我的意图是将Outlook / Thunderbird客户端的“客户联系信息”MySQL表格作为地址簿(通过LDAP)提供。 我知道OpenLDAP有一个MySQL后端选项,但是我一直没有find任何清晰,可靠的文档来说明如何configuration它。 我需要设置哪些OpenLDAP选项,以及在哪里设置它们? 我正在运行Ubuntu 9.04。 更新 : 我已经设置了ODBC文件,并将testing数据导入到数据库,但是仍然不知道如何configurationslapd来使用数据库。 某处,在一些configuration文件中,我不得不说“slapd,使用称为'LDAP2MySQL'的ODBC资源”。 但是哪里? 如何? 其他更新 : 我没有得到这个: Ubuntu软件包版本毕竟没有SQL支持,所以我删除了它,我试图从源代码安装。 我认为它安装好了,但“make test”会产生错误“比较失败./scripts/test003-search失败(exit 1)”。 无论如何,我做了一个“make install”,因为Google似乎没有解释如何解决“比较失败”的问题。 现在我什至不能开始愚蠢的事情。 与Ubuntu的包一起工作的“/etc/init.d/slapd start”不起作用。 openLDAP手册说“/ usr / local / libexec / slapd”是启动它的命令。 …但是这个命令没有输出。 我甚至不知道它是否在运行。 我放弃。 其他更新 : 好吧,我运行“顶部| grep slapd”,我什么也没有得到,所以我猜测它没有运行。 但没有错误消息。 所以呢? 我必须猜测为什么它不会启动? 更新 : 我已经重新安装了操作系统,并从一个干净的石板开始。 现在我甚至不能./configure openldap,因为它找不到db.h. 安装了“db4.7-util”软件包。 我越努力做这个工作,就越less。 我不能相信没有人知道如何做到这一点。 更新 : 我刚刚从源代码安装了BerkeleyDB,但OpenLDAP编译器仍然说: […]
我是完全LDAP新手,我只是研究,如果我可以用它来为我的下一个项目,或更好地远离它。 这个项目将很大程度上取决于嵌套组的概念,我经常需要知道用户在哪个组中(也在哪个超级组),哪个用户在哪个组以及组中有多less人(包括子组)。 我尝试阅读ldap中的嵌套组,但很难find有关该主题的优秀文献。 到目前为止,我发现的最好的是: http : //middleware.internet2.edu/dir/groups/docs/internet2-mace-dir-groups-best-practices-200210.htm哪种推荐前向引用。 有没有其他文件描述嵌套组? 到目前为止,我不受实现限制,所以它可以是例如openLDAP特定的。 我也欢迎所有关于嵌套组的build议。 谢谢,Markus
这是每个SysAdmin的事情要做的噩梦。 基本上我们想控制谁可以访问哪些主机。 这听起来很简单,但问题是要find一个可扩展和低维护(pipe理开销)的解决scheme。 我们使用bcfg2进行configurationpipe理,非常像Cfengine&puppet。 从某种angular度: networking组是非常可扩展的,但是带来了巨大的pipe理费用。 维护主机,主机组,用户networking组(独立于ldpa组)似乎是一个非常大的负担,但是可行的。 ldap.conf (7月1日由jmozdzen发布)和基于LDAp的访问控制。 我们可以为每个主机模板化ldap.conf,并创build一个包含主机名和成员作为用户的组。 但缺点是你不能指定ldap组(用户组)访问,但只能单独使用。 sshd_config限制。 但是,如果用户本地login,则不起作用。 主机属性检查。 通过在ldap.conf中取消注释pam_check_host_attr,并将主机名添加到每个用户都很好,但是自动化并不容易。 任何人都有不同的方法来解决这个问题,并且扩展和自动化?
