Questions tagged «openldap»

OpenLDAP软件是由OpenLDAP Project开发的轻型目录访问协议(LDAP)的免费开源实现。LDAP是一种独立于平台的协议,用于使用在TCP / IP上运行的目录服务来查询和修改数据。

12
您是一家开源商店。.如何进行共享日历?[关闭]
我运行一个开源协作套件,对此感到满意,我的用户群也对它感到满意……除了日历之外,其他所有功能都如此。这是一个严重的痛点,我正努力寻找解决方案。 我已经使用Courier + Postfix + Maildrop来接收电子邮件,并且XMPP / Jabber服务都支持OpenLDAP(公司目录也来自LDAP)。我唯一的症结是具有以下这些(看似简单)功能的不错的日历/计划程序包: LDAP整合 多平台支持(Windows,Linux和Mac) 授权(执行助理可以管理其执行者的日历,招聘人员可以在招聘经理的日历中安排会议) 管理“资源”(会议室,放映机等) 很高兴拥有: 网络界面 (臭名昭著的)忙/闲 Outlook / Palm“管道”同步到移动设备 易于管理:) 我不需要的是一个全新的协作堆栈(ala Zimbra,OpenXchange,Hula等)。我喜欢我的邮件设置,我喜欢我的Jabber设置。我只需要日历产品。我不希望有免费的(虽然,那会很好),我想要一些实际被别人感动的建议(我要求,我知道...),而不只是CalDav联盟网页上的列表。;) 我是唯一有这个问题的人吗?救命!:)
39 openldap  ical 

2
如何以最安全和正确的方式在Centos 6上配置LDAP以进行用户身份验证?
在过去的几天中,在浏览Internet以获得有关如何设置LDAP服务器的良好文档时,我一直使用很多F字。到目前为止,我什么都没有发现,但有很多不足,但好于坏。因此,我不得不按通常的Linux方式进行操作,即读取,测试,尖叫,读取,测试和尖叫。 我对LDAP服务器的目标是: 在服务器和客户端的Centos 6最低安装版本上安装LDAP。 以OpenLDAP开发人员预期的方式安装。 启用LDAPS,iptables,SELinux等来安全地安装LDAP。 在客户端上使用SSSD进行到LDAP服务器的“身份验证”连接。 我通常会自己回答这种问题,但我希望您对如何更好地进行安装提出建议。

4
如何通过命令行对LDAP进行身份验证?
LDAP服务器托管在Solaris上。客户是CentOS。通过LDAP的OpenLDAP / NSLCD / SSH身份验证可以正常工作,但是我无法使用ldapsearch命令来调试LDAP问题。 [root@tst-01 ~]# ldapsearch SASL/EXTERNAL authentication started ldap_sasl_interactive_bind_s: Unknown authentication method (-6) additional info: SASL(-4): no mechanism available: [root@tst-01 ~]# cat /etc/openldap/ldap.conf TLS_CACERTDIR /etc/openldap/cacerts URI ldap://ldap1.tst.domain.tld ldap://ldap2.tst.domain.tld BASE dc=tst,dc=domain,dc=tld [root@tst-01 ~]# ls -al /etc/openldap/cacerts total 12 drwxr-xr-x. 2 root root 4096 Jun 6 10:31 . drwxr-xr-x. …
35 centos  redhat  openldap  ldap 

