我们有一个OpenLDAP(2.4.45)服务器,其中包含我们所有的用户,组,sudo规则等。 我需要将新应用程序连接到此服务器,但是此应用程序要求匿名用户可以读取属性(它将知道它需要读取属性的确切DN)。 现在假设结构为: o=Example(dc=example,dc=com) ou=People uid=user1 uid=user2 ou=Groups cn=group1 cn=group2 我需要限制匿名用户如果知道确切的dn(比如dn =“uid = user1,ou = People,dc = example,dc = com”),并且完全无法发现其他logging(如果他们不知道确切的dn给他们)。 通过OpenLDAP文档阅读我假设下面的ACL应该工作: olcAccess: {0}to dn.children="ou=Groups,dc=example,dc=com" by * read break olcAccess: {1}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by anonymous none stop by * read 然而,似乎break和stop不产生预期的结果作为直接查询“cn = test,ou =组,dc = example,dc = com”导致No such object (32) 什么是实现上述的正确方法?
我对ldap完全陌生(在这种情况下是openldap)。 我的老板给了我创build第二个ldap服务器的任务,并将数据从现有的ldap服务器复制到我创build的新服务器上。 我能够通过阅读文档和做很多谷歌来实现这一点。 无论如何,对于新的ldap服务器,我从现有的ldap服务器复制了slapd.conf文件,然后运行'slaptest -f slapd.conf -F slapd.d',这就创build了cn = config。 我的老板testing了环境。 它工作正常,但现在他要求我做一个从现有的ldap服务器到刚创build的新的单向同步。 再次阅读文档,并做了很多谷歌,我想我终于知道需要做什么。 这个新的ldap服务器没有被使用,我不知道如何使用ldapmodify或任何ldap客户端工具来添加下面的参数。 实际上我打算删除slapd.d目录中的内容,用新参数更新slapd.conf文件,然后重新运行'slaptest -f slapd.conf -F slapd.d'来重新创buildcn = config新的参数。 我知道这不是最好的办法,但它应该工作。 – 同步消费者 的syncrepl 摆脱= 123 键入= RefreshandPersist 提供商= LDAPS://ldap-master.example.com:389 bindmethod =简单 searchbase = “DC =例如,DC = COM” 重试=“10 6 60 +” ATTRS = “CN,SN,显示名,给定名称,邮件,UID” 指定binddn = “CN =pipe理器中,DC =testing,DC =例如,DC = COM” 凭证= […]
我有两台服务器以多主镜像模式OpenLDAP设置工作。 server-0.example.com,server-1.example.com和server-vip.example.com server-vip.example.com是一个浮动虚拟IP,它将自己关联到主动节点(server-0或server-1)的接口上,这是一个相当常见的设置。 问题是,我在服务器0上创build了一些带有CA的自签名证书。 什么是两个服务器之间需要发生的SSL客户端/服务器证书的分配,更重要的是,客户端可以与server-vip.example.com对话? 简单地复制/粘贴configuration似乎并不是答案,特别是因为服务器上的通用名称是唯一的,它们每个都有不同的主机名。 另外,如果server-0closures,而server-vip指向server-1,那么如果客户端证书是server-0,那么客户端应该如何透明地工作?
