我是相当新的LDAP,我试图删除一个LDAP对象。 (我还没有设置SSL。)我使用该命令 ldapdelete -x 'dc=example,dc=com' 'cn=AnUser' 它给了我错误 ldap_delete: Strong(er) authentication required (8) additional info: modifications require authentication 这是否意味着我不能使用简单的身份validation删除? (我可以删除使用ldapscripts,但我真的只想使用ldap-utils) 编辑: I tried doing and ldapdelete -x -W 'dc=example,dc=com' 'cn=AnUser' 但它给了我一个ldap_bind: Invalid credentials (49)错误,但我敢肯定密码是正确的。
MIT Kerberos文档列出了七种不同的存储Kerberos证书的方法: API DIR 文件 KCM 钥匙圈 记忆 MSLSA 目前,我的Kerberos安装程序正在将凭据存储在/tmp目录中的一个文件中。 在我的krb5.conf文件中, ccache_type选项默认设置为4: # The following krb5.conf variables are only for MIT Kerberos. krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true 在关于krb5.conf文件的MIT Kerberos文档中,它提到了ccache_type选项: 此参数确定由kinit或其他程序创build的凭证cachingtypes的格式。 默认值是4,表示最新的格式。 可以使用较小的值来兼容与同一主机上的凭证caching交互的非常旧的Kerberos实现。 似乎ccache_type选项的值不对应于文档列出的七个ccachetypes。 由于4指定使用“最新的格式”而不是“KCM”。 因此,我的问题是: 如何将Kerberosconfiguration为使用不同的ccachetypes,例如密钥环或内存?
我正在尝试使用pam_exec.so PAM模块来执行一个需要知道来自应用程序(在这种情况下为OpenVPN)的用户名/密码的脚本。 我有一个脚本执行printenv >>afile ,但我看不到所有的手册页指出,pam_exec.so出口(即PAM_USER我认为)的环境variables,我只看到以下内容: PAM_SERVICE=openvpn PAM_TYPE=auth PWD=/usr/local/openvpn/bin SHLVL=1 A__z="*SHLVL 我成功地从STDIN中取出密码,并用相同的脚本输出。 但是对于我的生活,我不能得到用户名。 有什么想法,我应该尝试下一步?
我已经在MIT Kerberos和AD之间build立了一个演示跨域 。 只要机器configuration正确,用户就可以正常login,并且用户知道该领域全是大写和区分大小写。 我有一种感觉,即使我们经常超出正常范围,一旦我们把这个推出给用户,也会有很多人记得这一点。 有什么办法让Windows 7的login界面变得更有用吗? 像自动大写的领域? 或自动默认为我们的Kerberos领域的用户身份validation?
今天,我们在办公时间closures了一台Active Directory服务器,以检查UPS上的加载情况。 由于所有的服务器都是在一个单独的build筑中提供Active Directory,所以主build筑起火了,或者其他什么,我们不认为这会对我们的用户有任何影响。 服务器closures后,我们有十几个电话遇到这个问题的用户: – [Microsoft SQL Serverlogin] SQLState:'28000'[Microsoft] [ODBC SQL Server驱动程序] [SQL Server]login失败。 login来自不受信任的域,不能用于身份validation。 一旦我们意识到发生了什么,我们迅速重新启动了下来的Active Directory服务器。 问题解决了。 但是为什么会这样呢? 而如果有一天服务器出现故障,并且几个小时或几天不在线下呢? 域服务authentication请求中的其他Active Directory服务器是否不会中断用户? 我们有3台运行Active Directory的Windows Server 2003 Standard服务器作为全局编录的域控制器,所有这些服务器都以千兆位速度位于同一networking中。 我相信该域最初是Windows Server 2000,甚至可能是NT 4.0。 这个问题可以归结为从这些旧的服务器操作系统inheritance的旧的组策略,还是需要更改的Active Directory中的一些默认设置?
