Questions tagged «ldap»

我有一些使用Windows Active Directory身份验证的Linux机器，可以正常工作（Samba + Winbind）。 我现在想做的只是只允许某些人或某些组使用Active Directory凭据登录。当前，具有有效AD帐户的任何人都可以登录。我想将其限制为仅几个组。这可行吗？

14 linux  active-directory  samba  ldap  winbind 

我希望某些PAM / LDAP专家可以在这里为我提供帮助。我最近在Ubuntu Server上设置了一个LDAP目录，以同时为我的客户端（用于基于Web的系统）和工作人员（需要通过SSH登录）保留帐户。 LDAP身份验证运行正常。但是我无法使用帐户限制：员工帐户将具有ID之间的ID 2001，2999并且将成为该ssh-users组的成员以允许他们登录服务器。 有问题的限制是/etc/ldap.conf，和是pam_min_uid，pam_max_uid和pam_groupdn。 pam_groupdn包含我ssh-users组的完整DN 。 pam_min_uid= 2000和pam_max_uid= 2999。 现在，我设法通过添加以下内容使它们工作： account [success=1 default=ignore] pam_ldap.so 上面的pam_unix.so在线/etc/pam.d/common-account。但是，本地Unix帐户然后将无法登录：SSH服务器会在尝试后立即终止连接。 我已经在上面的文件中将pam_ldap.so模块设置为sufficient，但是无效的用户会收到一条消息，指出他们无法登录，但是无论如何它都会登录。 因此，如何在仍允许UNIX用户登录的同时为LDAP用户设置这些帐户限制？ 您可能会猜到我是PAM的新手，尽管我设法使“自动创建主目录”模块起作用了:-) 非常感谢，安迪

14 ubuntu  ldap  pam 

我的linux服务器正在尝试建立与全局编录服务器的LDAPS连接，并且该连接被丢弃（大概是在GC端）。 出于讨论目的，假设1.1.1.1是Linux服务器，而1.2.3.4是全局编录服务器。 如果尝试telnet在Linux机器上使用，则会看到： [root@foobox ~]# telnet gcfoo.exampleAD.local 3269 Trying 1.2.3.4... Connected to gcfoo.examplead.local. Escape character is '^]'. Connection closed by foreign host. 在第4行和第5行之间没有延迟。它只是立即断开连接。 我认为telnet结果可能有点误导（因为它实际上不适用于任何类型的安全通信），所以我从设备（使用需要LDAPS的实际程序）收集了实际连接尝试的数据包捕获。 这是我所看到的（再次，IP和源端口已重命名以保护无辜者）： No. Time Source Destination Protocol Length Info 1 0.000000 1.1.1.1 1.2.3.4 TCP 66 27246 > msft-gc-ssl [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SAC_PERM=1 WS=128 2 0.000162 …

14 ldap  tcp  tcpip 

我正在通过slapd.conf搜索一个结果数量比当前设置的sizelimit大得多的LDAP目录，因为slapd.conf不能更改所有意图和目的） 我的想法是继续运行ldapsearch，但每次都要使用不同的偏移量（501、1001等），直到获得所有结果。 我看过ldapsearch的手册页，似乎可以使用-E选项为您处理： -E [!]<ext>[=<extparam>] search extensions (! indicates criticality) [!]domainScope (domain scope) [!]mv=<filter> (matched values filter) [!]pr=<size>[/prompt|noprompt] (paged results/prompt) [!]subentries[=true|false] (subentries) [!]sync=ro[/<cookie>] (LDAP Sync refreshOnly) rp[/<cookie>][/<slimit>] (LDAP Sync refreshAndPersist) 所以我试着： ldapsearch -h $HOST -p $PORT -x -L -b "$BASE" '*' '+' -E pr=$SIZE 但是，当结果（例如，大小为50的分页结果）达到500时，我将得到与未分页结果相同的错误： Size limit exceeded (4) 我已经在手册页中看到了virtuallistview的另一种选择，但一直无法找到示例，而且我也不认为我的ldapsearch版本具有该选项。 …

14 ldap 

我必须将organizationalunit这样的代码添加到新安装的OpenLDAP中（在Ubuntu 12.04上）： dn: ou=MYREGION, ou=MYAPP, ou=GROUPS, o=myorganization, c=fr ou: MYREGION objectClass: top objectClass: organizationalunit 因此，由于它是一个新的LDAP，我认为我必须先添加fr国家/地区，然后创建该文件： dn: c=fr c: fr objectClass: top objectClass: country 现在，我尝试使用该命令将其导入（我没有该服务器的域）： ldapadd -x -D cn=admin,dc=nodomain -W -f country_fr.ldif 但是OpenLDAP使用以下命令拒绝该命令： adding new entry "c=fr" ldap_add: Server is unwilling to perform (53) additional info: no global superior knowledge 有什么提示吗？

14 ldap  openldap  country 

抱歉-我并不是Windows系统管理员，只是试图通过Java中的LDAP交互来解决问题。 我在distinguishedName中找到大量带有“ DEL：”的对象。这些孤立的项目正在等待垃圾回收吗？如何删除它们？我无法通过ADUC真正找到它们，但可以通过Java LDAP找到它们。

