所以情况就是这样。 我希望能够使用我的LDAP凭据login到此交换机。 由于交换机本身不支持LDAP,所以我认为FreeRADIUS有一个LDAP模块,我可以使用FreeRADIUS作为一种“桥梁”。 以下是radiusd的输出: rad_recv: Access-Request packet from host 10.10.10.249 port 49155, id=0, length=76 User-Name = "rdraga" User-Password = "XXXXXXXXXXXX" Cisco-AVPair = "shell:priv-lvl=1" NAS-IP-Address = 10.10.10.249 +- entering group authorize {…} ++[suffix] No '@' in User-Name = "rdraga", looking up realm NULL [suffix] No such realm "NULL" ++[suffix] returns noop [eap] No EAP-Message, not doing […]
我在使用运行时configuration(cn = config)修改OpenLDAP安装模式时遇到问题。 我想要做的是修改现有的属性,并添加新的自定义架构。 我在尝试应用更改时遇到的错误是“没有这样的对象”或“没有这样的值”。 使用JXplorer浏览器时,错误是: javax.naming.NameNotFoundException: [LDAP: error code 32 – No Such Object]; remaining name 'cn={15}mySchema,cn=schema,cn=config' 从命令行在ldif文件上使用ldapmodify会引发同样的错误: ldapmodify -h ldap://localhost/cn=config -x -p 389 -D cn=admin,cn=config -W -f modify.ldif modifying entry "cn={15}mySchema,cn=schema,cn=config" ldap_modify: No such object (32) 但奇怪的是,即使发生此错误,也会为当前的slapd服务实例提交更改。 例如,如果我添加了新的属性并修改了一个对象以包含这些属性,那么这些属性在使用该对象的条目中可用。 我可以继续,如果变化的工作。 然而,如果slapd服务重新启动,则更改将被恢复。 如果我删除ldif文件中DN的前导{15},或者属性值的类似前缀,我会得到相同的错误(虽然可能是由于不同的原因): modifying entry "cn=mySchema,cn=schema,cn=config" ldap_modify: No such object (32) matched DN: cn=schema,cn=config 更重要的是,我可以毫无问题地修改cn […]
我想创build几个有权访问特定组/组织单位的用户的用户。 例如, User: uid=testadmin, ou=people, dc=my,dc=net 应该有权限创build新用户/删除用户 ou=People,dc=my,dc=net 我尝试下面的ACI,但没有工作 (target = "ldap:///ou=People,dc=my,dc=net")(targetattr = "*") (version 3.0;acl "testadmin Permissions";allow (proxy)(userdn = "ldap:///uid=testadmin,ou=people,dc=my,dc=net");) 我可以从Directory Server控制台添加pipe理用户,但是这个用户数据并不存储在ldif文件中,只存储在二进制数据库的/ var / lib / dirsrv / slap-ldap / db /目录中。 唯一的问题是这些用户有全部的权力,我不知道如何限制他们的访问。
我目前有一个设置,用户使用LDAP凭据login网站。 这一切都是内部的,所以我不关心证书。 所以,在我的/etc/openldap/ldap.conf文件中我TLS_REQCERT never 。 在将文件添加到文件之前,我总是收到Error Binding to LDAP: TLS: hostname does not match CN in peer certificate 。 添加后,似乎一切工作正常。 但是现在我发现,经过一段时间,也许几个小时到一天,login将再次失败,我会开始得到这个错误。 如果我重新启动Apache一切正常工作再次一段时间。 然后错误再次popup。 有什么可能导致这种情况继续发生? 该服务器是一个CentOS 6.5。
我有一个OpenLDAP服务器,用于各种服务的身份validation和授权。 所有用户都是对象typesinetOrgPerson ,我的组是groupOfNames 。 现在我想configurationSamba以对LDAP进行身份validation(使用基于组的授权)。 我不能/不希望使用samba作为域控制器,而只是作为文件服务器。 我也不想在Samba中单独pipe理用户帐户,因为我拥有LDAP(用户名,密码,组成员资格)所需的所有信息。 我也想避免改变我的DIT。 据我目前的研究,我可以告诉我不能直接这样做,因为 a)Samba使用自己的凭证存储进行身份validation,这意味着我必须为每个现有的LDAP用户smbpasswd b)我的LDAP用户必须具有samba属性 在环顾四周之后,我怀疑我的问题的解决scheme可能是在samba和LDAP之间使用Kerberos。 我没有pipe理Kerberos的经验,所以在做出努力之前,我想澄清下列主题: 我的假设是否正确? 我可以在一台机器上运行Kerberos的身份validation服务器和密钥分发中心,并将其configuration为仅在本地主机上提供授予票证? (OpenLDAP和samba在同一台机器上运行) Kerberos的使用是否允许我保持我的DIT不变并仅使用LDAP中的信息执行身份validation/授权? 有更好/更简单的解决scheme吗? 我在Ubuntu服务器14.04上。 提前感谢任何提示
