Questions tagged «ldap»

使用未积极维护且在2010年进行了最后一次修补且在生产环境中需要JDK6（也已过时）的OpenDS有多糟糕？ ）。 如果已经存在，通常是否值得花费时间和金钱来寻找替代品，运行集成测试等？对于生产中通常使用的过时软件，采取此步骤的通用标准是什么？

8 ldap  java  opends 

创建Python服务以查询AD属性 我正在将我们的AD与在Linux上运行Python的Web服务集成在一起，并使用基于SASL的Python-LDAP（DIGEST-MD5）查询AD 2012用户属性（部门，部门，电话分机，电子邮件等）。在针对AD 2003解决了我的服务特有的问题之后，针对新AD 2012遇到了SPN错误，即digest-uri与服务器上的任何SPN不匹配。我已经交叉引用了两个服务器的SPN列表，它们包含彼此相同的类似物。 错误：digest-uri与为此服务器注册的任何LDAP SPN不匹配 解决方法？ 这是通过运行解决的： setspn -A ldap/<Domain_Name> <Computer_Name> 请注意，即使运行以下命令，创建服务帐户也无法解决我的SPN错误： setspn -A ldap/<Domain_Name> <Domain_Name>/<Service_Account_Name> simple_bind_s（）不需要SPN，sasl_interactive_bind_s（）不需要SPN 仅使用sasl_interactive_bind_s（）将SPN添加到本地计算机SPN列表可用于我的Python-LDAP服务。我还应注意，如果我使用simple_bind_s（），则可以跳过SPN步骤，但是此方法以明文形式发送凭据，这是不可接受的。 但是我注意到该记录在消失之前仅在SPN列表上停留了大约一分钟？当我运行setspn命令时，没有错误，事件日志完全为空，在任何地方都没有重复项，通过在基础dn上的-F林范围搜索来检查，什么也没有。我已经添加并尝试重新添加，并从对象到对象之间移走了SPN，以验证它没有隐藏在任何地方，但是第二次我在任意位置添加了对象，然后尝试重新添加它通知我重复。因此，我非常有信心在某处没有任何重复项。 骇客 现在，我有一个计划任务，它重新运行该命令以将记录保留在列表中，因此我的服务将被恰当地命名为“ SPN Hack” cmd.exe /C "setspn -A ldap/<Domain_Name> <Computer_Name>" 直到我找出为什么从列表中清除SPN的原因。 我不是此特定AD的主要管理员，管理员能否运行正在运行的服务，该服务会将SPN与AD上的其他服务同步，并且不知道它？我的名字叫Web Developer，不是作为借口，而是为了解释我对Active Directory的无知。有人告诉我要使AD成为主用户数据库，我已经读了很多东西，但是我找不到任何地方出现人们对SPN定期“覆盖”或“清除”的问题，而且都没有管理员对SQLServer条目之外的SPN非常熟悉。 为什么需要骇客？ 到目前为止，我的骇客似乎并未对任何用户或服务造成任何问题，也未产生任何错误，因此管理员表示他将让其运行，我将继续寻找。但是后来我发现自己处于编写服务的不稳定状态，该服务的实现建立在该服务之上，本质上是cron hack / shiver ...因此，我们将不胜感激。 更新资料 与系统管理员交谈后，他同意在hack之上构建服务不是解决方案，因此他被授予我使用端点加密启动本地服务的权限，我可以将其用于我的目的，结果是一样的。我会密切注意导致SPN清除的原因。使用Python-LDAP本地绑定不是问题，并且本地服务仅在一个小时左右就已经启动并运行。不幸的是，我实际上包装了LDAP中内置的功能，但是我们要做的是要做。

