我已经build立了一个LDAP服务器与ppolicy覆盖,但现在有麻烦重置用户的密码在某些情况下:如果用户login失败,则pwdFailureTime属性存在和ldapmodify失败,抱怨它没有。 如果我最近的login尝试成功,那么我可以绑定为cn = admin并运行ldif文件: dn: uid=anton,ou=accounts,dc=[redacted],dc=ca changetype: modify replace: userPassword userPassword: foobar – replace: pwdReset pwdReset: TRUE 哪个成功 但是,如果最后一次login尝试的密码错误,ppolicy会为该帐户添加一个pwdFailureTime属性,然后尝试运行上面的ldif文件,结果如下: $ ldapmodify -x -D "cn=admin,dc=[redacted],dc=ca" -W -H ldap:// -f pwreset.ldif Enter LDAP Password: modifying entry "uid=anton,ou=accounts,dc=[redacted],dc=ca" ldap_modify: No such attribute (16) additional info: modify/delete: pwdFailureTime: no such attribute 如果我在重置密码之前尝试删除pwdFailureTime属性,那么我得到: ldap_modify: Constraint violation (19) additional info: pwdFailureTime: […]
我正在使用以下命令和脚本来获得OpenLDAP(在ubuntu v16上运行)以使用SSL证书(证书的位置是正确的)。 ssl.ldif dn: cn=config changetype: modify add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/fullchain-xxxxxx.pem – add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/cert-xxxxxx.pem – add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/privkey-xxxxxx.pem 命令: sudo ldapmodify -H ldapi:// -Y EXTERNAL -f ssl.ldif 输出: SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" ldap_modify: Other (eg, implementation specific) error (80) 有没有其他的日志文件条目,我可以检查进一步排除故障?
我有以下openldap服务器configuration: access to attrs=userPassword by self write by anonymous auth by set="[cn=users,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write by * none # Allow everybody adding and changing Contacts access to dn.subtree="ou=Contacts,dc=my-company,dc=de" by set="[cn=users,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write by * read access to * by self write by dn.base="cn=admin,dc=my-company,dc=de" write by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write by * read 它应该做的是这样的: 允许每个人更改自己的密码 […]
我需要为JoomlaconfigurationLDAP身份validation! 唯一的方法就是让它们一起工作(基于LDAP组的是使用groupOfUniqueNames而不是posixGroup。换句话说,Joomla希望LDAP遵循RFC2307bis模式。 这乞求的问题:其他LDAP使用应用程序了解RFC2307bis架构? 从我所能find的4个最重要的应用程序中, pam_ldap和nss_ldap 桑巴 GOSA phpLDAPAdmin 除此之外,这个模式(Apache auth,squid,groupware suites,freeradius)的普遍支持状态是什么? 这种configuration的任何问题(rfc2307bis,pam_ldap,nss_ldap和samba)?
我最近在Solaris-10上安装了OpenLDAP。 无论使用slapadd,ldapadd还是ldapmodify,我都可以build立根节点和子节点,但是当我尝试为inetorgperson下的某个人添加条目时,该命令会挂起。 这是我目前的slapd.conf文件: include /usr/local/etc/openldap/schema/core.schema include /usr/local/etc/openldap/schema/cosine.schema include /usr/local/etc/openldap/schema/inetorgperson.schema pidfile /usr/local/var/run/slapd.pid argsfile /usr/local/var/run/slapd.args loglevel -1 ####################################################################### # BDB database definitions ####################################################################### database bdb suffix "dc=myorg,dc=org" rootdn "cn=Manager,dc=myorg,dc=org" rootpw secret directory /usr/local/var/myorg.org index objectClass eq index cn,sn,mail eq,sub index departmentNumber eq cachesize 10000 checkpoint 128 15 这是我目前正在尝试使用的.ldif文件: dn: dc=myorg,dc=org dc: myorg objectClass: dcObject objectClass: organizationalUnit ou: […]
我使用PIXOS 8.2(1)运行Cisco ASA5520。 我有我的VPN设置从我的LDAP服务器的用户身份validation。 我需要能够限制他们到一个特定的组。 我的login基地dn是“dc = example,dc = com”用户在“uid = $ username,ou = users,dc = example,dc = com” 我需要限制vpn访问的人是不同的组中的成员。 我需要检查的OU是“gid = vpn,ou = groups,dc = example,dc = com” 任何想法,我可以做到这一点?