我需要build立一个本地LDAP代理caching,连接到我们的中央Active Directory服务器。 OpenLDAP代理caching看起来就像这样。 但是尽可能接近手册页,我无法得到它的工作。 我能够通过本地主机代理请求到远程服务器,但他们没有caching(或caching不检索,至less)。 我所做的步骤: 安装了openldap-servers和openldap-clients软件包 创build了一个slapd.confconfiguration文件(详情如下) 为代理数据库创build一个目录并复制默认的DB_CONFIG文件(详情如下) Ran slapd -d -1命令启动服务器 使用以下命令ldapwhoami -vvv -h localhost -D "CN=Melka Martin,OU=(…),DC=int,DC=ourdomain,DC=com" -x -w <password>服务器: ldapwhoami -vvv -h localhost -D "CN=Melka Martin,OU=(…),DC=int,DC=ourdomain,DC=com" -x -w <password> 结果是成功。 但嗅探networkingstream量显示查询是从中央LDAP服务器汇集。 slapd输出相当详细,但它在一个点的状态 QUERY NOT ANSWERABLE QUERY CACHEABLE 唉,如果它得到caching,它永远不会回答。 任何想法可能是错的? "cn=admin,dc=int,dc=ourdomain,dc=com"是远程LDAP服务器中的admin用户的DN。 他的密码是<something> 。 slapd.conf中 database ldap suffix "dc=int,dc=ourdomain,dc=com" rootdn "cn=admin,dc=int,dc=ourdomain,dc=com" rootpw <something> […]
我的networking核心用户数据库由OpenLDAPpipe理。 最近我们需要引入一个用户代表第二个用户的可能性。 由于所有与应用程序相关的权利和权限都存储在LDAP中,我们也希望将新的模式存储在同一个地方。 我的问题是 – 是否有共同的名称模式或最佳做法来存储在LDAP这样的委托权限? 我听说在使用Active Directory的MS Exchange中有这样的function。
我们尝试为公司范围的身份validation设置Active Directory服务器。 一些应该对AD进行身份validation的服务器放置在DMZ中,因此我们考虑使用LDAP服务器作为代理,以便DMZ中只有一台服务器必须连接到放置AD服务器的LAN )。 用一些Googlesearchfunction来configurationslapd是没有问题的(参见下面的slapd.conf),而且在使用ldapsearch工具时似乎可行,所以我们试图在apache2 htaccess中使用它来通过LDAP代理对用户进行身份validation。 问题来了:我们发现AD中的用户名存储在属性'AMAccountName'中,所以我们在.htaccess中configuration了它(见下文),但login无效。 在系统日志中,我们发现ldapsearch的filter不是(它应该是)' (&(objectClass = *)(sAMAccountName = authtest01)) 'but' (&(objectClass = *)(?= undefined))我们发现这是slapd的方式来显示该属性不存在或值在语法上是错误的这个属性。 我们想到了一个丢失的模式,并find了microsoft.schema (和它的.std / .ext文件),并试图将它们包含在slapd.conf中。 哪个不行 我们没有find工作模式,所以我们只是select了关于sAMAccountName的部分,并构build了一个包含我们的microsoft.minimal.schema(见下文)。 现在我们在syslog中获得更精确的日志: Jun 16 13:32:04 breauthsrv01 slapd[21229]: get_ava: illegal value for attributeType sAMAccountName Jun 16 13:32:04 breauthsrv01 slapd[21229]: conn=0 op=1 SRCH base="ou=xxx,dc=int,dc=xxx,dc=de" scope=2 deref=3 filter="(&(objectClass=\*)(?sAMAccountName=authtest01))" Jun 16 13:32:04 breauthsrv01 slapd[21229]: conn=0 op=1 […]
背景 我试图以我在AWS Directory Services Simple AD中创build的用户身份login(通过SSH,运行到运行sssd的Amazon Linux EC2实例)。 我使用sssd身份validation,并使用LDAP来识别用户(全部通过sssd 。 问题 我无法以adtool创build的用户adtool ,这意味着我很难自动将新用户添加到我的简单AD。 当我尝试,KDC说,它不能支持encryptiontypes(我假设这是用户的密码?)请参阅下面的“错误信息”部分。 但是,我可以以内置pipe理员用户身份login,也可以通过join域的Windows Server 2008 EC2实例上的Microsoftpipe理控制台创build的用户身份login。 所以我的设置工作,或者至less部分工作。 TL;需要DR解决scheme 我需要知道是什么,我做错了adtool ,阻止我作为用户创build的用户login。 我不明白自己做错了什么,我认为这对于试图做类似于我的事情的人来说可能是有用的。 下面的细节。 错误信息 这是在用adtool创build的用户尝试login时的sssd输出: (Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446649: Response was from master KDC (Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446788: Received error from KDC: […]
我将Cisco ASA设置为客户端VPN服务器。 该设备依靠freeradius来validation用户。 Freeradius又被configuration为查询OpenLDAP。 modules / ldap文件已被configuration为使用以下filter(每个组下列出的成员使用属性memberUid)检查组的所有权: groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))" 文件freeradius / users有这样的说法: DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject 我想使用多个成员资格检查,例如,只允许属于一组组的用户。 显然,如果多于一个组被指定,freeradius就会失败。 我正在寻找一种方法来列出多个组。 用于freeradius和openldap的操作系统是Ubuntu 10.04。