Questions tagged «ldap»

我是与LDAP集成以进行身份​​验证的产品的开发人员。我需要设置一个可以测试的目录。 我不是LDAP专家。为了帮助简化学习过程，拥有一个真实的示例目录将很有用。 是否有任何资源可以帮助我随时准备建立演示目录？例如，VMware设备？

18 ldap 

我目前正在将LDAP身份验证集成到系统中，我想限制基于LDAP组的访问。唯一的方法是通过搜索过滤器，因此我相信我唯一的选择是在搜索过滤器中使用“ memberOf”属性。据我了解，“ memberOf”属性是一个可操作的属性，只要为服务器上的任何“ groupOfNames”条目创建新的“ member”属性，服务器就可以为我创建。我的主要目标是能够向现有的“ groupOfNames”条目添加“成员”属性，并将匹配的“ memberOf”属性添加到我提供的DN中。 到目前为止，我已经实现了以下目标： 我对LDAP管理还很陌生，但是根据我在openldap管理指南中找到的内容，看起来反向组成员资格维护（又称为“ memberof overlay”）将完全达到我想要的效果。 我的服务器当前正在运行openldap 2.4.15的软件包安装（在ubuntu上扩展），该软件包使用“ cn = config”样式的运行时配置。我发现的大多数示例仍引用旧的静态配置“ slapd.conf”方法，并且我已尽力使配置适应新的基于目录的模型。 我添加了以下条目以启用memberof覆盖模块： 使用olcModuleLoad启用模块 cn=config/cn\=module\{0\}.ldif dn: cn=module{0} objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb olcModuleLoad: {1}memberof.la structuralObjectClass: olcModuleList entryUUID: a410ce98-3fdf-102e-82cf-59ccb6b4d60d creatorsName: cn=config createTimestamp: 20090927183056Z entryCSN: 20091009174548.503911Z#000000#000#000000 modifiersName: cn=admin,cn=config modifyTimestamp: 20091009174548Z 为数据库启用覆盖并允许其使用其默认设置（groupOfNames，member，memberOf等） cn=config/olcDatabase={1}hdb/olcOverlay\=\{0\}memberof dn: olcOverlay={0}memberof …

18 ldap  openldap 

我对LDAP相对较新，并且看到了两种有关如何设置结构的示例。 一种方法是使基存在：dc=example,dc=com而其他示例使基存在o=Example。继续，您可以看到一个类似以下的组： dn：cn = team，ou = Group，dc = example，dc = com cn：团队 objectClass：posixGroup memberUid：user1 memberUid：user2 ...或使用“ O”样式： dn：cn = team，o = Example objectClass：posixGroup memberUid：user1 memberUid：user2 我的问题是： 是否有任何最佳实践规定使用一种方法胜过另一种方法？ 您使用哪种样式只是喜好问题？ 使用一个相对于另一个有什么好处吗？ 一种方法是旧样式，一种是新的和改进版本吗？ 到目前为止，我已经采用了这种dc=example,dc=com风格。社区可以就此提出的任何建议将不胜感激。

18 ldap  openldap 

我应该如何通过密码才能ldapsearch使用该-y <password file>选项？ 如果我以纯文本形式在密码文件中写入密码，则会出现此错误： ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 52e, v1772 如果使用该-w <password>选项，也会发生相同的情况。 编辑： 我正在运行的命令是 ldapsearch -x -D <my dn> -y .pass.txt -h server.x.x -b "dc=x,dc=y" "cn=*" 该文件.pass.txt包含我的密码（采用纯文本格式）。DN和密码均正确。如果我运行带有该-W选项的命令并在提示符下键入密码，则该命令将成功运行，但是我想以某种方式存储密码以创建脚本。

18 linux  ldap 

曾几何时，南美洲有一个美丽温暖的虚拟丛林，一个乌贼服务器就住在那里。这是网络的感知图像： <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] 当Users请求访问Internet时，squid询问他们的姓名和护照，并通过LDAPldap 对其进行身份验证，如果ldap批准了它们，则他授予了它们。 每个人都很高兴，直到一些嗅探者在用户和鱿鱼之间的路径中偷走了护照[路径A]。发生这场灾难是因为鱿鱼使用了Basic-Authentication方法。 丛林人民聚集起来解决问题。一些兔子提供使用NTLM方法。蛇者优先Digest-Authentication，同时Kerberos建议由树木。 毕竟，丛林人提供的许多解决方案令所有人感到困惑！狮子决定结束这种情况。他大喊解决方案的规则： 解决方案是否安全！ 解决方案应适用于大多数浏览器和软件（例如下载软件）吗 解决方案应该简单并且不需要其他大型子系统（例如Samba服务器） 该方法不应依赖于特殊领域。（例如Active Directory） 然后，猴子提供了一个非常合理，全面而明智的解决方案，使他成为了丛林中的新国王！ 你能猜出解决方案是什么？ 提示：squid和 之间的路径LDAP受到狮子的保护，因此解决方案不必保护它。 注意：如果故事很无聊且混乱，很抱歉，但是大多数故事都是真实的！=） /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( …

