我运行的openldap是2.4.40,并且已经应用了以下ACL: olcAccess:{0}到* 由自己写 由dn =“cn = Manager,dc = sample,dc = com”写入 通过*阅读 olcAccess:{1}到dn.children =“ou = sysUsers,dc = sample,dc = com” ATTRS =的userPassword,shadowLastChange介绍sshPublicKey 由自己写 由dn =“cn = Manager,dc = sample,dc = com”写入 由匿名authentication 由*无 我想通过用户(sysUsers)来更改userPassword,shadowLastChange,description,sshPublicKey。 但是它给我的权限错误,不写权限。 #slapacl -D''-b'uid = user1,ou = sysUsers,dc = sample,dc = com' authcDN:“” 条目:read(= rscxd) children:read(= rscxd) gidNumber = 1000:read(= rscxd) homeDirectory […]
我们来看一个平均的设置: networking公司 约50个用户 一些用户组(pipe理,支持,开发人员,系统pipe理员,testing人员,销售人员) 许多权限(只允许pipe理员访问敏感的业务数据,只有pipe理员被允许在生产系统上等)。 Windows工作站 Linux服务器 沟通(电子邮件,内部即时消息等) 一些具有原生AAA的Web应用程序(例如Mantis,Mediawiki等) 一些url需要使用基本身份validation进行保护 也许是来自ISV的带有LDAP连接器的一些商业应用程序 在这样的环境中使用OpenLDAP可能是可行的,但肯定不是很有趣,特别是当你不熟悉LDAP时。 一个标准答案就是活动目录(鉴于他们的Kerberos和LDAP后端他们甚至有点标准符合),但是有没有什么不同的产品很适合这样的环境,甚至可能比AD或OpenLDAP有优势?
有一个客户服务器进来,这是交stream,我想它谈到现有的设置,用户讨厌不止一个login! Exchange 2010能否从OpenLDAP获得身份validation? (在CentOS 5.5上运行)Exchange会话将被虚拟化并从当前机箱中移出。 我们目前熟悉configurationSamba,kerberos,winbind等samba共享。
我们有一个工作的LDAP设置。 不过,由于本地文件和LDAP中都存在一些用户名和组名,我们最近遇到了一个问题。 具体来说,apache用户和组都存在于: /etc/passwd和/etc/group 作为用户和组的LDAP 经过最近的yum更新(CentOS 5)之后,进程的组ID已经从/etc/group中的值改变为LDAP中的值(而用户ID仍然是来自/etc/passwd的ID)。 由于httpd所需的一些文件是由root用户拥有的,所以apache(来自/etc/group )但不是全世界可读的,这就造成了问题。 请注意,我们在/etc/ldap.conf和/etc/openldap/ldap.conf已经有了nss_initgroups_ignoreusers apache,… 。 另外,在/etc/nsswitch.conf有 passwd: files ldap group: files ldap shadow: files ldap 和其余的正常位和鲍勃。 因此,如果LDAP和本地文件中都存在名称,是否有办法确保本地文件中的ID优先于LDAP中的ID?
我们目前有一个主服务器被复制到两个只读的从服务器上。 我们正在添加到架构。 build议首先重新加载主设备还是从设备?
Active Directory,OpenLDAP或Apple的Open Directory具有用于保存用户信息和组成员资格的不同模式。 在这里有一个开放目录,我可以说,例如,用户的可分辨名称是属性dn ,而它似乎是AD的distinguishedName 。 是否有一个网站,引用如何主DS持有的信息,如果不是为什么不开始在这里列出他们? 我search它,但无法find它。 我正在寻找以下内容: 用户 专有名称 电子邮件地址 用户名(又名login) 真名(又名全名) 组 成员名单
在Debian 6(或Ubuntu 12.04)上新鲜的OpenLDAP安装,我想从现代的cn=config风格切换到传统的slapd.confconfiguration。 我听说,这是可能的,但到目前为止,我还没有find一个描述,如何做或教程。 我该怎么做,或者我可以在哪里看?
当我在CentOS 6.4的bash提示符下执行此操作时 ldapsearch -LLL -H ldap://adserver.example.com -x -D [email protected] -w somepass -b 'OU=Users,DC=example,DC=com' '(&(objectClass=person)(sAMAccountName=testuser))' 我明白了 dn: CN=TestUser Surname,OU=Area,OU=Users,DC=example,DC=com … objectClass: person … cn: TestUser Surname sn: Surname … distinguishedName: CN=TestUser Surname,OU=Area,OU=Users,DC=example,DC=com … memberOf: CN=Group1,OU=Area,OU=Users,DC=example,DC=com memberOf: CN=Gropu2,OU=Users,DC=example,DC=com … sAMAccountName: testuser 只有在testuser属于名为X的组时,我才想得到响应,而不pipe组X在AD层次结构中的位置。 例如:我想要一个叫做testuser的用户的数据,它是一个名为Group1的组的成员。 我曾尝试更改filter: (&(objectClass的=人)(sAMAccountName赋= TESTUSER)(的memberOf = CN =组别1 *)) (&(objectClass的=人)(sAMAccountName赋= TESTUSER)(的memberOf = *组别1 *)) 无济于事。 您可以从上面的输出中看到,testuser属于组 […]
我目前有一个LDAP目录(OpenLDAP),它对许多服务器上运行的一堆服务进行身份validation。 假设基础DN是dc = oldcompany,dc = com。 我现在想把它改为dc = newcompany,dc = com,而对依赖它的服务的停机时间最less。 有没有设置“别名”或某种方式,以便我的服务可以通过旧的和新的DN访问目录,而我正在重新configuration一切? 我应该考虑哪些其他的select? 有没有什么好的文件,为其他人做这样的重命名? 我的Google-foo没有find任何东西。
我觉得用LDIF而不是基本的configuration文件来configurationOpenLDAP是一个错误方向的重要一步。 有没有人有一些工具/技术更容易pipe理OpenLDAP,不需要LDAP工作100%?