如今,OpenLDAP需要使用ldapmodify cn = config进行configuration,如下所述。 但是无处可查我们如何configuration它只接受TLSstream量。 我刚刚确认我们的服务器接受未encryption的stream量(使用ldapsearch和tcpdump)。 通常情况下,我只是closures与IP表的非SSL端口,但使用SSL端口已被弃用,显然,所以我没有这个选项。 所以,使用SSLconfiguration命令,像这样: dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key – replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt – replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem 有没有强制TLS的参数? 编辑:我试过olcTLSCipherSuite,但它不起作用。 debugging输出: TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. Edit2(几乎修复):我能够通过加载来修复它: # […]
这是一个小公司(12名开发人员)谁没有实施任何集中用户数据库 – 他们已经有机地增长,只是在他们需要的计算机上创build帐户。 从pipe理的angular度来看,它的噩梦 – 十台电脑都有不同的用户账号。 如果用户被添加到一台计算机,他们需要手动添加到其他所有(他们需要访问)。 这远非理想。 随着越来越多的计算机/用户被添加/雇用,前进和业务增长将意味着更多的工作。 我知道某种集中用户pipe理是非常需要的。 不过,我在Active Directory和OpenLDAP之间进行辩论。 目前两台服务器都是简单的备份和文件共享服务器,都运行Ubuntu 8.04LTS。 这些电脑是Windows XP和Ubuntu 9.04的混合体。 我没有活动目录(或真正的OpenLDAP的事情,但我很熟悉Linux)的经验,但如果一个解决scheme超过另一个,那么我保证,我知道这一点。 TCO不是真正的问题。 如果Windows(SBS我假设?)将节省我足够的时间弥补增加的前期成本,那么我认为我应该去解决scheme。 为了我的需要,我应该看什么解决scheme? 编辑:电子邮件是异地托pipe,所以交stream是没有必要的。
我目前正在将LDAP身份validation集成到一个系统中,我想限制基于LDAP组的访问。 唯一的方法是通过searchfilter,因此我相信我唯一的select是在我的searchfilter中使用“memberOf”属性。 我的理解是,“memberOf”属性是服务器可以为我创build的操作属性,只要服务器上的任何“groupOfNames”条目创build新的“成员”属性。 我的主要目标是能够将“member”属性添加到现有的“groupOfNames”条目,并将匹配的“memberOf”属性添加到我提供的DN中。 到目前为止我所能达到的目标是: 对于LDAPpipe理,我还是一个相当新的东西,但是基于我在openldappipe理员指南中find的内容,它看起来像Reverse member Membership Maintence (又名“memberof overlay”)可以达到我期待的效果。 我的服务器当前正在运行使用“cn = config”样式运行时configuration的openldap 2.4.15的软件包安装(在Ubuntu上为slapd)。 我发现的大部分示例仍然引用静态configuration的较旧的“slapd.conf”方法,并且尽力使configuration适应新的基于目录的模型。 我已经添加了以下条目来启用成员的覆盖模块: 使用olcModuleLoad启用模块 cn=config/cn\=module\{0\}.ldif dn: cn=module{0} objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb olcModuleLoad: {1}memberof.la structuralObjectClass: olcModuleList entryUUID: a410ce98-3fdf-102e-82cf-59ccb6b4d60d creatorsName: cn=config createTimestamp: 20090927183056Z entryCSN: 20091009174548.503911Z#000000#000#000000 modifiersName: cn=admin,cn=config modifyTimestamp: 20091009174548Z 为数据库启用覆盖,并允许它使用它的默认设置(groupOfNames,member,memberOf等) cn=config/olcDatabase={1}hdb/olcOverlay\=\{0\}memberof dn: olcOverlay={0}memberof objectClass: olcMemberOf objectClass: olcOverlayConfig objectClass: olcConfig […]
我对LDAP相对来说比较陌生,并且已经看到了两种如何设置你的结构的例子。 一种方法是让基础为: dc=example,dc=com而其他示例的基础为o=Example 。 继续,你可以有一个像这样的组: dn:cn = team,ou = Group,dc = example,dc = com cn:团队 objectClass:posixGroup memberUid:user1 memberUid:user2 …或使用“O”风格: dn:cn = team,o =示例 objectClass:posixGroup memberUid:user1 memberUid:user2 我的问题是: 有没有最好的做法,指示使用一种方法而不是另一种? 这只是一个偏好的问题,你使用的风格? 使用其中一个有什么优势? 一种方法是旧式的,一种是新的改进版本? 到目前为止,我已经去了dc=example,dc=com风格。 任何意见,社会可以在这个问题上将不胜感激。
LDAP服务器托pipe在Solaris上。 客户端是CentOS。 通过LDAP的OpenLDAP / NSLCD / SSHauthentication工作正常,但我不能使用ldapsearch命令来debuggingLDAP问题。 [root@tst-01 ~]# ldapsearch SASL/EXTERNAL authentication started ldap_sasl_interactive_bind_s: Unknown authentication method (-6) additional info: SASL(-4): no mechanism available: [root@tst-01 ~]# cat /etc/openldap/ldap.conf TLS_CACERTDIR /etc/openldap/cacerts URI ldap://ldap1.tst.domain.tld ldap://ldap2.tst.domain.tld BASE dc=tst,dc=domain,dc=tld [root@tst-01 ~]# ls -al /etc/openldap/cacerts total 12 drwxr-xr-x. 2 root root 4096 Jun 6 10:31 . drwxr-xr-x. 3 root root […]
在过去的几天中,我一直在使用大量的F语言,同时浏览Internet以获得有关如何设置LDAP服务器的良好文档。 到目前为止,我还没有find,但是还不够好,但是好多了。 所以我不得不按照通常的Linux方式来阅读,testing,尖叫,阅读,testing和尖叫。 我想要做的是以下。 安装在Centos 6最低安装上,既适用于服务器,也适用于客户端。 以正确的方式安装,openldap的开发者打算完成的方式。 以安全的方式安装。 LDAPS,Iptables,SELinux等启用。 在客户机上使用SSSD进行到LDAP服务器的“authentication”连接。 这个问题是我回答自己的问题,但是如果你对如何更好的安装有什么build议,我将不胜感激。