17 security  authentication  ldap  squid  kerberos 

Linux（RHEL）盒很少（〜30），我正在寻找集中化且易于管理的解决方案，主要用于控制用户帐户。我熟悉LDAP，并且从Red Hat（== FreeIPA）部署了IPA ver2的试验。 我了解理论上IPA提供了类似于“ MS Windows域”的解决方案，但是乍一看，它并不是那么容易和成熟的产品[尚未]。除了SSO，是否有仅在IPA域中可用而在使用LDAP时不可用的安全功能？ 我对IPA域的DNS和NTP部分不感兴趣。

16 linux  ldap  kerberos  freeipa 

如今，OpenLDAP的需要与的ldapmodify CN =配置来配置，如描述在这里。但无处可寻，您如何配置它以仅接受TLS流量。我刚刚确认我们的服务器接受未加密的流量（使用ldapsearch和tcpdump）。 通常，我只用IP表关闭非SSL端口，但是显然不赞成使用SSL端口，因此我没有那个选择。 因此，使用SSL配置命令，如下所示： dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem 是否有强制使用TLS的参数？ 编辑：我尝试了olcTLSCipherSuite，但是它不起作用。调试输出： TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. Edit2（几乎固定）：我可以通过加载来修复它： …

16 ldap  openldap  tls 

我正在使用openldap 2.4.40，我需要将现有的ldap数据库，配置和模式（基本上是与ldap服务器相关的所有内容）迁移到新计算机上。 问题是，我不再使用cn = config配置而不是旧的slapd.conf文件。 openldap和其他第三方网站提供的文档仅有助于迁移slapd.conf LDAP服务器，而不能迁移具有较新cn = config配置文件的LDAP服务器。 而且我还有新的架构（属性类型和对象类），有没有办法将它们尽可能容易地迁移到新机器上？ 除了将配置手动一个接一个地手动重新添加到新计算机之外，我还需要其他方法。 这样做的目的是最有可能关闭旧机器。 TL; DR 是否有任何方法可以方便地将LDAP数据库，架构，配置从1个LDAP服务器迁移到新的LDAP服务器，以关闭旧计算机 谢谢。 *在下面发布答案 -朱利奥

16 configuration  ldap  migration  openldap  schema 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 4年前关闭。 我们将在组织中实施LDAP进行集中身份验证。哪个是最好的简单LDAP管理工具？

16 linux  ldap  openldap 

尝试建立与我的Novel eDirectory 8.8服务器的ldaps连接时，有时我必须放入TLS_REQCERT never客户端服务器ldap.conf文件。显然，这是一个坏主意。 我运行的命令是这样的，它具有实际起作用的凭据... ldapsearch -x -H ldaps://ldapserver -b 'ou=active,ou=people,dc=example,dc=org' -D 'cn=admin,dc=example,dc=org' -W "cn=username" 在Ubuntu 13.10上，它可以正常工作。 在SLES上可以正常工作。 在CentOS 6.5上，它返回： ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) 现在，我导入的证书是从DigiCert购买的通配符证书。我的同事发现了一些报告，表明某些系统存在通配符问题。 那么，通配符证书应归咎于此吗？如果是这样，我该如何解决？ 如果不是通配符证书，那是什么？ 按照安德鲁·舒尔曼的建议，我添加-d1了我的ldapsearch命令。我最终得到的是： ldap_url_parse_ext(ldaps://ldap.example.org) ldap_create ldap_url_parse_ext(ldaps://ldap.example.org:636/??base) Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ldap.example.org:636 ldap_new_socket: 3 ldap_prepare_socket: 3 …