8 active-directory  ldap  python  spn 

我在Debian 7.1（OpenLDAP 2.4.31）上安装了OpenLDAP，并且尝试设置memberof overlay。我的配置就像我在Internet上的很多站点上阅读的一样，但是，它仍然对我不起作用。 问题在于，仅在创建组时才更新实体的memberOf属性，而在修改或删除组时不更新实体的memberOf属性。实际上，这里曾经有人问过这个问题：如何在openldap服务器上配置反向组成员资格维护？（memberOf），但是即使将其检查为答案，我也无法在答案中找到任何可用的信息。（即使原始海报根据评论也无法对答案做任何事情...） 我的配置是这样的：cn = config / cn = module {0} .ldif dn: cn=module{0} objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb olcModuleLoad: {1}memberof structuralObjectClass: olcModuleList 对于模块：cn = config / olcDatabase = {1} hdb / olcOverlay = {0} memberof.ldif dn: olcOverlay={0}memberof objectClass: olcMemberOf objectClass: olcOverlayConfig olcOverlay: {0}memberof structuralObjectClass: …

8 ldap  openldap 

红帽建议我在/etc/nsswitch.conf中使用compat模式作为枚举LDAP用户的选项之一，但后来表示这不是一种常用的方法。 nsswitch.conf passwd: files compat passwd_compat: ldap in passwd file, add +@netgroup. 什么是兼容模式？

8 redhat  ldap  pam  pam-ldap  nsswitch.conf 

对于针对Active Directory DC进行身份验证的应用程序，显然最好将它们指向主域DNS记录，而不是将特定DC用于故障转移，负载平衡等。 那些迫使您对DC的IP进行硬编码的应用程序的最佳实践是什么？我们可以对负载均衡器的IP地址进行硬编码，因此，如果一个DC断开，该应用程序仍将能够进行身份验证。有更好的选择吗？

8 active-directory  load-balancing  ldap  authentication 

我正在对客户端的基于Linux的硬件防火墙进行故障排除。此硬件防火墙连接到ActiveDirectory以进行单点登录身份验证。 就我所知，ActiveDirectory只是largley的一个变态版本，并且使用相同的BindDN语法-如果我错了，请纠正我。 客户端已将其配置为它们的BindDN-出于隐私原因已替换了实际的字符串，但保留了特殊字符和空格。“ somerandomplace \ fubar fubaz” 对我来说，这似乎不是有效的BindDN语法，并且我以前使用过LDAP，但是当我们单击“测试”按钮来测试此BindDN时，测试成功。当我仅更改BindDN中的一个字符并再次运行测试时，测试将失败。 我正在尝试找出问题所在： A）我不完全了解BindND和相关语法的细微差别 要么 B）设备未正确验证输入，并且错误地将测试标识为成功

8 active-directory  ldap 

有什么喜欢nslookup或dig提供基于名称中包含的内容进行搜索的功能，例如通配符搜索或其他功能？ 我正在尝试为我们的帮助台团队使用GUI包装器编写一个小脚本。理想情况下，我希望他们能够搜索用户的姓氏（DNS记录中始终存在的名字），然后在下拉列表中填充可能的选项。 我无法找到一种有效的方法来解决nslookup *miller*…… Name: sf-jacobmiller.localdomain.com Address: 10.10.10.121 Name: sf-justinmiller.localdomain.com Address: 10.10.10.144 ..然后我可以将其解析为下拉菜单，以供他们选择。 我尚未研究可用的功能，ldapsearch哪些功能可以满足我的需求。我唯一的要求是，它已内置在OSX中，不需要安装其他任何东西，否则，我欢迎您提供的任何解决方案。谢谢

