/slapd.conf#对于centos 7已经弃用了 将/etc/pam.d/system-auth 主人: /etc/nsswitch.conf包含: passwd: files sss shadow: files sss group: files sss hosts: files dns bootparams: nisplus [NOTFOUND=return] files ethers: files netmasks: files networks: files protocols: files rpc: files services: […]
我正在运行openLDAP 2.4.41并尝试实现客户端TLS证书检查。 我已经在服务器端configuration了TLS,如下所示。 olcTLSCACertificateFile: /etc/pki/trust/anchors/rootCA.pem olcTLSCertificateKeyFile: /etc/openldap/openldap.key olcTLSCertificateFile: /etc/openldap/openldap.crt 当olcTLSVerifyClient设置为try时,TLS连接工作正常。 我的客户ldap.conf是下面的(为了testing的简单性,我对服务器和客户端都使用相同的证书): TLS_CACERT /etc/pki/trust/anchors/rootCA.pem TLS_CACERTDIR /var/lib/ca-certificates/pem/ TLS_CERT /etc/openldap/openldap.crt TLS_KEY /etc/openldap/openldap.key 现在,我正在设置olcTLSVerifyClient: demand 。 > ldapsearch -d 1 -H ldaps:/// -v -x -D 'mydn' -w mysecret -b 'cn=log' -s base ldap_url_parse_ext(ldaps:///) ldap_initialize( ldaps://:636/??base ) ldap_create ldap_url_parse_ext(ldaps://:636/??base) ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP localhost:636 ldap_new_socket: […]
我正在尝试在Ubuntu 16.04上为我的OpenLDAP服务器设置PWM ,但是无法连接到有错误的LDAP Can not connect to remote server: 5059 ERROR_CERTIFICATE_ERROR (unable to read server certificates from host=ldap.example.com, port=389 error: Remote host closed connection during handshake) 如果我试图连接未encryption,连接似乎是成功的,但设置一个PWM帐户失败, TLS confidentiality required ,这是故意的。 客户端和ldapsearch(使用开关-Z或-ZZ)身份validation工作。 我已经将证书文件导入到服务器机器上的客户端和Java,因为证书是使用openssl自签名的。 我尝试使用openssl s_client -connect ldap.example:389 -showcerts -state -tls1_2连接到LDAP来检查证书,但连接终止,没有错误消息,并且此输出: CONNECTED(00000003) SSL_connect:before/connect initialization SSL_connect:unknown state SSL_connect:failed in unknown state 140394455615128:error:1409E0E5:SSL routines:ssl3_write_bytes:ssl handshake failure:s3_pkt.c:656: — no […]
我正在创build如下所示的数据库(从应用程序调用): $ ldapadd -Q -Y EXTERNAL -H ldapi:/// << EOF dn:olcDatabase = {20} mdb,cn = config objectClass:olcDatabaseConfig objectClass:olcMdbConfig olcDatabase:{20} mdb olcDbDirectory:/var/lib/ldap/domain.tld olcSuffix:dc = domain,dc = tld olcAccess:{0}到attrs = userPassword,shadowLastChange通过匿名身份validation通过* none olcAccess:{1}到dn.base =“”通过* read olcAccess:{2}通过*阅读 olcRootDN:cn = user,dc = domain,dc = tld olcRootPW:{SSHA} XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX olcDbCheckpoint:512 30 olcDbIndex:objectClass eq olcDbIndex:cn,uid eq olcDbIndex:uidNumber,gidNumber eq olcDbIndex:member,memberUid eq EOF OpenLDAP响应 […]