Questions tagged «ldap»

轻型目录访问协议(LDAP),用于通过IP网络读取和编辑目录

4
为开发人员测试设置LDAP的最简单方法
我是与LDAP集成以进行身份​​验证的产品的开发人员。我需要设置一个可以测试的目录。 我不是LDAP专家。为了帮助简化学习过程,拥有一个真实的示例目录将很有用。 是否有任何资源可以帮助我随时准备建立演示目录?例如,VMware设备?
18 ldap 

2
如何在openldap服务器上配置反向组成员资格维护?(成员)
我目前正在将LDAP身份验证集成到系统中,我想限制基于LDAP组的访问。唯一的方法是通过搜索过滤器,因此我相信我唯一的选择是在搜索过滤器中使用“ memberOf”属性。据我了解,“ memberOf”属性是一个可操作的属性,只要为服务器上的任何“ groupOfNames”条目创建新的“ member”属性,服务器就可以为我创建。我的主要目标是能够向现有的“ groupOfNames”条目添加“成员”属性,并将匹配的“ memberOf”属性添加到我提供的DN中。 到目前为止,我已经实现了以下目标: 我对LDAP管理还很陌生,但是根据我在openldap管理指南中找到的内容,看起来反向组成员资格维护(又称为“ memberof overlay”)将完全达到我想要的效果。 我的服务器当前正在运行openldap 2.4.15的软件包安装(在ubuntu上扩展),该软件包使用“ cn = config”样式的运行时配置。我发现的大多数示例仍引用旧的静态配置“ slapd.conf”方法,并且我已尽力使配置适应新的基于目录的模型。 我添加了以下条目以启用memberof覆盖模块: 使用olcModuleLoad启用模块 cn=config/cn\=module\{0\}.ldif dn: cn=module{0} objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb olcModuleLoad: {1}memberof.la structuralObjectClass: olcModuleList entryUUID: a410ce98-3fdf-102e-82cf-59ccb6b4d60d creatorsName: cn=config createTimestamp: 20090927183056Z entryCSN: 20091009174548.503911Z#000000#000#000000 modifiersName: cn=admin,cn=config modifyTimestamp: 20091009174548Z 为数据库启用覆盖并允许其使用其默认设置(groupOfNames,member,memberOf等) cn=config/olcDatabase={1}hdb/olcOverlay\=\{0\}memberof dn: olcOverlay={0}memberof …
18 ldap  openldap 

1
LDAP结构:dc = example,dc = com vs o = Example
我对LDAP相对较新,并且看到了两种有关如何设置结构的示例。 一种方法是使基存在:dc=example,dc=com而其他示例使基存在o=Example。继续,您可以看到一个类似以下的组: dn:cn = team,ou = Group,dc = example,dc = com cn:团队 objectClass:posixGroup memberUid:user1 memberUid:user2 ...或使用“ O”样式: dn:cn = team,o = Example objectClass:posixGroup memberUid:user1 memberUid:user2 我的问题是: 是否有任何最佳实践规定使用一种方法胜过另一种方法? 您使用哪种样式只是喜好问题? 使用一个相对于另一个有什么好处吗? 一种方法是旧样式,一种是新的和改进版本吗? 到目前为止,我已经采用了这种dc=example,dc=com风格。社区可以就此提出的任何建议将不胜感激。
18 ldap  openldap 

4
ldapsearch密码文件格式
我应该如何通过密码才能ldapsearch使用该-y <password file>选项? 如果我以纯文本形式在密码文件中写入密码,则会出现此错误: ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 52e, v1772 如果使用该-w <password>选项,也会发生相同的情况。 编辑: 我正在运行的命令是 ldapsearch -x -D <my dn> -y .pass.txt -h server.x.x -b "dc=x,dc=y" "cn=*" 该文件.pass.txt包含我的密码(采用纯文本格式)。DN和密码均正确。如果我运行带有该-W选项的命令并在提示符下键入密码,则该命令将成功运行,但是我想以某种方式存储密码以创建脚本。
18 linux  ldap 

2
鱿鱼中的安全用户身份验证的故事
曾几何时,南美洲有一个美丽温暖的虚拟丛林,一个乌贼服务器就住在那里。这是网络的感知图像: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] 当Users请求访问Internet时,squid询问他们的姓名和护照,并通过LDAPldap 对其进行身份验证,如果ldap批准了它们,则他授予了它们。 每个人都很高兴,直到一些嗅探者在用户和鱿鱼之间的路径中偷走了护照[路径A]。发生这场灾难是因为鱿鱼使用了Basic-Authentication方法。 丛林人民聚集起来解决问题。一些兔子提供使用NTLM方法。蛇者优先Digest-Authentication,同时Kerberos建议由树木。 毕竟,丛林人提供的许多解决方案令所有人感到困惑!狮子决定结束这种情况。他大喊解决方案的规则: 解决方案是否安全! 解决方案应适用于大多数浏览器和软件(例如下载软件)吗 解决方案应该简单并且不需要其他大型子系统(例如Samba服务器) 该方法不应依赖于特殊领域。(例如Active Directory) 然后,猴子提供了一个非常合理,全面而明智的解决方案,使他成为了丛林中的新国王! 你能猜出解决方案是什么? 提示:squid和 之间的路径LDAP受到狮子的保护,因此解决方案不必保护它。 注意:如果故事很无聊且混乱,很抱歉,但是大多数故事都是真实的!=) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( …