2
如何在openldap服务器上配置反向组成员资格维护?(成员)
我目前正在将LDAP身份验证集成到系统中,我想限制基于LDAP组的访问。唯一的方法是通过搜索过滤器,因此我相信我唯一的选择是在搜索过滤器中使用“ memberOf”属性。据我了解,“ memberOf”属性是一个可操作的属性,只要为服务器上的任何“ groupOfNames”条目创建新的“ member”属性,服务器就可以为我创建。我的主要目标是能够向现有的“ groupOfNames”条目添加“成员”属性,并将匹配的“ memberOf”属性添加到我提供的DN中。 到目前为止,我已经实现了以下目标: 我对LDAP管理还很陌生,但是根据我在openldap管理指南中找到的内容,看起来反向组成员资格维护(又称为“ memberof overlay”)将完全达到我想要的效果。 我的服务器当前正在运行openldap 2.4.15的软件包安装(在ubuntu上扩展),该软件包使用“ cn = config”样式的运行时配置。我发现的大多数示例仍引用旧的静态配置“ slapd.conf”方法,并且我已尽力使配置适应新的基于目录的模型。 我添加了以下条目以启用memberof覆盖模块: 使用olcModuleLoad启用模块 cn=config/cn\=module\{0\}.ldif dn: cn=module{0} objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb olcModuleLoad: {1}memberof.la structuralObjectClass: olcModuleList entryUUID: a410ce98-3fdf-102e-82cf-59ccb6b4d60d creatorsName: cn=config createTimestamp: 20090927183056Z entryCSN: 20091009174548.503911Z#000000#000#000000 modifiersName: cn=admin,cn=config modifyTimestamp: 20091009174548Z 为数据库启用覆盖并允许其使用其默认设置(groupOfNames,member,memberOf等) cn=config/olcDatabase={1}hdb/olcOverlay\=\{0\}memberof dn: olcOverlay={0}memberof …
18 ldap  openldap 

1
LDAP结构:dc = example,dc = com vs o = Example
我对LDAP相对较新,并且看到了两种有关如何设置结构的示例。 一种方法是使基存在:dc=example,dc=com而其他示例使基存在o=Example。继续,您可以看到一个类似以下的组: dn:cn = team,ou = Group,dc = example,dc = com cn:团队 objectClass:posixGroup memberUid:user1 memberUid:user2 ...或使用“ O”样式: dn:cn = team,o = Example objectClass:posixGroup memberUid:user1 memberUid:user2 我的问题是: 是否有任何最佳实践规定使用一种方法胜过另一种方法? 您使用哪种样式只是喜好问题? 使用一个相对于另一个有什么好处吗? 一种方法是旧样式,一种是新的和改进版本吗? 到目前为止,我已经采用了这种dc=example,dc=com风格。社区可以就此提出的任何建议将不胜感激。
18 ldap  openldap 

2
使用TLS配置OpenLDAP =必需
如今,OpenLDAP的需要与的ldapmodify CN =配置来配置,如描述在这里。但无处可寻,您如何配置它以仅接受TLS流量。我刚刚确认我们的服务器接受未加密的流量(使用ldapsearch和tcpdump)。 通常,我只用IP表关闭非SSL端口,但是显然不赞成使用SSL端口,因此我没有那个选择。 因此,使用SSL配置命令,如下所示: dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem 是否有强制使用TLS的参数? 编辑:我尝试了olcTLSCipherSuite,但是它不起作用。调试输出: TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. Edit2(几乎固定):我可以通过加载来修复它: …
16 ldap  openldap  tls 