13 windows-server-2008  active-directory  ldap  domain-controller 

因此，我遇到了一个很奇怪的问题。我有一台服务器，当我尝试SSH进入时，如果我第一次尝试输入正确的密码，则会立即关闭连接。但是，如果我在第一次尝试时故意输入了错误的密码，然后在第二或第三次提示时输入了正确的密码，则它成功地将我登录到了计算机中。同样，当我尝试使用公共密钥身份验证时，我会立即获得关闭的连接。但是，如果我为密钥文件输入了错误的密码，然后在输入密码验证后又输入了另一个错误的密码，只要我在第二个或第三个提示符下输入正确的密码，我就可以成功登录。 该机器正在运行Red Hat Enterprise Linux Server 6.2版（圣地亚哥），并且正在使用LDAP和PAM进行身份验证。关于从哪里开始调试此脚本的任何想法？让我知道我需要提供哪些配置文件，我会很乐意这样做。 这是一些调试信息。以下代码块按顺序代表了这3种情况：1）首次尝试时更正私钥密码，2）跳过私钥，首次尝试时更正常规密码，3）跳过私钥，故意输入错误的密码，然后输入好的...这是让我真正联系起来的唯一方案。 OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to [removed for privacy]. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/home/trevor/.ssh/id_rsa" …

13 ssh  ldap  authentication  openldap  pam 

我很受宠若惊，并一直使用eDirectory进行LDAP的大部分工作，eDirectory有一个名为DSTrace的实用程序，它非常可爱，特别是对于LDAP，它将向您显示所有的绑定尝试，源IP，传入的搜索，摘要返回的匹配对象。 在调试诸如SAP GRC之类的LDAP应用程序时，仅通过观察应用程序的执行情况，我就能够弄清楚该应用程序做错了什么。 我知道安全事件日志将包含一些此类信息（至少是绑定尝试），但是必须有更好的方法吗？有没有这样的功能？ 我看到一个问题“ 调试AD”已结束，但仅建议登录事件。我每天需要更多的资源来管理LDAP应用程序。

13 active-directory  ldap  trace 

我正在配置一个系统，其中所有IT资源都可以通过一个用户密码对访问，无论是访问服务器上的Shell，登录Samba域，WiFi，OpenVPN，Mantis等（访问受特定服务约束的访问权限）通过组成员身份或用户对象字段）。因为我们的网络中有个人数据，所以我们需要按照欧盟数据保护指令（或更确切地说是波兰语版本）实施密码时效。 问题在于LDAP中的Samba和POSIX帐户使用不同的密码哈希和老化信息。虽然同步密码本身是很容易（在ldap password sync = Yes中smb.conf），添加密码老化进来休息的事情：桑巴不更新shadowLastChange。一起obey pam restrictions = Yes创建一个Windows用户不能更改老化密码的系统，但是如果我不使用它，将不会自动创建主目录。替代方法是使用使用LDAP扩展操作来更改密码，但是smbk5pwd模块也未对其进行设置。更糟糕的是，OpenLDAP维护者不会更新/接受补丁程序，因为此字段被认为已弃用。 因此，我的问题是，最佳解决方案是什么？它们的优点和缺点是什么？ 使用LDAP ppolicy和内部LDAP密码老化？ 与NSS，PAM模块，samba，其他系统配合使用时效果如何？ 是否需要以特殊方式配置NSS和PAM模块才能使用ppolicy，而不是影子？ GOsa²是否适用于政策？ 还有其他管理工具可以与ppolicy启用LDAP一起使用吗？ 整理一个更改密码脚本，以更新LDAP中的字段。（使用户自己可以在不更改密码的情况下更新该字段）

13 domain  authentication  samba  ldap  pam 

这一直困扰着我一段时间。 我们都知道Active Directory是LDAP数据库。 我们还知道，Windows DNS服务在域控制器上运行时可以将其数据存储在AD中，而不是在纯文本区域文件中存储，从而利用AD自动复制的优势并消除了对主DNS服务器和辅助DNS服务器的需求。 问题是：DNS数据实际存储在Active Directory中的什么位置以及如何存储？ 可以使用LDAP工具（例如ADSIEdit）访问它们吗？ 是否有任何DNS条目是实际的LDAP对象？ 对象中的属性？ 完全不同吗？

13 domain-name-system  active-directory  database  ldap  schema 

很难说出这里的要求。这个问题是模棱两可，含糊，不完整，过于宽泛或夸张的，不能以目前的形式合理地回答。如需帮助澄清此问题以便可以重新打开， 请访问帮助中心。 8年前关闭。 有没有办法Ping和ldap服务器？我见过ldapsearch和ldapwhoami，但希望能更喜欢ping。本质上，我们在选择的LDAP服务器前面有一个bip地址，并希望确认我们要连接的服务器。

