我正在使用这个OpenLDAP一步一步的教程 : http : //www.server-world.info/en/note? os = CentOS_7&p = openldap& f =1 重要:我正在使用CentOS 7 但是当我在第一部分中尝试启动slapd : systemctl start slapd ,它会抛出一个我无法解决的错误 。 我在网上寻找,StackOverflow和服务器故障,但任何人都有同样的问题。 这是错误的 : # systemctl start slapd Job for slapd.service failed. See 'systemctl status slapd.service' and 'journalctl -xn' for details. 这里的堆栈跟踪或错误,当我检查systemctl status 。 [root@localhost openldap]# systemctl status slapd -l slapd.service – OpenLDAP Server Daemon […]
我刚刚在一个基于SSSD的CentOS6框中成功configuration了OpenLDAP用户authentication。 花了一些时间和许多尝试,但它的工作。 现在,我想开始添加用户。 我使用.ldif文件手动.ldif ,基于Arch文档的参考。 问题是 – 我可能会错误地使用相同的uidNumber创build2个用户。 那会造成奇怪的结果。 我的问题是有可能告诉LDAP, uidNumber应该是一个独特的属性,而不是添加用户,如果这个属性值已经存在?
我试图让OpenLDAP的链覆盖工作,但不幸的是,文档相当稀疏。 我使用RHEL 6附带的OpenLDAP版本2.4.39软件包,LDAP主站和从站正在使用TLS进行通信。 TLS证书和密钥与Mozilla NSS一起存储,因此下面的tls_certdir和tls_cert语句应该是正确的(它们肯定以这种forms用于复制)。 我的configuration(在slapd.confforms,我使用之前转换为OLC符号)是: overlay chain chain-uri ldap://my.ldap.master.example.com chain-rebind-as-user FALSE chain-idassert-bind bindmethod="simple" binddn="cn=Manager,dc=example,dc=com" credentials="xxxxxxxxxxxxxxxx" mode="self" starttls=yes tls_reqcert=demand tls_cacertdir=/etc/openldap/certs tls_cert=my.ldap.slave.example.com chain-tls start tls_reqcert=demand tls_cacertdir=/etc/openldap/certs tls_cert=my.ldap.slave.example.com chain-return-error TRUE […syncrepl…] updateref ldap://my.ldap.master.example.com 我想得到这个工作,以便政策更新转发到主人(例如,当有人得到他们的密码错误五次或更多,奴隶将发送pwdAccountLockedTime到主,而不是本地存储)。 为了这个目的,我在configuration文件中设置了ppolicy_forward_updates。 我已经testing了这一点,并且在从机上进行更改时,没有看到任何stream向LDAP主机的stream量。 有谁知道我在这里做错了吗?
原版的 我正在运行一个openldap-2.4.40身份validation系统,用户将能够更改他的密码。 使用dynamicconfiguration(意思是我没有使用slapd.conf进行configuration,而是使用cn=config目录中的文件),我尝试更改密码 ldappasswd -x -D "uid=<my_user>,ou=Users,dc=<some>,dc=<dc>" -W -A -S 这会提示我input旧密码(两次),然后input新密码,然后询问LDAP密码是否以错误消息结束: ldap_bind: Invalid credentials (49) 。 为什么命令要求我inputLDAP密码。 标准用户不应该知道密码 为什么程序终止凭证无效? 在我的/etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif我有以下设置为olcAccess : olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by * none 我需要做什么以便用户能够更改他的密码? 编辑 回应SimonSchürg的回答,我添加了/etc/pam.d/passwd的内容: auth include system-auth account include system-auth password substack system-auth -password optional pam_gnome_keyring.so use_authtok password substack postlogin 如果我用passwd更改密码,一切正常,我可以使用新密码login自己,但只能在运行LDAP服务器的计算机上login。 我无法login所有其他机器(“LDAP客户端”)。 EDIT2 对服务器和客户机上的用户或组执行的ldapsearch提供相同的输出。 但是, authconfig […]
我正在设置一个OpenLDAP服务器来validationUbuntu 9.04域中的用户。 有趣/奇怪的是,在Ubuntu的最新版本的openldap中,默认是不使用/etc/ldap/slapd.conf文件 – 而是将它的configuration存储在数据库的cn = config中(这导致了一些头痛,试图遵循教程指定slapd.conf而不是较新的版本)。 每当我尝试使用ldapadd添加到数据库时,它都会返回ldap_bind(49)无效的凭证(即使我确定使用的是正确的密码)。 数据库还没有任何东西,所以从头开始不是问题,我刚才遇到过好几次(甚至在重新configurationslapd之后)。 有什么解决scheme?
在意外的系统重新启动后,我感觉LDAP dif database有些麻烦。 这个databse只读,所以它是困惑为什么数据库有错误。 所以即时通讯寻找替代这个数据库。 我认为SQL会更可靠。 你觉得呢,是吗? 我需要知道我会遇到多less性能损失。 还有多lessIOPS(每秒I / O)百分比我也损失了。 在此先感谢,skomak
我们目前在我们的组织部署了AD和OpenLDAP。 我想知道是否有人在类似的设置工作,并希望分享一些保持系统pipe理员健全的步骤。 细节: 你如何执行帐户configuration? 两个目录中是否都有帐户? 如果不是,决定哪个目录将存在一个新账户的逻辑在哪里? 如何处理exception? 如果对用户权利的更改保证在目录上创build或删除帐户,那么该怎么办? 如何同步帐户属性,包括密码更改? 其中一个目录被认为是“主”? 如果是的话,哪一个,为什么? 双目录环境的决定是什么? 是否有计划摆脱这种设置? 如果是这样的话 为了确保顺利(就像发生过的事情)那样,正在采取哪些措施? 你倾向于使用什么样的pipe理工具(账户删除,故障排除等)? 主办地点在DC,OpenLDAP服务器或者在不同的Windows或Linux机器上。 由于需要AD或OpenLDAP的专用应用程序,我们的组织别无select,只能实现这两个目录。
是否有可能在单个LDAP服务器上有多个单独的LDAP树?
我正在尝试使用具有大量数据的389 ds作为条目的子项。 我试图使用ldapsearchsearch这些条目,但我不断收到以下错误: 结果:超出pipe理限制 当我去浏览这些使用服务器控制台应用程序的条目,它说创build一个“浏览索引”。 我这样做了,现在我可以在Server Console应用程序中查看这些条目,但是我仍然无法执行ldapsearch。 我尝试使用服务器控制台应用程序删除所有这些孩子的父项,但是它给了我与search相同的错误: 超过pipe理限制。 我已经在configuration中将“nssizelimit”属性设置为-1。 我也在configuration中将“nslookthroughlimit”设置为-1,但是我仍然得到相同的错误。 如何configuration我的389 ds(CentOS ds)服务器来阻止这些错误?
我正在用OpenLDAPtesting一些解决scheme。 我运行与OpenLDAP服务器的testing盒和检查function,testing解决scheme等 我想知道是否有一种方法来跟踪对LDAP数据库所做的更改。 某种更新日志,以及是否有这样的function如何在CentOS中使用OpenLDAP服务器2.4启用它