我一直在我们的服务器上实现LDAP。 我们使用SSSD而不是nscd / nslcd与LDAP服务器进行通信。 SSSD的其中一个选项是枚举。 启用它解决了我们在RHEL上实现LDAP客户端时遇到的问题。 有人可以更清楚地解释LDAP枚举的含义吗? 启用/禁用LDAP枚举如何影响环境? 这是一个LDAP特定的还是SSSD特定的术语? 我无法find有关此function的更多信息,所以希望此默认问题也可以帮助其他人。
我正尝试使用厨师来添加/修改一些本地用户帐户。 无论出于何种原因,在LDAP中都有重复的帐户。 由于系统使用sssd / pam / ldap,因此它将用户视为存在,但无法修改它们,因为它们不在/ etc / passwd中。 有没有办法彻底绕过ldap帐户,以便他们不ID? 然后厨师会正确创build它们。
我遵循标准文档分别在主机的SRV和CLT上安装FreeIPA服务器和客户端。 然后,我使用Web UI将用户“X”添加到FreeIPA。 现在,当我尝试将SSH作为X到CLT,我得到一个'Permission denied, please try again.' 错误。 我检查客户端上的'/ var / log / messages',看到这个 – '[sssd[krb5_child[3277]]]: Decrypt integrity check failed' 。 我多次重置密码,但这并没有解决问题。 然后我碰到这些 – http://www.cmf.nrl.navy.mil/krb/kerberos-faq.html#badpass https://groups.google.com/forum/#!topic/comp.protocols.kerberos/g-s76WeWyUU 听起来像从SRV和CLT中删除'/etc/krb5.keytab'文件,然后重新创build它们将解决问题。 我应该如何去做这个keytab重置? 我应该先从FreeIPA库存中提供/删除CLT吗?
我刚刚在一个基于SSSD的CentOS6框中成功configuration了OpenLDAP用户authentication。 花了一些时间和许多尝试,但它的工作。 现在,我想开始添加用户。 我使用.ldif文件手动.ldif ,基于Arch文档的参考。 问题是 – 我可能会错误地使用相同的uidNumber创build2个用户。 那会造成奇怪的结果。 我的问题是有可能告诉LDAP, uidNumber应该是一个独特的属性,而不是添加用户,如果这个属性值已经存在?
我遵循RedHat AD集成中的configuration3( https://access.redhat.com/sites/default/files/attachments/rhel-ad-integration-deployment-guidelines-v1.5.pdf ); 但我卡住了。 我在Centos 6.8上。 我有一个工作广告连接: service sssd stop rm -r /var/lib/sss/db/* rm -r /var/lib/sss/mc/* service sssd start getent passwd [email protected] 这返回一个明智的路线: robau:*:102201201:102200513:Rob Audenaerde:/: 但是,当我尝试通过SSH进行连接时,我无法login。 我在sssd.conf中的所有组件级别5上启用了SSSDdebugging。 我看到的错误(在var/log/sssd/krb5_child.log )是: (Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [validate_tgt] (0x0020): TGT failed verification using key for [host/[email protected]]. (Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [get_and_save_tgt] (0x0020): 1240: [-1765328377][Server […]
我正在尝试设置SSSD对AD进行身份validation,并希望以最安全的方式进行操作。 我注意到当设置auth_provider = ad端口389是打开的。 我们有阻止端口389的防火墙规则。设置ldap_service_port = 636没有做任何事情。 有人可以解释什么是ad和krb5 auth提供者之间的区别吗? 我目前有一个conf,krb5,samba和sssd。 这是我目前的设置https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
在SciLinux 7.1(EL7.1)框中join运行在Windows 2008R2 64位上的AD域。 遵循“红帽企业Linux 7 Windows集成指南”: $ sudo realm discover -v mems.local * Resolving: _ldap._tcp.mems.local * Resolving: mems.local ! Discovery timed out after 15 seconds mems.local type: kerberos realm-name: MEMS.LOCAL domain-name: mems.local configured: no 然而: $ nslookup -type=srv _ldap._tcp.mems.local Server: 172.17.21.20 Address: 172.17.21.20#53 _ldap._tcp.mems.local service = 0 100 389 mwinds2.mems.local. _ldap._tcp.mems.local service = 0 […]
有什么方法可以用来为NTP提供自动发现吗? 我最近搬到了一个有最近开始提供Active Directory的母公司的新工作。 我一直在实施SSSD和其他东西,对AD进行身份validation并设置NTP。 但是,他们有大量的Active Directory服务器(我必须直接指向服务器),他们有时可以更改。 有没有像ActiveMQ和其他应用程序可以设置LDAP发现或多播的方法? 如果除了试图让母公司维护更好的服务器列表以及它们的function是什么,还有什么build议吗? 谢谢!
我目前正在尝试设置一个使用SSSD通过Active Directory进行身份validation的FTP服务器。 我的configuration文件如下: 的/ etc / VSFTPD / VSFTPD: [root@StudentOrgFTP vsftpd]# cat vsftpd.conf anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES listen=YES pam_service_name=vsftpd userlist_enable=YES userlist_log=YES tcp_wrappers=NO chroot_local_user=YES session_support=YES /etc/sssd/sssd.conf [sssd] domains = WORK services = nss, pam config_file_version = 2 [pam] offline_credentials_expiration = 5 [nss] [domain/WORK] description = Work domains enumerate = false id_provider = […]
您好有一个Ubuntu框设置login到AD。 我可以login到AD使用用户名不匹配本地用户名,但是我有一个本地用户名,也存在于AD,我希望能够以该用户login到AD。 我已经尝试了用户@域和域\用户,但都没有工作。 如果我使用没有任何域的“用户”login,那么它在本地login。 /etc/sssd/sssd.conf [sssd] services = nss, pam config_file_version = 2 domains = AD.HERE.COM.AU [domain/AD.HERE.COM.AU] id_provider = ad access_provider = ad # Use this if users are being logged in at /. # This example specifies /home/DOMAIN-FQDN/user as $HOME. Use with pam_mkhomedir.so override_homedir = /home/%d/%u # Uncomment if the client machine hostname doesn't […]