5
在Ubuntu上为WPA2设置RADIUS + LDAP
我正在为150个用户建立无线网络。简而言之,我正在寻找设置RADIUS服务器以针对LDAP验证WPA2的指南。在Ubuntu上。 我有一个可用的LDAP,但是由于它尚未投入生产,因此可以很容易地适应该项目可能需要的任何更改。 我一直在研究FreeRADIUS,但是任何RADIUS服务器都可以。 我们为WiFi提供了一个单独的物理网络,因此在这方面不必过多担心安全性。 我们的AP是HP的低端企业产品-它们似乎支持您能想到的一切。 所有Ubuntu服务器,宝贝! 和坏消息: 现在,我的知识不足,最终将接管我的工作,因此设置必须尽可能“平凡”。 到目前为止,我们的设置仅基于Ubuntu存储库中的软件,但我们的LDAP管理Web应用程序和一些小的特殊脚本除外。因此,没有“获取软件包X,untar,。/ configure”的东西是可以避免的。 更新2009-08-18: 虽然我发现了一些有用的资源,但仍然存在一个严重的障碍: Ignoring EAP-Type/tls because we do not have OpenSSL support. Ignoring EAP-Type/ttls because we do not have OpenSSL support. Ignoring EAP-Type/peap because we do not have OpenSSL support. 基本上,Ubuntu版本的FreeRADIUS不支持SSL(错误183840),这使所有安全的EAP类型无效。笨蛋 但是对任何感兴趣的人都有一些有用的文档: http://vuksan.com/linux/dot1x/802-1x-LDAP.html http://tldp.org/HOWTO/html_single/8021X-HOWTO/#confradius 更新2009-08-19: 我昨天晚上结束了自己的FreeRADIUS软件包的编译-http: //www.linuxinsight.com/building-debian-freeradius-package-with-eap-tls-ttls-peap-support.html上有一个非常好的食谱(请参阅有关帖子的评论以获取更新的说明)。 我从http://CACert.org获得了证书(如果可能,您可能应该获得“真实的”证书) 然后,我按照http://vuksan.com/linux/dot1x/802-1x-LDAP.html上的说明进行操作。这链接到http://tldp.org/HOWTO/html_single/8021X-HOWTO/,如果您想知道WiFi安全性如何工作,这是非常值得阅读的内容。 更新2009-08-27: 遵循上述指南后,我设法使FreeRADIUS与LDAP通讯: …
16 ubuntu  openldap  radius  wpa 

6
Active Directory与OpenLDAP
这适用于尚未实施任何集中式用户数据库的小型公司(12个开发人员)-他们已经有机成长,只是根据需要在计算机上创建了帐户。 从管理的角度来看,这是一场噩梦-10台计算机都具有不同的用户帐户。如果将用户添加到一台计算机,则需要将他们手动添加到所有其他用户(他们需要访问)上。这远非理想。向前发展并发展业务将意味着随着增加/雇用更多计算机/用户而成倍地增加工作量。 我知道,有些类型的集中用户管理的迫切需要。但是,我在Active Directory和OpenLDAP之间进行辩论。当前的两个服务器充当简单的备份和文件共享服务器,均运行Ubuntu 8.04LTS。这些计算机是Windows XP和Ubuntu 9.04的混合体。 我没有使用Active Directory的经验(或者说真正的OpenLDAP,但是我对Linux感到很满意),但是如果一种解决方案胜过另一种解决方案,那么我就可以保证学习到这一点。 前期成本并不是真正的问题,总拥有成本则是。如果Windows(我假设是SBS?)可以为我节省足够的时间来弥补前期成本的增加,那么我认为我应该采用该解决方案。 对于我的需求,我应该考虑实施哪种解决方案? 编辑:电子邮件托管在异地,因此不需要Exchange。

2
如何将LDAP(数据库,架构,配置)迁移到其他计算机
我正在使用openldap 2.4.40,我需要将现有的ldap数据库,配置和模式(基本上是与ldap服务器相关的所有内容)迁移到新计算机上。 问题是,我不再使用cn = config配置而不是旧的slapd.conf文件。 openldap和其他第三方网站提供的文档仅有助于迁移slapd.conf LDAP服务器,而不能迁移具有较新cn = config配置文件的LDAP服务器。 而且我还有新的架构(属性类型和对象类),有没有办法将它们尽可能容易地迁移到新机器上? 除了将配置手动一个接一个地手动重新添加到新计算机之外,我还需要其他方法。 这样做的目的是最有可能关闭旧机器。 TL; DR 是否有任何方法可以方便地将LDAP数据库,架构,配置从1个LDAP服务器迁移到新的LDAP服务器,以关闭旧计算机 谢谢。 *在下面发布答案 -朱利奥

6
LDAP管理的Web界面[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,以使其成为服务器故障的主题。 4年前关闭。 我们将在组织中实施LDAP进行集中身份验证。哪个是最好的简单LDAP管理工具?
16 linux  ldap  openldap 

