Questions tagged «ldap»

我们位于运行活动目录的公司网络上，我们想测试一些LDAP内容（实际上是活动目录成员资格提供程序），到目前为止，我们还没人能弄清楚我们的LDAP连接字符串是什么。有谁知道我们如何找到它？我们唯一知道的是我们所在的域。

108 active-directory  ldap  connection-strings 

简而言之： 想要一种通过LDAP进行SSH密钥身份验证的方法。 问题： 我们使用LDAP（slapd）进行目录服务，最近我们转向使用自己的AMI构建实例。AMI位很重要的原因是，理想情况下，我们希望能够在实例运行时立即通过密钥身份验证通过SSH登录，而不必等待我们速度稍慢的配置管理工具启动脚本来添加实例的正确键。 理想的情况是，当将用户添加到LDAP时，我们也添加了他们的密钥，并且他们将能够立即登录。 密钥身份验证是必须的，因为基于密码的登录既安全性较低，又麻烦。 我读过这个问题，它暗示有一个名为OpenSSH-lpk的OpenSSH补丁可以做到这一点，但是对于OpenSSH服务器> = 6.2不再需要 添加了sshd_config（5）选项AuthorizedKeysCommand，以支持从文件中（而不是从文件系统中）获取命令中的authorized_keys。该命令在AuthorizedKeysCommandUser sshd_config（5）选项指定的帐户下运行 如何配置OpenSSH和LDAP来实现此目的？

59 ssh  ldap 

如何检查从客户端到服务器的LDAP连接。我正在进行LDAP身份验证，此客户端桌面需要通过LDAP服务器进行身份验证。我可以使用LDAP用户SSH到LDAP服务器，但是在桌面登录提示符下，我无法登录。它说验证失败。 客户端计算机具有Cent OS 6.3，而LDAP服务器具有Cent OS 5.5 LDAP软件是Openldap。 LDAP服务器日志甚至不显示任何消息。 因此，如何测试客户端是否可以成功连接到LDAP。

47 ldap  pam-ldap 

对于Linux，此命令应返回LDAP服务器的DNS记录 host -t srv _ldap._tcp.DOMAINNAME （在使用LDAP WITHOUT servername从Java（Linux）到Active Directory进行身份验证中找到） 如何使用nslookup在Windows命令行上获得相同的信息？ 我试过了 nslookup -type srv _ldap._tcp.DOMAINNAME （紧随http://support.microsoft.com/kb/200525），这是正确的吗？

36 windows  domain-name-system  ldap  nslookup 

在过去的几天中，在浏览Internet以获得有关如何设置LDAP服务器的良好文档时，我一直使用很多F字。到目前为止，我什么都没有发现，但有很多不足，但好于坏。因此，我不得不按通常的Linux方式进行操作，即读取，测试，尖叫，读取，测试和尖叫。 我对LDAP服务器的目标是： 在服务器和客户端的Centos 6最低安装版本上安装LDAP。 以OpenLDAP开发人员预期的方式安装。 启用LDAPS，iptables，SELinux等来安全地安装LDAP。 在客户端上使用SSSD进行到LDAP服务器的“身份验证”连接。 我通常会自己回答这种问题，但我希望您对如何更好地进行安装提出建议。

35 centos  ldap  openldap  centos6  sssd 

LDAP服务器托管在Solaris上。客户是CentOS。通过LDAP的OpenLDAP / NSLCD / SSH身份验证可以正常工作，但是我无法使用ldapsearch命令来调试LDAP问题。 [root@tst-01 ~]# ldapsearch SASL/EXTERNAL authentication started ldap_sasl_interactive_bind_s: Unknown authentication method (-6) additional info: SASL(-4): no mechanism available: [root@tst-01 ~]# cat /etc/openldap/ldap.conf TLS_CACERTDIR /etc/openldap/cacerts URI ldap://ldap1.tst.domain.tld ldap://ldap2.tst.domain.tld BASE dc=tst,dc=domain,dc=tld [root@tst-01 ~]# ls -al /etc/openldap/cacerts total 12 drwxr-xr-x. 2 root root 4096 Jun 6 10:31 . drwxr-xr-x. …