8 domain-name-system  query  nslookup  dig  ldap 

当然，我想将FreeNAS服务器配置为身份验证服务器（用户FreeNAS本地用户要身份验证到ubuntu客户端）和NAS服务器。我有Ubuntu作为客户端，它们通过DHCP / PXE引导，因此我可以快速配置它们。 我将在上面发布一个进程列表，[OK]表示该进程正在运行，[TODO]，您知道... 结构过程： [确定]客户请求提供IP ... [OK]我的防火墙答案是文件名“ pxelinuz.0”和我的FreeNAS的IP，该人提供TFTP，NFS和SMB。 [确定]客户端加载vmlinuz和initrd.lz，然后根据需要从NFS开始加载squashfs。 [ TODO ]我的FreeNAS应该通过SMB为LDAP或Active Directory DC提供服务，但是我不知道FreeNAS是否可以实现（我的问题之一）... [ TODO ]客户端必须通过FreeNAS的NFS或SMB挂载/ home。 [ TODO ]客户端应连接到FreeNAS并获取用户列表，以便他们可以登录。 我的目标是创建一个网络，在该网络中，我可以插入不同的计算机，并允许用户在需要时使用其个人计算机登录，访问其“主”文件，而始终无需在硬盘驱动器上更改操作系统。 PS：我可以轻松编辑squashf，我已经为此编写了脚本。

8 ubuntu  ldap  server-message-block  cifs  freenas 

关于Active和Open目录的互操作性的绝大多数问题都涉及到让Mac客户端查看AD并对其进行身份验证。 我们要做的是让Windows 7工作站完全针对Open Directory进行身份验证。我们尝试将其设置为NT4类型的PDC，但效果并不令人满意。 我们尝试使用pGina和LDAP后端，该后端允许进行身份验证，但不支持授权，因此，如果我们安装NFS共享，则用户有权执行他们认为该做的事情。对于安全性而言并不是理想的选择（实际上完全是流血的）。 我们尝试使用Samba服务器（比Open Directory Server更高的版本）作为中间设备，以使它了解OD Server上的LDAP服务器，但使用Samba 4而不是v3。那也不起作用。我们可以登录，但无法挂载，如果可以登录，我们拥有与pGina相同的权限。如果在Windows中右键单击已安装的驱动器，然后查看NFS UID，它将返回-2，而不是正确的（映射的）UID。 因此，我最终的计划是在Windows 2008R2虚拟机中使用Active Directory。我想要实现的是让Active Directory从OpenDirectory同步它的用户数据（只读就可以了）。这样，我们就可以将Windows 7客户端连接到“虚拟域”，该域实际上只是从OD的LDAP中获取信息。 我发现的所有信息都是关于如何走另一条路的。 有谁知道我们该怎么做？

8 active-directory  ldap  authentication  opendirectory  authorization 

只需在OSX上阅读有关LDAP损坏的Slashdot线程。谁能确切解释OpenLDAP所保护的内容以及为什么Lion机器上存储的数据以外的其他内容可能会受到威胁？ 文章引用： “作为笔测试人员，我们要做的第一件事就是攻击LDAP服务器，”审计公司Errata Security的首席执行官Rob Graham说。“一旦我们拥有LDAP服务器，我们便拥有了一切。我可以走到（组织内的）任何一台笔记本电脑上并登录。” 从黑客攻击随机的Mac LDAP服务器到拥有整个企业，该如何发展？