我一直试图在Fedora 12上设置默认安装的OpenLDAP,但是非常失败。 我的最终目标是使用在同一台计算机上运行的OpenLDAP服务器使用LDAP身份validation用户login和Apache。 服务器正在运行,但是我尝试使用ldapsearch或ldapadd时总是得到的错误是: ldap_bind:无效凭据(49) 我一直在关注这些教程,但没有一个帮助我: http://www.howtoforge.com/openldap_fedora7 http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/ref-guide/s1-ldap-quickstart.html http://www.howtoforge.com/linux_ldap_authentication http://docs.fedoraproject.org/deployment-guide/f12/en-US/html/s1-ldap-pam.html http://www.openldap.org/doc/admin24/quickstart.html 首先,已经安装了一些组件,我用yum安装了这些组件: yum install openldap-servers openldap-devel 然后,我在/ etc / openldap中创build了一个基本的slapd.conf文件: database bdb suffix "dc=sniejana-sandbox,dc=com" rootdn "cn=root,dc=sniejana-sandbox,dc=com" rootpw {SSHA}cxdz55ygPu4T3ykg7dgu+L0VRvsFSeom directory /var/lib/ldap/sniejana-sandbox.com 我用这个命令获得了rootpw: slappasswd -s changeme 我还创build了/var/lib/ldap/sniejana-sandbox.com目录,并确保/var/lib/ldap的全部内容都由ldap用户拥有。 我find了两个ldap.conf文件,一个在/ etc中,一个在/ etc / openldap中。 我不知道哪一个是正确的。 如果我理解正确,这个文件是configuration客户端。 我把这两个: HOST localhost BASE dc=sniejana-sandbox,dc=com 然后我运行服务器: service slapd start 它说好。 上面的大多数教程都会使用命令ldapsearch -D "cn=Manager,dc=my-domain,dc=com" […]
我一直在Google的手中,根本无法find如何合并/代理OpenLDAP服务器和Windows AD服务器的工作示例。 有没有人用过这个呢? 任何build议,将不胜感激。 这个想法很简单: openldap.mydomain.local —-> Linux LDAP服务器 winad.mydomain.local —-> Windows AD Server 有些用户是一个Linux和一些在WinAD上。 OpenLDAP应在login时进行search。 一个工作的例子,将不胜感激。
我们有不同的账户types: 个人 – 对于员工 赞助 – 对于隶属于该组织但不是官方雇员的用户 仅电子邮件 – 仅用于电子邮件使用(活动等) 共享 – 用于办公室或部门 目前,我们使用Oracle数据库来区分帐户types,但是希望将这些信息转移到LDAP中。 任何人都知道适用于表示这些帐户的模式和属性? 当前加载的模式:默认OpenLDAP模式以及eduPerson和eduOrg模式。
我最近使用OpenLDAP设置了集中authentication系统。 现在,我需要扩展在数据库中定义的用户,以包含一个新的对象类,其中包含一些有关它们的安全相关数据。 我如何修改现有的条目来添加这个新的对象类? 我对LDAP相当陌生,所以如果我设法问一个愚蠢的问题,不要咬我的头:P谢谢!
我设置slapd在Fedora 14上使用SSL。我在/etc/openldap/slapd.d/cn=config.ldif中有以下内容: olcTLSCACertificateFile: /etc/pki/tls/certs/SSL_CA_Bundle.pem olcTLSCertificateFile: /etc/pki/tls/certs/mydomain.crt olcTLSCertificateKeyFile: /etc/pki/tls/private/mydomain.key olcTLSCipherSuite: HIGH:MEDIUM:-SSLv2 olcTLSVerifyClient: demand 以及在我的/ etc / sysconfig / ldap中: SLAPD_LDAP=no SLAPD_LDAPS=yes 在我的ldap.conf文件中,我有 BASE dc=mydomain,dc=com URI ldaps://localhost TLS_CACERTDIR /etc/pki/tls/certs TLS_REQCERT allow 但是,当我连接到本地主机时,ldapsearch返回以下内容: ldap_initialize( <DEFAULT> ) ldap_create Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP localhost:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 127.0.0.1:636 ldap_pvt_connect: […]
我希望能够通过OpenLDAPpipe理我所有的用户login。 我正在使用Centos 5.3,OpenSSH 4.3p2-42和OpenLDAP 2.3.43。 我已经安装了GOsa2。 是否有一个GOsa插件来pipe理LDAP中的SSH密钥? 我遇到了openssh-lpk补丁,但它适用于较新的OpenSSH。 我不想破坏我的服务器。 这个补丁是否有可用的yum版本库? 我甚至需要它吗? 我怎样才能让OpenSSH查询LDAP服务器的密钥? 我可以configurationPAM来做这个吗? build议表示赞赏。 谢谢
我在FreeBSD 8.x上安装了OpenLDAP服务器。 我得到这个错误: Mar 25 16:11:45 ldap2 slapd[1268]: nss_ldap: could not search LDAP server – Server is unavailable 我在下面列出了我的LDAPconfiguration信息。 此外,为sshd和system服务启用了pam_ldap PAM模块。 ldap.conf : # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. #BASE dc=example,dc=com #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never […]