我试图在ubuntu 9.10上使用slapd版本2.4.18来设置一个OpenLDAP服务器。 初始化并填充新的hdb数据库后,一切似乎都没问题,但我无法让服务器返回根DSE。 运行 ldapsearch -x -W -D 'cn=manager,dc=example,dc=org' \ -b '' -s base '(objectclass=*)' + 只是返回 # extended LDIF # # LDAPv3 # base <> with scope baseObject # filter: (objectclass=*) # requesting: + # # search result search: 2 result: 0 Success # numResponses: 1 我的hdb数据库ACL设置如下: olcAccess: to attrs=userPassword,shadowLastChange by self write by […]
我正在使用OpenLDAP工具中的ldapsearch来search我们的公司Active Directory中的电子邮件和电话号码。 这个查询是一个testing,以确保我可以对域进行身份validation,所以我可以build立一个具有NTLM身份validation的Linux维基。 我的理论是,如果我可以成功地查询AD的信息,那么我更接近让我的维基对AD进行身份validation(我有指示在ActiveDirectory下设置moin维基 )。 问题是,我似乎无法得到正确的ldapsearch查询。 我在网上看过许多教程,表明-D应该是-D "Americas\John_Marsharll" ; 但是,我不断收到ldap_bind: Invalid credentials (49)当我使用Americas\John_Marshall时, ldap_bind: Invalid credentials (49)错误消息。 只有当我使用下面的参数进行查询时,才能得到明智的结果。 然而,即使如此,我不知道如何获得电子邮件和电话号码。 [John_Marshall@WN7-BG3YSM1 ~]$ ldapsearch -x -h 10.1.1.1 \ -b "cn=Users,dc=Americas" mail telephonenumber -D "cn=John_Marshall,dc=Americas" # extended LDIF # # LDAPv3 # base <cn=Users,dc=Americas> with scope subtree # filter: (objectclass=*) # requesting: mail telephonenumber -D cn=John_Marshall,dc=Americas # # […]
我最近开始学习Samba和OpenLDAP,并且越来越沮丧旧configuration(使用slapd.conf)和使用cn = config目录的新configuration之间的明显断开。 我可以看到新系统的好处,但是这么多文档还没有更新,我正在考虑放弃这种方法来支持众所周知的slapd.conf。 你是否认为这种新的configuration方法(cn = config)已经准备好生产,或者大多数用户应该坚持slapd.conf?
我有ou =人,在那里我储存了我们的员工。 我必须把它们分成我们现在的员工和前任员工。 我在想的是创build2个组,ou =员工,ou =人员和ou =前员工,ou =人员,但更改uid的entryDN似乎有点棘手… 我应该添加一个自定义属性还是创build一些组? 最佳做法是什么?
我在仔细研究OpenLDAP的源代码,并且看到了根DSE支持绝对filter的地方。 它看起来像它在RFC4526中指定它看起来像最初起草它的作者是在OpenLDAP项目上工作,所以我不知道这是否是有用的具体实施或什么。 RFC无论如何给出了这个定义: An 'and' filter consisting of an empty set of filters SHALL evaluate to True. This filter is represented by the string "(&)". An 'or' filter consisting of an empty set of filters SHALL evaluate to False. This filter is represented by the string "(|)" 我的问题是:这有什么用处? 我想不出有什么能够做你以前做不到的事情的例子。 如果你想要一个绝对的AND那么你不能(objectClass=*)filter,因为所有的条目必须至less有一个对象类? 我唯一能想到的就是绝对错误。 这可能是因为你只是想在服务器上做一个noop来确保通信仍然正常运行。 这仍然是多余的,因为我会认为查询根DSE和丢弃结果会做同样的事情,不可能是所有的计算成本昂贵。 在ldapsearch使用filter产生的结果,我想我应该期望给出上面的结果: [root@hypervisor […]
我有我的slapd.conf中的以下条目 ####################################################################### # ldbm and/or bdb database definitions ####################################################################### #backend hdb database bdb suffix "dc=example,dc=com" checkpoint 1024 15 rootdn "cn=Manager,dc=example,dc=com" rootpw {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx directory /var/lib/ldap index objectClass eq,pres ###################################################################### database monitor access to * by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.exact="cn=Manager,dc=example,dc=com" read by * none 当我尝试写下面的命令 ldapadd -x -W -D "cn=Manager,dc=example,dc=com" -f ldapuser100.ldif 我有以下错误: adding new entry "uid=ldapuser100,ou=People,dc=example,dc=com" […]
我有一个rabbitmq服务器,我需要连接到AD。 configuration使用puppet rabbitmq模块进行设置,并进行一些小的手动更改(日志级别): % This file managed by Puppet % Template Path: rabbitmq/templates/rabbitmq.config [ {rabbit, [ {auth_backends, [rabbit_auth_backend_internal, rabbit_auth_backend_ldap]}, {tcp_listen_options, [binary, {packet, raw}, {reuseaddr, true}, {backlog, 128}, {nodelay, true}, {exit_on_close, false}] }, {default_user, <<"guest">>}, {default_pass, <<"guest">>} ]}, {kernel, [ ]} , {rabbitmq_management, [ {listener, [ {port, 15672} ]} ]} , % Configure the LDAP authentication […]
我们希望将我们的用户帐户从OpenLDAP迁移到Active-Directory,而无需更改密码等。 用户不应该注意到他们正在进行身份validation的服务器的差异。 如何创build活动目录用户帐户与PowerShell是一个非常有趣的方法,但由于密码存储encryption它不适合我们工作。 什么是可能的解决scheme/设置为我们的任务? SuSE上的OpenLDAP版本:2.1,Windows Server 2008
我在使用代理授权进行更新时遇到了一些麻烦。 我正在使用UnboundID的LDAP SDK连接到OpenLDAP,并为更新发送dn: uid=me,dc=People,dc=example,dc=com的ProxiedAuthorizationV2RequestControl 。 我已经testing并validation目标用户有权执行该操作,但是我得到了 访问权限不足 当我尝试通过代理身份validation。 我已经在原始用户的cn=config和authzTo={0}ldap:///dc=people,dc=example,dc=com??subordinate?(objectClass=inetOrgPerson) cn=config authzTo={0}ldap:///dc=people,dc=example,dc=com??subordinate?(objectClass=inetOrgPerson) authzTo似乎正在工作; 当我改变它我得到 没有被授权承担身份 当我尝试更新(也用于search)。 我有这个ldapwhoami -U portal -Y DIGEST-MD5 -X u:mace -H ldap://yorktown -Z现在没有saslauthd工作。 我只需要将代理用户(门户)的密码存储为纯文本。 但是,当我尝试更新任何东西时,我仍然没有“访问权限不足”。 代理用户 dn: uid=portal,ou=Special Accounts,dc=example,dc=com objectClass: inetOrgPerson cn: portal sn: portal uid: portal userPassword: test authzTo: {0}ldap:///dc=People,dc=example,dc=com??sub?(objectClass=inetOrgPerson) 有效的用户: dn: employeeNumber=1400,dc=People,dc=example,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: sambaSamAccount objectClass: shadowAccount uid: […]
服务原则名称是否针对Windows上的Active Directory? 或者它们也存在于Linux OpenLDAP / Kerberos KDC服务器中吗?