我正在尝试configurationVsFTPd服务器以再次validationLDAP服务器。 这可能很简单,但是由于这是我第一次使用LDAP和PAM,所以我遇到了一些困难。 VsFTPd在Ubuntu Server 11.04上运行,LDAP在10.10 Ubuntu服务器上是OpenLDAP。 第一个我禁用了AppArmor。 VsFTPd无法连接到LDAP服务器,在我的系统日志中我有: vsftpd: pam_ldap: ldap_simple_bind Can't contact LDAP server LDAP服务器是可以的,因为我可以做一个ldapsearch 。 这是我的/etc/pam.d/vsftpd文件: auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed @include common-account @include common-session @include common-auth auth required pam_ldap.so account required pam_ldap.so session required pam_ldap.so password required pam_ldap.so 这里是我的/etc/ldap.conf文件: base dc=example,dc=com uri ldapi:///ldap.example.com ldap_version 3 rootbinddn cn=admin,dc=example,dc=com pam_password md5 nss_initgroups_ignoreusers […]
我目前正在运行一个OpenLDAP服务器pipe理我的Linux用户,如posixaccount和posixgroup这样的元素: dn: cn=shellinger,ou=groups,dc=company,dc=com cn: shellinger gidNumber: 5001 objectClass: posixGroup objectClass: top dn: cn=shellinger,ou=people,dc=company,dc=com cn: Simon Hellinger uid: shellinger uidNumber: 5001 gidNumber: 5001 objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: top … 现在,除了主要组,Linux组成员在每台机器上都是本地pipe理的。 这工作,但我认为打败了集中用户pipe理的目的。 我想我想要的是分配给我的用户不同的组,取决于他们login的机器。 一般来说,我的用户在我的所有机器上都有一些有用的业务,所以我相信login限制(基于主机或某个组)对于我的用例来说太粗糙了。 我想限制他们可以在每台机器上做什么,而不是如果他们可以login; 并以我的心态转化为他们所在的Linux团队。 而且,对于每台机器上的每个用户,这些组(也就是这样的权限)可能会有很大的不同,在一台机器上拥有超级用户权限的人可能是下一个用户。 用我的外行人来说,这听起来像是基于angular色的小组任务,但是在把我的整个LDAP词汇扔到Google和serverfault之后,我似乎还是无法理解这一点。 总结一下,问题是:我的用例是否有效? 我正在以正确的方式进行吗? 我应该在LDAP中pipe理Linux组吗?
当im试图用这个命令将用户导入到LDAP时: ldapadd -x -D "cn=Manager,dc=domain,dc=com" -W -f /etc/openldap/root.ldif 我有这个错误: ldap_add no such object (32) matched dn dc=domain,dc=com 让我给你看看这些文件: /etc/openldap/domain.ldif dn: dc=domain,dc=com dc: domain description: LDAP Admin objectClass: dcObject objectClass: organizationalUnit ou: rootobject dn: ou=People, dc=domain,dc=com ou: People description: Users of adminmart objectClass: organizationalUnit /etc/openldap/root.ldif dn: uid=root,ou=People,dc=domain,dc=com uid: root cn: Manager objectClass: account 有人可以帮助我吗? 谢谢
我目前正在运行一个FreeRADIUS2的CentOS 5.5盒子。 我现在打开了简单的身份validation(用户名和密码是通过/ etc / raddb / users设置的)。 我想让FreeRADIUS通过当前的OpenLDAP服务器对用户进行身份validation。 有人能指出我正确的方向吗? 谢谢。
我一直在挖掘谷歌洞找出最佳的方式来同步AD和OpenLDAP之间的用户数据库。 我想要实现的是,在AD中拥有用户数据库,然后将这些用户传播到OpenLDAP,以便这些用户可以访问我的所有应用程序(电子邮件,VPN,文件服务器,打印服务器几乎所有的开源应用程序)。 我想创build一个单一的数据库login,所有用户可以有相同的密码为基于Windows和Linux的应用程序。 我也想确保密码双向更新。 如果有人能分享他的经验,我将不胜感激。 谢谢!!
我创build了一个自定义的LDAP objectClass,但在将其添加到我的OpenLDAP服务器之前,忘记了几个属性。 我遵循这个Ubuntu文档页面上的说明: https : //help.ubuntu.com/12.04/serverguide/openldap-server.html我正在运行的Ubuntu 12.04。 那么,如何将一个新的MAY属性添加到已经应用到服务器的objectClass? 特别是在OpenLDAP上,但最好也知道Novell eDirectory如何。
我有一个在OSX服务器机器上运行的OpenDirectory服务器,我想通过一个从服务器来提高服务的可靠性。 问题是,我只有1个OSX服务器,但我有大量的Linux服务器可用。 我对苹果与OpenDirectory集成的工具感到满意,但鉴于苹果最近停止使用XServe,我对继续使用苹果硬件并不感兴趣。 我记得听说OpenDirectory是基于OpenLDAP代码库(现在远程)。 有什么办法可以从OpenDirectory复制到OpenLDAP,而不必购买另一台OSX服务器?