首先,我是OpenLDAP的新手。 我希望我的术语是正确的,但是没有保证。 我正在尝试将我们的OpenLDAP服务器迁移到新的框中,并在此过程中更新我们的LDAP树,以准确反映我们当前的组织名称。 当原始服务器在2004年build立时,我们的组织有一个不同的名字,必须坚持在我们的DNSlogging和其他随机的地方。 我试图摆脱那个传统的名字。 我已经成功地将原始数据库从原始服务器迁移到新服务器。 我现在试图弄清楚如何将我们的根DSE移动到正确的根级DC。 一个例子可能有助于: 当前的根目录:(目前是什么) dc=org-name,dc=dept,dc=university,dc=edu 新的根:(它应该成为什么) dc=new-org-name,dc=dept,dc=university,dc=edu 我们使用Apache Directory studio来pipe理我们的OpenLDAP服务器。 当我尝试[天真]只是改变根目录到新的名字,我得到这个错误: -[LDAP: error code 71 – cannot rename between DSAs] 更新: 我早些时候关于这棵树出现的部分是一个SELinux问题。 在新的数据库上设置的types是错误的,这不会导致树显示出来。 我仍然有不能在DSA之间移动的问题。 我怎样才能解决这个问题?
我是红帽企业Linux 5.3(Tikanga)的新手,也是打开ldap.As openldap默认带红帽子。所以我安装了berkeley数据库db-5.3.15.tar.gz 已经安装的OpenLdap的版本:openldap-2.3.43-3.el5 当我通过命令运行slapd时: 服务ldap启动 这是显示 开始slapd:[确定] 但没有slapd过程开始。 请提出什么问题。 谢谢。
我在RHEL 5.3上安装了两个berkeley dbs。 现在,我很困惑,哪一个openldap指的是后端。 以下是slapd.conf: include /usr/local/etc/openldap2-4-30/schema/core.schema include /usr/local/etc/openldap2-4-30/schema/cosine.schema include /usr/local/etc/openldap2-4-30/schema/inetorgperson.schema **# Define global ACLs to disable default read access.** **# Do not enable referrals until AFTER you have a working directory** **# service AND an understanding of referrals.** pidfile /usr/local/var/openldap2-4-30/run/slapd.pid argsfile /usr/local/var/openldap2-4-30/run/slapd.args **# rootdn can always read and write EVERYTHING!** access to * by […]
我正在尝试设置一个LDAP“隧道”来解决需要configuration与我的环境略有不同的应用程序。 我需要能够作为USER1绑定到LDAP服务器并检索用户无权访问的数据,但是第二个用户(USER2)却能够访问这些数据。 有效的身份validation应该是USER1,然后使用USER2进行数据检索以进行授权。 到目前为止,我已经着眼于使用OpenLDAP的'后端'来build立一种types的隧道,但似乎无法得到正确的configuration。 这是我的configuration在元服务器上运行,尝试通过SERVER1(真正的服务器)隧道。 database meta suffix o=me uri "ldap://SERVER1/o=me" 我已经尝试过不同的变化,但是不能得到任何有用的东西。 USER1是原来的低权限用户,USER2是升级的用户。 idassert-bind bindmethod=simple binddn="cn=USER2,o=me" credentials="secret" mode=none idassert-authzFrom "dn.exact:cn=USER1,o=me" “testing”的情况是这样的: ldapsearch -h METASERVER -D "cn=USER1,o=me" -W -x -b "ou=what,o=me" cn=somethinghidden
我已经configuration了第二个主机来通过slapd.conf syncrepl复制主LDAP服务器: syncrepl rid=666 provider=ldaps://my-main-server.com type=refreshAndPersist searchBase="dc=Staff,dc=my-main-server,dc=com" filter="(objectClass=*)" scope=sub schemachecking=off bindmethod=simple binddn="cn=repadmin,dc=my-main-server,dc=com" credentials=mypassword 当我重新启动slapd ,它会写入/var/log/debug Jun 11 15:48:33 cluster-mn-04 slapd[29441]: @(#) $OpenLDAP: slapd 2.4.9 (Mar 31 2009 07:18:37) $ ^Ibuildd@yellow:/build/buildd/openldap2.3-2.4.9/debian/build/servers/slapd Jun 11 15:48:34 cluster-mn-04 slapd[29442]: slapd starting Jun 11 15:48:34 cluster-mn-04 slapd[29442]: null_callback : error code 0x14 Jun 11 15:48:34 cluster-mn-04 slapd[29442]: syncrepl_entry: rid=666 be_modify […]
我正在研究LDAP结构的devise,基本上应该是用户和组。 应该支持嵌套组(所以我想使用groupOfNames对象类),对于用户我将使用inetOrgPerson 。 还有一个额外的条件 – 有一些组目前将没有成员。 因此,我的研究表明,我可以考虑在我的openLDAP实例中使用groupOfEntries作为对象类。 除了成员属性是可选的(必须)之外,它与groupOfNames相同。 我找不到任何官方文档说明如何处理使用标准 LDAP对象类的可选成员资格。 我从2008年groupOfEntries将groupOfEntries的草稿发给IETF,但是我无法收集到更多的信息。 如果我们应该使用这个对象类,有没有官方的决定? 它是否存在于可以导入到openLDAP的任何可选模式中? 我的考虑大多是“如何得到很好的支持”,“有多安全”和“如何正式”被认为是使用这个对象类? 我想听听这个问题的一些意见,也build议任何替代品将不胜感激。 谢谢你的时间!
我们在RHel 5.3上运行openldap 2.3.43。我们的LDAP服务器最近运行起来不正常 1.当您发出命令服务ldap重新启动但它“似乎”开始OK时它停止 2.运行命令服务ldap状态后,显示slapd停止 我已经查看了ldap.log文件,唯一值得一提的错误是 Jun 25 22:11:14 myldapserver slapd[11593]: daemon IPv6 socket() errno=7 Jun25 22:11:15 myldapserver slapd[11598]: bdb(cn=accesslog):file id2entry.bdb (meta pgno =0) has LSN [1}[900784] Jun25 22:11:15 myldapserver slapd[11598]: bdb(cn=accesslog):end of log is [1][956] Jun25 22:11:15 myldapserver slapd[11598]: bdb(cn=accesslog):/var/log/ldap/accesslog/id2entry.bdb:unexpected file or format Jun25 22:11:15 myldapserver slapd[11598]: bdb_db_opendb_open(cn=accesslog):/var/log/ldap/accesslog/id2entry.bdb) failed: Invalid argument (22) Jun25 22:11:15 […]
如何configuration我的Active Directory LDAP服务器(Windows 2008)以启用证书validation和客户端身份validation。 谢谢,Gayathri
我正在RHEL 5.3上运行openldap 2.3.43.el5我试图find一个简单的命令,它会告诉你什么时候LDAP用户的密码将过期,任何帮助将不胜感激。这将是一个相当于chage -l (为本地Linux帐户。 我刚刚设法改变我们的环境中的pwdmaxAge属性,并需要一个确定的方式来检查更改是否已经生效(不仅仅是通过查询属性pwdMaxAge与ldapsearch 请帮助 ?
我已经build立了一个OpenLDAP服务器来validation我们的Ubuntu服务器的用户。 身份validation工作得很好,但我想要用户访问某些服务器。 我知道这可以通过客户端的ldap.conf中的nss_base_来完成。 但是,这需要在客户端上指定组限制。 我想知道是否可以在OpenLDAP中完全设置限制。 如果是的话,我想知道如何。 谢谢, AC