3
为什么此ldapadd命令以“无效语法”错误退出?
我是openldap的新手,但精通Linux / unix环境。我正在尝试使用此处的指南设置我的第一个测试openldap环境。我也已经在这里阅读了大多数管理指南,我不得不承认,要学习的内容很多。 因此,按照ubuntu基本设置指南,我创建了一个ldif文件,如下所示: dn: ou=People,dc=example,dc=com objectClass: organizationalUnit ou: People dn: ou=Groups,dc=example,dc=com objectClass: organizationalUnit ou: Groups dn: cn=engineers,ou=Groups,dc=example,dc=com objectClass: posixGroup cn: engineers gidNumber: 5000 dn: uid=john,ou=People,dc=example,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: john sn: Doe givenName: John cn: John Doe displayName: John Doe uidNumber: 10000 gidNumber: 5000 userPassword: johnldap …
14 linux  ubuntu  openldap 

2
使用slapd.d配置的基本openldap设置
我试图建立一个测试openldap服务器,以前没有使用过openldap。我在基于redhat的计算机上使用标准的openldap-servers软件包(使用Oracle Linux)。我已经安装了软件包,并启动了服务器。 我现在不知道如何真正让服务器做一些有用的事情。我无法使用luma浏览该文件(尝试访问顶级条目时为“ No such object”),openldap文档对于您如何将服务器实际安装到基本正常工作状态以及所有在线信息都感到困惑用于旧的slapd.conf文件,而不是新的slapd.d和cn = config。 如何获得香草包装的openldap安装程序,在其中可以浏览luma的根dn?
14 openldap  slapd 

2
添加国家/地区时“没有全球高级知识”
我必须将organizationalunit这样的代码添加到新安装的OpenLDAP中(在Ubuntu 12.04上): dn: ou=MYREGION, ou=MYAPP, ou=GROUPS, o=myorganization, c=fr ou: MYREGION objectClass: top objectClass: organizationalunit 因此,由于它是一个新的LDAP,我认为我必须先添加fr国家/地区,然后创建该文件: dn: c=fr c: fr objectClass: top objectClass: country 现在,我尝试使用该命令将其导入(我没有该服务器的域): ldapadd -x -D cn=admin,dc=nodomain -W -f country_fr.ldif 但是OpenLDAP使用以下命令拒绝该命令: adding new entry "c=fr" ldap_add: Server is unwilling to perform (53) additional info: no global superior knowledge 有什么提示吗?
14 ldap  openldap  country 

2
SSH仅在故意使密码失败后才能使用
因此,我遇到了一个很奇怪的问题。我有一台服务器,当我尝试SSH进入时,如果我第一次尝试输入正确的密码,则会立即关闭连接。但是,如果我在第一次尝试时故意输入了错误的密码,然后在第二或第三次提示时输入了正确的密码,则它成功地将我登录到了计算机中。同样,当我尝试使用公共密钥身份验证时,我会立即获得关闭的连接。但是,如果我为密钥文件输入了错误的密码,然后在输入密码验证后又输入了另一个错误的密码,只要我在第二个或第三个提示符下输入正确的密码,我就可以成功登录。 该机器正在运行Red Hat Enterprise Linux Server 6.2版(圣地亚哥),并且正在使用LDAP和PAM进行身份验证。关于从哪里开始调试此脚本的任何想法?让我知道我需要提供哪些配置文件,我会很乐意这样做。 这是一些调试信息。以下代码块按顺序代表了这3种情况:1)首次尝试时更正私钥密码,2)跳过私钥,首次尝试时更正常规密码,3)跳过私钥,故意输入错误的密码,然后输入好的...这是让我真正联系起来的唯一方案。 OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to [removed for privacy]. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/home/trevor/.ssh/id_rsa" …

5
CentOS openLDAP证书信任问题
# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld ldap_start_tls: Can't contact LDAP server (-1) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. # openssl s_client -connect ldap.domain.tld:636 -CApath /etc/ssl/certs <... successful tls negotiation stuff ...> Compression: 1 (zlib compression) Start Time: 1349994779 Timeout …
12 centos  openldap  openssl  tls 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.