8 security  mac-osx  ldap 

我正在尝试将Windows 7 Ultimate计算机连接到Windows 2k8域，但无法正常工作。我收到此错误： 注意：此信息供网络管理员使用。如果您不是网络管理员，请通知管理员您已收到此信息，该信息已记录在文件C：\ Windows \ debug \ dcdiag.txt中。 已成功查询DNS以获取用于定位域“ example.local”的域控制器的服务位置（SRV）资源记录： 查询用于_ldap._tcp.dc._msdcs.example.local的SRV记录 该查询标识了以下域控制器： dc1.example.local dc2.example.local 但是，无法联系域控制器。 导致此错误的常见原因包括： 将域控制器的名称映射到其IP地址的主机（A）或（AAAA）记录丢失或包含不正确的地址。 在DNS中注册的域控制器未连接到网络或未运行。 客户位于通过MPLS远程连接到我们的域控制器所在的数据中心的办公室中。我似乎没有任何东西可以阻止与DC的连接，但是我对MPLS电路没有完全的控制权，因此可能存在某些阻止连接的问题。 我在一个办公室中尝试了多个客户端（Win7 Ultimate和WinXP SP3），并且在所有客户端上都得到相同的症状。 我可以毫无问题地连接到任何一个域控制器，尽管我没有尝试过所有可能的端口。ICMP，LDAP，DNS和SMB连接都可以正常工作。 客户端DNS指向DC，“ example.local”解析为DC的两个IP地址。 我从NetLogon测试命令行实用程序获得以下输出： C:\Windows\System32>nltest /dsgetdc:example.local Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN 我还创建了一个单独的网络来模拟通过LAN-to-LAN VPN（而不是MPLS）连接到DC网络的办公室配置。从该远程网络加入Windows 7计算机工作正常。 我可以在两个环境之间找到的唯一区别是中间连接性，但是我对要测试什么或如何做的想法不了解。我应该采取什么进一步的步骤？ （请注意，这实际上不是我的客户端工作站，我无法直接访问它；我被迫对它进行远程手动访问，这使一些明显的故障排除方法（如数据包嗅探）变得更加困难。如果我可以在那里建立一个我可以远程访问的系统，但是对此的请求未得到答复。） 2011-08-25更新： 我曾DCDIAG.EXE在尝试加入域的客户端上运行： C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local …

8 windows-server-2008  windows-7  ldap  active-directory 

我正在尝试在Jenkins中使用基于角色的安全性插件，但我不起诉我是否正确使用了它。 我决定将jenkin自己的用户数据库（而不是LDAP）用作安全领域。我正在逐一添加用户。 现在，在“分配角色”屏幕中，我具有全局角色，如管理员，只读等...，而我具有项目特定的角色，如prod_a_developer，prod_b_developer ... 对于每个用户，我是否既要为其分配全局角色之一，又要分配特定的项目角色？ 另外，如何将用户分配给组？而不是为每个用户分配一个全局角色，我想为一个组分配一个全局角色。 不那么琐碎， 有人可以帮帮我吗 ？ 谢谢。

8 ldap  hudson  jenkins 

我正在尝试设置Trac以通过Debian（Lenny）服务器上的LDAP插件授权用户。 LDAP似乎工作正常，我可以通过以下方式成功查询： ldapsearch -vLx -h 127.0.0.1 -b "dc=example, dc=com" "(sn=mysurname)" 并且，如果我有意破坏了我的Apache LDAP地址设置，我会在/var/log/apache2/error.log中看到错误。 2010-08-27 17:19:38,909 Trac[api] WARNING: LDAP error: No such object (dc=examplefoo,dc=com) 当我访问http://example.com:8022/trac并单击登录按钮时，会弹出身份验证窗口（再次确认LDAP正在启动），但是，当我输入正确的用户名/密码时，我只会得到Trac网站页面： Trac Error Authentication information not available. Please refer to the installation documentation. TracGuide — The Trac User and Administration Guide 日志同样无济于事（忽略svn错误，我知道）： 2010-09-01 14:25:30,553 Trac[api] DEBUG: NEEDS UP?: …

8 apache-2.2  ldap  trac 

我正在工作的公司正在着手用LDAP替换当前本地开发的NIS / YP结构。 我们已经在Windows内部安装了AD，并且希望考虑使用AD系统。AD人士有严格的限制，不支持广泛的修改。 我们需要具有替代品，包括对NIS / YP套件的全部功能的支持，包括网络组，特定用户或特定用户组对特定服务器的登录限制，* nix和Windows环境之间的一致密码等。我们的环境是Linux（suse，RH，Debian），Sun，IBM，HP和MPRAS以及NETAPP的混合体。因此，无论我们使用什么，都必须完全包容所有环境。 我们已经看过类似的内容，但是我们的管理层希望将其他选择与之比较。 我还要看什么其他东西，您对替代方案有何评价？ 谢谢

8 linux  unix  ldap  nis  active-directory 

什么是apache directory studio等其他最好的realblie软件？

8 apache-2.2  windows  ldap