1
IPA与仅LDAP for Linux盒-寻找比较
Linux(RHEL)盒很少(〜30),我正在寻找集中化且易于管理的解决方案,主要用于控制用户帐户。我熟悉LDAP,并且从Red Hat(== FreeIPA)部署了IPA ver2的试验。 我了解理论上IPA提供了类似于“ MS Windows域”的解决方案,但是乍一看,它并不是那么容易和成熟的产品[尚未]。除了SSO,是否有仅在IPA域中可用而在使用LDAP时不可用的安全功能? 我对IPA域的DNS和NTP部分不感兴趣。
16 linux  ldap  kerberos  freeipa 

2
使用TLS配置OpenLDAP =必需
如今,OpenLDAP的需要与的ldapmodify CN =配置来配置,如描述在这里。但无处可寻,您如何配置它以仅接受TLS流量。我刚刚确认我们的服务器接受未加密的流量(使用ldapsearch和tcpdump)。 通常,我只用IP表关闭非SSL端口,但是显然不赞成使用SSL端口,因此我没有那个选择。 因此,使用SSL配置命令,如下所示: dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem 是否有强制使用TLS的参数? 编辑:我尝试了olcTLSCipherSuite,但是它不起作用。调试输出: TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. Edit2(几乎固定):我可以通过加载来修复它: …
16 ldap  openldap  tls 

2
如何将LDAP(数据库,架构,配置)迁移到其他计算机
我正在使用openldap 2.4.40,我需要将现有的ldap数据库,配置和模式(基本上是与ldap服务器相关的所有内容)迁移到新计算机上。 问题是,我不再使用cn = config配置而不是旧的slapd.conf文件。 openldap和其他第三方网站提供的文档仅有助于迁移slapd.conf LDAP服务器,而不能迁移具有较新cn = config配置文件的LDAP服务器。 而且我还有新的架构(属性类型和对象类),有没有办法将它们尽可能容易地迁移到新机器上? 除了将配置手动一个接一个地手动重新添加到新计算机之外,我还需要其他方法。 这样做的目的是最有可能关闭旧机器。 TL; DR 是否有任何方法可以方便地将LDAP数据库,架构,配置从1个LDAP服务器迁移到新的LDAP服务器,以关闭旧计算机 谢谢。 *在下面发布答案 -朱利奥

6
LDAP管理的Web界面[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,以使其成为服务器故障的主题。 4年前关闭。 我们将在组织中实施LDAP进行集中身份验证。哪个是最好的简单LDAP管理工具?
16 linux  ldap  openldap 

3
有些系统无法通过ldap连接到ldap,但是其他系统可以,是否通配符证书?
尝试建立与我的Novel eDirectory 8.8服务器的ldaps连接时,有时我必须放入TLS_REQCERT never客户端服务器ldap.conf文件。显然,这是一个坏主意。 我运行的命令是这样的,它具有实际起作用的凭据... ldapsearch -x -H ldaps://ldapserver -b 'ou=active,ou=people,dc=example,dc=org' -D 'cn=admin,dc=example,dc=org' -W "cn=username" 在Ubuntu 13.10上,它可以正常工作。 在SLES上可以正常工作。 在CentOS 6.5上,它返回: ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) 现在,我导入的证书是从DigiCert购买的通配符证书。我的同事发现了一些报告,表明某些系统存在通配符问题。 那么,通配符证书应归咎于此吗?如果是这样,我该如何解决? 如果不是通配符证书,那是什么? 按照安德鲁·舒尔曼的建议,我添加-d1了我的ldapsearch命令。我最终得到的是: ldap_url_parse_ext(ldaps://ldap.example.org) ldap_create ldap_url_parse_ext(ldaps://ldap.example.org:636/??base) Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ldap.example.org:636 ldap_new_socket: 3 ldap_prepare_socket: 3 …