35 centos  redhat  openldap  ldap 

2014年，有关针对Linux服务器和现代 Windows Server操作系统（以CentOS / RHEL为重点）的Active Directory身份验证/集成的常识是什么？ 自从2004年我首次尝试进行整合以来，多年来，似乎最佳实践已经发生了变化。我不太确定哪种方法目前最有效。 在现场，我已经看到： 对Winbind / Samba的 直线上升 LDAP 有时LDAP + Kerberos的 Microsoft Windows服务的Unix（SFU） Microsoft身份的Unix管理 NSLCD SSSD FreeIPA Centrify公司 执牛耳（姓同样） 温宾德总是看上去很糟糕而且不可靠。像Centrify和Samelike这样的商业解决方案始终可以工作，但似乎没有必要，因为此功能已被移植到OS中。 我完成的最后几个安装将Microsoft Unix身份管理角色功能添加到Windows 2008 R2服务器和Linux端的NSLCD（用于RHEL5）上。在RHEL6之前一直有效，直到RHEL6为止，由于缺少NSLCD的维护和内存资源管理问题，因此不得不更改SSSD。Red Hat似乎也支持SSSD的方法，所以我可以使用。 我正在使用域控制器为Windows 2008 R2 Core系统的新安装，并且无法添加Unix身份管理角色功能。有人告诉我Windows Server 2012 R2中不再提供此功能。 安装此角色的好处是该GUI的存在，同时允许轻松地一步管理用户属性。 但... 不推荐使用远程服务器管理工​​具（RSAT）的“服务器用于网络信息服务（NIS）工具”选项。使用本机LDAP，Samba客户端，Kerberos或非Microsoft选项。 如果它可能破坏前向兼容性，那么就很难依靠它了。客户想使用Winbind，但是我从Red Hat看到的所有内容都指向SSSD的使用。 什么是正确的方法？ 在您的环境中如何处理？

31 linux  active-directory  redhat  ldap 

我看到了许多解决方案，允许Google Apps使用外部AD和LDAP服务进行登录。 但是，我已经在Google Apps中设置了大量的用户，并且我正尝试其他方法。也就是说，我想允许用户使用我在Google Apps中创建的帐户登录我的外部服务器。 有谁成功找到一种将Google Apps域用作开放目录，Active Directory或LDAP提供程序的方法？

29 active-directory  ldap  g-suite  opendirectory 

如何在Scientific Linux上获得ldapsearch？ 我正在尝试找到适用于Scientific Linux的ldapsearch客户端，但是找不到如何安装客户端以进行LDAP查询。

25 linux  redhat  ldap 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 5年前关闭。 作为开发人员，我们有时需要查询LDAP。您知道用于此任务的有用工具吗？ 编辑：我不是在代码中，我的意思是实用程序/工具（命令行或gui，主要是gui）只是为了查找/确认数据，或者如果可能的话...

22 ldap  query 

我正在使用以下设置进行LDAP身份验证 AuthName "whatever" AuthType Basic AuthBasicProvider ldap AuthLDAPUrl "ldap://server/OU=SBSUsers,OU=Users,OU=MyBusiness,DC=company,DC=local?sAMAccountName?sub?(objectClass=*)" Require ldap-group CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local 这可行，但是我必须将所有要认证的用户放入MySpecificGroup。但是，在LDAP服务器上，我已配置为MySpecificGroup也包含MyOtherGroup带有另一个用户列表的组。 但是其中的那些用户MyOtherGroup未通过身份验证，我必须将它们全部手动添加到它们，MySpecificGroup并且基本上不能使用嵌套分组。我正在使用Windows SBS 2003。 有没有一种方法可以配置Apache LDAP？还是存在无限递归从而不允许的问题？