我认为我的问题归结为OpenLDAP。 我希望我的用户能够使用Pidgin聊天客户端更改他们的密码。 目前,我必须设置他们的密码,这是一个痛苦。 OpenLDAP工作正常,我的configuration如下。 当用户尝试更改密码时,他们从Pidgin获得403禁止。 当他们得到这个错误时,在OpenLDAP日志中什么也没有发生,这让我认为请求永远不会到达那里。 这是来自Pidgin的日志: (14:08:01) jabber: Sending (ssl) ([email protected]/b660f5a6): <iq type='set' id='purple711c2157' to='xx.com'><query xmlns='jabber:iq:register'><username>test.account</username><password>22</password></query></iq> (14:08:01) jabber: Recv (ssl)(302): <iq type="error" id="purple711c2157" from="xx.com" to="[email protected]/b660f5a6"><query xmlns="jabber:iq:register"><username>test.account</username><password>22</password></query><error code="403" type="auth"><forbidden xmlns="urn:ietf:params:xml:ns:xmpp-stanzas"/></error></iq> 这是我的slapd.conf: # This is the main slapd configuration file. See slapd.conf(5) for more # info on the configuration options. # Features to permit #allow bind_v2 […]
我有一个我在过去几年使用的OpenLDAP v2.3的设置。 以下是用于访问控制的slapd.conf中的行。 access to dn.one="o=abc, c=IN" by * read access to dn.base="o=abc, c=IN" by * none 当我做ldapsearch使用匿名绑定给我的结果。 例如下面的命令给出结果。 ldapsearch -x -h localhost -b "o=abc,c=IN" 现在我把操作系统CentOS从5.5升级到了6.3,所以OpenLDAP的版本是OpenLDAP v2.4 。 我们没有改变模式。 但现在相同的ldapsearch给了我result: 32 No such object错误。 但是,当我在访问控制configuration中添加了以下行时,它会起作用 access to dn.one="o=abc, c=IN" by * read access to dn.base="o=abc, c=IN" by anonymous read by * none 可能是什么原因? 这样做有没有安全风险?
我有一个运行OpenLDAP版本2.4.31的Debian服务器,现在我试图连接我的Mac OS X 10.9服务器,以便我可以validation现有的LDAP用户。 我使用目录实用程序成功连接了它们,并将用户logging映射到服务器返回的值。 我做了以下映射: User: inetOrgPerson EmailAddress: mail FirstName: givenName LastName: sn Password: userPassword PrimaryGroupID: #5000 RealName: cn RecordName: uid UniqueID: uidNumber GeneratedUID: mail 我可以使用目录实用程序和本地networking上运行的服务(如Time Machine)成功进行身份validation。 但是,当我尝试访问可从Internet访问的任何服务(如Wiki服务器或Xcode服务器)时,身份validation将失败。 当我尝试login到Wiki时,这是从我的OS X服务器的日志: Nov 29 21:06:55 osx.example.org collabd[437]: [CSAuthService.m:315 11d8d000 +269ms] Digest did not validate Nov 29 21:06:55 osx.example.org collabd[437]: [CSServiceDispatcher.m:260 11d8d000 +0ms] Caught exception "Invalid Credentials" […]
我有一个OpenLDAP服务器,我想configurationsmbk5pwd覆盖,使得在userPassword发生更改时,OpenLDAP会自动更新sambaNTPassword和sambaLMPassword属性。 版本: slapd 2.4.23-7.3 slapd-smbk5pwd 2.4.23-7.3 模 dn: cn=module{1},cn=config objectClass: olcModuleList cn: module{1} olcModuleLoad: smbk5pwd olcModulePath: /usr/lib/ldap 模块加载没有错误。 如果我尝试添加叠加,会发生以下情况: #!RESULT ERROR #!CONNECTION ldap://192.168.10.145:389 #!DATE 2014-03-07T09:55:49.078 #!ERROR [LDAP: error code 80 – <olcSmbK5PwdEnable> handler exited with 1] dn: olcOverlay=smbk5pwd,olcDatabase={1}hdb,cn=config changetype: add objectClass: olcSmbK5PwdConfig objectClass: olcOverlayConfig objectClass: olcConfig objectClass: top olcOverlay: smbk5pwd olcSmbK5PwdEnable: samba LDAP日志 : smbk5pwd: […]