13 active-directory  ldap 

我正在个人VPS上设置LDAP身份验证，Ubuntu有两个用于相同目的的软件包：libpam-ldap和libpam-ldapd。我应该使用哪个？

13 ubuntu  debian  authentication  ldap  pam 

Active Directory用户对象包括许多可以视为标识符的字段。下面列出了其中一些标签及其在ADUC中的标签及其属性名称： 全名-cn ？- 名称 用户sAMAccountName登录-sAMAccountName 用户UPN登录：userPrincipalName ？- 专有名称 我试图让我们的开发人员在编写针对AD进行身份验证的自定义代码时仅使用其中之一进行标准化-问题是我不确定哪一个是“正确的”代码，或者如果不同的代码是正确的代码情况。我什至不确定要使用上述任何字段！ 有没有其他人选择使用它，是什么影响了您的决定？有任何文件可以澄清问题吗？

12 active-directory  ldap  authentication 

我在Windows Server 2003盒子上有一组私有Subversion存储库，开发人员可以通过svn：//协议通过SVNServe访问。目前，我们一直在使用每个存储库的authz和passwd文件来控制访问，但是随着存储库和开发人员的数量不断增加，我正在考虑使用ActiveDirectory中的凭据。我们在一家全Microsoft商店中运行，并且在所有Web服务器上使用IIS而不是Apache，因此，如果可能的话，我希望继续使用SVNServe。 除了可能之外，我还担心如何迁移我们的存储库，以便现有用户的历史记录映射到正确的ActiveDirectory帐户。还请记住，我不是网络管理员，并且对ActiveDirectory并不陌生，因此如有必要，我可能必须经过其他人员才能在ActiveDirectory中进行更改。 我有什么选择？ 更新1：从SVN文档中可以看出，通过使用SASL，我应该能够使SVNServe使用ActiveDirectory进行身份验证。澄清一下，我正在寻找的答案是如何配置SVNServe（如果可能）以使用ActiveDirectory进行身份验证，然后如何修改现有存储库以将现有svn用户重新映射到其ActiveDirectory域登录帐户。 更新2：似乎SVNServe中的SASL支持基于插件模型起作用，并且该文档仅作为示例显示。从Cyrus SASL库看，它似乎支持多种身份验证“机制”，但是我不确定用于ActiveDirectory支持的是哪一种，也无法找到有关此类问题的任何文档。 更新3：好了，好了，它看起来像，以便与ActiveDirectory中我沟通在找使用saslauthd而不是sasldb的为auxprop_plugin财产。不幸的是，根据某些帖子（可能是过时和不准确的），saslauthd似乎无法在Windows上构建，并且这种努力被视为正在进行中。 更新4：我在此主题上找到的最新文章听起来似乎可以通过MIT Kerberos库获得适当的二进制文件（），但这听起来像是这篇文章的作者在Nabble.com上仍存在问题，无法正常工作。 更新5：从TortoiseSVN讨论以及svn.haxx.se上的帖子看来即使sas​​lgssapi.dll或任何必需的二进制文件在Windows服务器上可用并已配置，客户端也将需要相同的自定义才能使用这些存储库。如果是这样，则只有在对这些客户端进行了更改（例如TortoiseSVN和客户端二进制文件的CollabNet构建以支持此类身份验证方案）的情况下，我们才能从Windows客户端获得ActiveDirectory支持。尽管这是这些帖子的建议，但这与我最初从其他阅读中得出的假设是矛盾的，因为与SASL兼容应该不需要在客户端上进行任何更改，而只需设置服务器以处理身份验证机制即可。在仔细阅读Subversion中有关Cyrus SASL的文档后第5节指出：“只要支持的至少一种机制也受客户端支持，具有Cyrus SASL支持的1.5+客户端将能够针对启用了SASL的1.5+服务器进行身份验证。” 因此，显然必须在客户端和服务器内提供GSSAPI支持（我知道Active Directory必需）。 我不得不说，我对Subversion如何处理身份验证的内部知识的了解比我想了解的要多。不幸的是，我只是在寻找有关在Windows服务器上使用SVNServe并从Windows客户端访问它时是否可以使用Active Directory身份验证支持的答案。根据官方文档，这似乎是有可能的，但是您可以看到，即使有可能，配置也不是一件容易的事。 更新：6：由于Subversion 1.7的开发工作即将结束，因此有人可以在使SVNServe使用Active Directory进行身份验证的情况下添加有关Subversion 1.7是否会有所改善的信息吗？

12 windows  active-directory  svn  ldap  svnserve 

我一直在考虑mod_auth_kerb在内部Web服务器上进行部署以启用SSO。我可以看到的一个明显问题是，这是一种全有或全无的方法，您的所有域用户都可以访问一个站点或不能访问该站点。 是否可以mod_auth_kerb与诸如mod_authnz_ldap在LDAP中检查特定组中的组成员身份之类的组合使用？我猜该KrbAuthoritative选项与此有关吗？ 另外，据我了解，该模块将用户名设置为username@REALM经过身份验证之后，但是当然，在目录中，用户仅作为用户名存储。此外，我们运行的某些内部站点（例如trac）已经具有链接到每个用户名的用户个人资料。是否有办法解决此问题，也许是通过某种方式在认证后剥离领域位？

12 apache-2.2  ldap  kerberos  single-sign-on