简短forms:我是否应该使用一些知名的uid来validationldap客户端,然后在该客户端中使用其他方法来validation用户input的uid和pw? 长forms:我们有一个基于.NET的商业networking产品,在许多客户站点上实现,目前使用内部用户authentication。 我正在调查使用LDAP进行身份validation目录。 由于我们的产品是在不同的环境中实现的,我希望它能够与LDAP兼容的目录服务和configuration(包括但不限于Active Directory)在最广泛的范围内兼容。 除了身份validation,我想使用用户的目录属性来确定他们是否有权使用应用程序。 我希望这会由用户在特定组中的成员身份来表示。 组的名称将是应用程序的configuration点。 目录服务仅用于确认用户标识,密码和组成员资格。 在处理用户的后续请求时,应用程序将不承担用户的身份。 所以,没有FormsAuthenticationTicket。 我的第一个问题之一来自我已经审查的身份validation示例,如http://tldp.org/HOWTO/LDAP-HOWTO/authentication.html和http://msdn.microsoft.com/en-us/library /ff649227.aspx 。 这些使用用户input的ID和密码来validationLDAP客户端。 我想这是合理的,但在我的情况下,客户端将继续进行其他LDAPsearch以确认组成员资格。 我是否需要担心最终用户可能没有足够的目录权限来进行会员资格检查? 在我看来,为ldap客户端身份validation使用保留凭据会更好,然后通过其他方法确认用户input的uid / pw。 或者,可能绑定两次,一次使用用户凭证进行身份validation,然后使用内置凭证进行search。 我应该这样做,还是只是把事情做得比他们需要的还要多?
我想configurationpam模块以使用平面文件进行身份validation。 基本上我需要像pam_unix一样的东西,只是有可能使用不同的文件(而不是/etc/passwd和/etc/shadow )。 有没有现成的pam模块提供这个function?
我目前正在准备一台虚拟主机服务的机器,并决定使用MySQL来存储我们所有的用户(因为我们的其他服务已经使用了它)。 为此,我使用libnss-mysql和pam-mysql 。 但是,即使大多数设置正在运行,但在尝试使用passwd更改用户密码时遇到问题。 目前,可以创build一个用户( INSERT INTO )并使用su以该用户身份login。 机器不提示input密码,直接访问用户的shell。 但是,一旦我以这个用户身份login, passwd结束于: $ passwd myuser passwd: Authentication token manipulation error passwd: password unchanged 根据MySQL日志,在调用passwd时会进行查询,因此与MySQL的连接不成问题。 此外,当我尝试与一个未知的用户调用passwd ,我得到一个合适的passwd: user 'doesnotexist' does not exist 。 passwd确实find了一个用户,但是不能修改它的信息。 auth.log日志文件说: pam_unix(passwd:chauthtok): user "myuser" does not exist in /etc/passwd pam_mysql – option verbose is set to "1" pam_mysql – pam_sm_chauthtok() called. pam_mysql – […]
我想设置Subversion版本库,以便可以使用相同的用户名和密码来访问存储库,如在SSHlogin。 我设法login工作,以便正确的用户名是必需的,但它接受任何密码。 我怎么能得到它需要有效的密码呢? 我使用“标准模块”,Apache2,Subversion和libapache2-mod-authnz-external运行Ubuntu服务器8.04.2。 另外我发现了一个名为pwauth的实用程序来帮助validation。 以下是来自configuration的相关部分: /etc/apache/apache2.conf AddExternalAuth pwauth /usr/local/bin/pwauth SetExternalAuthMethod pwauth pipe AddExternalGroup unixgroup /usr/local/bin/unixgroup SetExternalGroupMethod unixgroup environment /etc/apache/mods-available/dav_svn.conf: AuthType Basic AuthBasicProvider external AuthExternal pwauth GroupExternal unixgroup AuthName "Subversion repository" Require group users Require user myaccount /etc/pam.d/pwauth: auth required pam_succeed_if.so user=www-data account required pam_localuser.so config.h for pwauth: #define PAM /* Linux PAM or OpenPAM*/ […]
我在OpenLDAPconfiguration中有以下内容。 在Centos 5.3上使用最新版本的OpenLDAP。 安装使用yum 。 从我的/etc/openldap/slapd.conf database bdb suffix "dc=company,dc=com" rootdn "cn=Manager,dc=company,dc=com" 从我的/etc/openldap/ldap.conf BASE dc=company,dc=com 我已经成功地添加了一个条目与ldapadd并从盒子上的本地bash shell的ldapsearch检索它。 现在我试图让一个graphics编辑器远程连接到这个服务器,所以我可以从我的笔记本电脑进入人。 但是我没有运气。 我尝试了JXplorer ,并且它与Anonymous绑定连接,而不必指定一个BaseDN但是我不能编辑任何东西。 如果我尝试给它一个用户名和密码,使用Manager和我的rootpw我有纯文本只是为了testing,我远程笔记本电脑上的每个GUI客户端抱怨我的BaseDN不是正确的格式,当我进入dc=company,dc=com ,我试过cn=Manager,dc=company,dc=com 。 Error opening connection: [LDAP: error code 34 – invalid DN] 我已经尝试了多个客户端,他们都是匿名连接,没有让我连接身份validation的地方,我实际上可以创build或编辑任何东西。 我使用Manager作为我的用户名和密码从rootpw ,是正确的?