15 ssl-certificate  ldap  edirectory 

搜索了答案，但在此未找到任何答案。 长话短说：非营利组织迫切需要对其基础架构进行现代化。第一件事是找到在许多Linux主机上管理用户帐户的替代方法。 我们有12台服务器（物理和虚拟服务器）和大约50个工作站。这些系统有500个潜在用户。多年来构建和维护系统的个人已经退休。他编写了自己的脚本来管理所有内容。它仍然有效。那里没有怨言。但是，很多东西都是非常手动的，容易出错。代码比较混乱，更新之后通常需要进行调整。最糟糕的是几乎没有文档编写。只有一些自述文件和随机注释可能不再相关。因此，维护已成为一项艰巨的任务。 当前，帐户是通过每个系统上的/ etc / passwd管理的。当帐户添加到“主”服务器上时，更新通过cron脚本分发以更正系统。一些用户必须有权访问所有系统（例如sysadmin帐户），其他用户则需要访问共享服务器，而其他用户则可能需要访问工作站或其中的一部分。 是否有工具可以帮助我们管理满足以下要求的帐户？ 最好是开源的（即免费，因为预算非常有限） 主流（即保持） 最好具有LDAP集成，或者可以与LDAP或AD服务进行接口以进行用户身份验证（在不久的将来需要将帐户与其他办公室集成） 用户管理（添加，到期，删除，锁定等） 允许管理每个用户有权访问的系统（或系统组）-并非所有系统上都允许所有用户 支持可能具有不同homedirs和挂载的用户帐户，具体取决于他们登录的系统。例如 登录到“主”服务器的sysadmin具有main：// home / sysadmin /作为homedir，并具有所有共享的装载 登录到员工工作站的sysadmin将使用nas：// user / s / sysadmin作为homedir（与上面不同），并且可能会限制安装数量， 登录的客户端会将其homedir放置在其他位置，并且没有共享的挂载。 如果有一个简单的管理界面，那就太好了。 如果此工具是跨平台的（Linux / MacOS / * nix），那将是一个奇迹！ 我已经在网上搜索过，因此找不到合适的内容。我们欢迎任何建议。谢谢。 编辑：此问题已被错误地标记为重复。答案链接仅讨论在所有系统上具有相同的homedir，而我们需要根据当前登录的系统用户拥有不同的homedir（多个homedir）。另外，只需要对某些机器而不是全部机器授予访问权限。Mods，请理解问题的全部范围，而不是仅仅将其标记为重复点...

15 ldap  user-management  user-accounts  groups  home-directory 

我想说服老板，我们应该使用git进行版本控制。他说，它绝对必须通过我们的中央LDAP服务器对用户进行身份验证。 我查看了各种解决方案（gitweb，gitorious ...），但找不到关于它们是否支持LDAP身份验证的确切答案。 我唯一可以找到一些信息的解决方案是Apache + mod_ldap设置。但这意味着在LDAP上进行身份验证的用户不一定与实际的git用户相同，对吗？（并不是说这是一个大问题，而只是会让我烦恼的事情。） 那么，通过LDAP验证git用户的最佳方法是什么？

15 ldap  git 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 7年前关闭。 似乎每个使用LDAP的商店都必须拼凑一些东西，以便用户重置密码而不会打扰IT员工。工作流程几乎总是像这样： 用户提供用户名（jblow） 电子邮件jblow @ company链接 用户点击链接，输入新密码 在后端，它对应于： Web表单获取用户名，将（用户名，唯一的大字符串）存储在数据库中，通过电子邮件将唯一的大字符串发送到username @ company 其他形式单击https：// site / pwreset / big唯一字符串，用于验证用户身份，更改其密码 对？那么，是否有人写了他们共享的其中之一？我宁愿使用一个比每个人似乎都要做的10分钟工作多一些思想的工作。 我对Sourceforge，Freshmeat等进行了快速搜索，但没有发现任何未被遗弃的东西。

15 ldap  password-management  password-reset 

我们为用户运行了几十个不同的MySQL服务器。它们使用MySQL的免费/开源版本，而不是商业版本。在这些服务器上管理帐户密码很麻烦。 是否有任何插件可以使我们使用LDAP来帮助管理MySQL特权？至少，我们希望从LDAP服务器获取一些用户名和密码。 我们正在使用MySQL 5.1和5.5。如果要实现此功能，我们可能愿意升级到MySQL 5.6。 我们希望任何工具都基于CLI，而不需要GUI或Web界面。

15 mysql  ldap  authentication 

我有一个规模虽小但正在增长的Linux服务器网络。理想情况下，我想在一个中央位置控制用户访问，更改密码等。我已经阅读了很多有关LDAP服务器的信息，但是我仍然对选择最佳的身份验证方法感到困惑。TLS / SSL是否足够好？Kerberos有什么好处？什么是GSSAPI？等等...我还没有找到明确的指南来说明这些不同方法的优缺点。谢谢你的帮助。

14 linux  authentication  ldap  kerberos  authorization