4
管理对多个Linux系统的访问
搜索了答案,但在此未找到任何答案。 长话短说:非营利组织迫切需要对其基础架构进行现代化。第一件事是找到在许多Linux主机上管理用户帐户的替代方法。 我们有12台服务器(物理和虚拟服务器)和大约50个工作站。这些系统有500个潜在用户。多年来构建和维护系统的个人已经退休。他编写了自己的脚本来管理所有内容。它仍然有效。那里没有怨言。但是,很多东西都是非常手动的,容易出错。代码比较混乱,更新之后通常需要进行调整。最糟糕的是几乎没有文档编写。只有一些自述文件和随机注释可能不再相关。因此,维护已成为一项艰巨的任务。 当前,帐户是通过每个系统上的/ etc / passwd管理的。当帐户添加到“主”服务器上时,更新通过cron脚本分发以更正系统。一些用户必须有权访问所有系统(例如sysadmin帐户),其他用户则需要访问共享服务器,而其他用户则可能需要访问工作站或其中的一部分。 是否有工具可以帮助我们管理满足以下要求的帐户? 最好是开源的(即免费,因为预算非常有限) 主流(即保持) 最好具有LDAP集成,或者可以与LDAP或AD服务进行接口以进行用户身份验证(在不久的将来需要将帐户与其他办公室集成) 用户管理(添加,到期,删除,锁定等) 允许管理每个用户有权访问的系统(或系统组)-并非所有系统上都允许所有用户 支持可能具有不同homedirs和挂载的用户帐户,具体取决于他们登录的系统。例如 登录到“主”服务器的sysadmin具有main:// home / sysadmin /作为homedir,并具有所有共享的装载 登录到员工工作站的sysadmin将使用nas:// user / s / sysadmin作为homedir(与上面不同),并且可能会限制安装数量, 登录的客户端会将其homedir放置在其他位置,并且没有共享的挂载。 如果有一个简单的管理界面,那就太好了。 如果此工具是跨平台的(Linux / MacOS / * nix),那将是一个奇迹! 我已经在网上搜索过,因此找不到合适的内容。我们欢迎任何建议。谢谢。 编辑:此问题已被错误地标记为重复。答案链接仅讨论在所有系统上具有相同的homedir,而我们需要根据当前登录的系统用户拥有不同的homedir(多个homedir)。另外,只需要对某些机器而不是全部机器授予访问权限。Mods,请理解问题的全部范围,而不是仅仅将其标记为重复点...

2
使用LDAP作为git存储库的身份验证方法
我想说服老板,我们应该使用git进行版本控制。他说,它绝对必须通过我们的中央LDAP服务器对用户进行身份验证。 我查看了各种解决方案(gitweb,gitorious ...),但找不到关于它们是否支持LDAP身份验证的确切答案。 我唯一可以找到一些信息的解决方案是Apache + mod_ldap设置。但这意味着在LDAP上进行身份验证的用户不一定与实际的git用户相同,对吗?(并不是说这是一个大问题,而只是会让我烦恼的事情。) 那么,通过LDAP验证git用户的最佳方法是什么?
15 ldap  git 

7
那里必须有一个基于FOSS Web的LDAP密码重置应用程序,对吗?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,以使其成为服务器故障的主题。 7年前关闭。 似乎每个使用LDAP的商店都必须拼凑一些东西,以便用户重置密码而不会打扰IT员工。工作流程几乎总是像这样: 用户提供用户名(jblow) 电子邮件jblow @ company链接 用户点击链接,输入新密码 在后端,它对应于: Web表单获取用户名,将(用户名,唯一的大字符串)存储在数据库中,通过电子邮件将唯一的大字符串发送到username @ company 其他形式单击https:// site / pwreset / big唯一字符串,用于验证用户身份,更改其密码 对?那么,是否有人写了他们共享的其中之一?我宁愿使用一个比每个人似乎都要做的10分钟工作多一些思想的工作。 我对Sourceforge,Freshmeat等进行了快速搜索,但没有发现任何未被遗弃的东西。

7
使用LDAP进行MySQL身份验证?
我们为用户运行了几十个不同的MySQL服务器。它们使用MySQL的免费/开源版本,而不是商业版本。在这些服务器上管理帐户密码很麻烦。 是否有任何插件可以使我们使用LDAP来帮助管理MySQL特权?至少,我们希望从LDAP服务器获取一些用户名和密码。 我们正在使用MySQL 5.1和5.5。如果要实现此功能,我们可能愿意升级到MySQL 5.6。 我们希望任何工具都基于CLI,而不需要GUI或Web界面。

4
Linux中央认证/授权方法
我有一个规模虽小但正在增长的Linux服务器网络。理想情况下,我想在一个中央位置控制用户访问,更改密码等。我已经阅读了很多有关LDAP服务器的信息,但是我仍然对选择最佳的身份验证方法感到困惑。TLS / SSL是否足够好?Kerberos有什么好处?什么是GSSAPI?等等...我还没有找到明确的指南来说明这些不同方法的优缺点。谢谢你的帮助。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.