21 apache-2.2  ldap  groups 

在最近的日子里，我已经建立了一些具有LDAP身份验证的Linux系统，并且一切正常，但是经过大量研究，对于NSS和PAM还是有些我不了解的地方。 引用： NSS允许管理员指定来源列表，在这些来源中将存储和搜索身份验证文件，主机名和其他信息 和 PAM是一组库，它们为应用程序和基础操作系统提供可配置的身份验证平台。 我不了解的是PAM和NSS是如何工作并相互作用的。在这本书的架构是解释得很好：我PAM配置为使用pam_ldapLDAP的帐户和pam_unix本地帐户，然后我配置nsswitch.conf来从本地文件和LDAP信息。 如果我正确理解，则使用LDAP两次：首先pam_ldap由NSS 使用，然后由NSS使用，后者本身是从调用的pam_unix。那正确吗？LDAP是否真的使用过两次？但是，为什么我需要同时配置NSS和PAM？我的解释是，PAM执行与NSS不同的任务，并且被其他程序使用。但是，正如我在本页中所读到的那样，那么应该仅可以使用NSS或仅使用PAM 。 因此，我做了一些实验，首先尝试从中删除LDAP nsswitch.conf（并且身份验证停止工作，好像只有pam_ldap不足以完成这项工作）。然后，我在NSS中重新启用了LDAP，并从PAM配置中将其删除（这次一切正常，好像pam_ldap没用，NSS足以验证用户身份）。 有谁可以帮助我澄清这一点？提前谢谢了。 更新 我刚刚尝试过一些东西。我再次删除了所有pam_ldappam配置字段中的所有条目，并且也从中删除shadow: ldap了nsswitch.conf。像现在一样，所有系统中只有行：passwd: ldap files和group: ldap files中nsswitch.conf。好吧...用LDAP用户登录非常有效，这两行（加号/etc/ldap.conf）足以配置LDAP身份验证。 据我了解，PAM独立于NSS，但我的测试表明事实并非如此。所以我问自己，是否可以完全禁用NSS而仅使用PAM？

21 ldap  authentication  pam  nss 

我有一个.net Web应用程序，该应用程序需要获取用户是Active Directory成员的组。 为此，我正在用户记录上使用memberOf属性。 我需要知道在所有用户记录上读取此属性所需的权限。 目前，当我尝试读取此属性时，结果不一致。例如，我在同一OU路径中有30个用户的用户组。使用我自己的凭据查询AD-我可以读取某些用户的memberOf属性，而不能读取其他用户的memberOf属性。我知道所有用户都设置了memberOf属性，就像我使用域管理员帐户登录时所检查的那样。

19 active-directory  ldap 

我正在评估将组织迁移到Mercurial的可能性，但是我在两个基本要求上绊脚石，而我找不到合适的指示。 如何设置Mercurial的中央存储库，以使用中央Active Directory对用户进行身份验证，并且仅在具有正确凭据的情况下才允许他们推送或拉出用户？ 如何设置Mercurial项目存储库，以仅允许属于特定组的用户推/拉源代码？我们需要有每个项目的授权。 在哪两个HTTP服务器（IIS或Apache等）上支持上述两个要求？ 如果我要提出明显的要求或缺少有关身份验证和授权工作原理的基本知识，我们深表歉意。

19 active-directory  authentication  ldap  mercurial 

我编写了连接到LDAP服务器并运行查询的各种代码，但是对我而言，这一直都是巫毒教。我不太了解的一件事是绑定DN的概念。这是使用ldapsearchopenldap 的命令行工具的示例。（忽略身份验证的不足。） ldapsearch -h 1.2.3.4 -D dc=example,dc=com [query] 这部分的目的和功能是-D dc=example,dc=com什么？为什么我们需要绑定到目录层次结构中的特定位置？是否确定我的查询应应用于目录的哪一部分？例如，如果目录的根节点是dc=com，并且有两个子节点（dc=foo和dc=bar），也许我希望查询针对dc=foo,dc=com子树而不是dc=bar,dc=com子树？

19 ldap