我们在运行活动目录的公司网络上,我们想测试一些 LDAP 内容(实际上是活动目录成员资格提供程序),到目前为止,我们都无法弄清楚我们的 LDAP 连接字符串是什么。有谁知道我们如何才能找到它?我们唯一知道的是我们所在的域。
想要一种通过 LDAP 进行 SSH 密钥身份验证的方法。
我们将 LDAP (slapd) 用于目录服务,并且我们最近转向使用我们自己的 AMI 来构建实例。AMI 位很重要的原因是,理想情况下,我们希望能够在实例运行后立即通过密钥身份验证使用 SSH 登录,而不必等待我们有点慢的配置管理工具启动要添加的脚本实例的正确密钥。
理想的情况是,在将用户添加到 LDAP 时,我们也添加了他们的密钥,他们可以立即登录。
密钥身份验证是必须的,因为基于密码的登录既不安全又麻烦。
我读过这个问题,它表明有一个名为 OpenSSH-lpk 的 OpenSSH 补丁来执行此操作,但 OpenSSH 服务器不再需要 >= 6.2
添加了 sshd_config(5) 选项 AuthorizedKeysCommand 以支持除了(或代替)从文件系统之外,还支持从命令中获取 authorized_keys。该命令在 AuthorizedKeysCommandUser sshd_config(5) 选项指定的帐户下运行
如何配置 OpenSSH 和 LDAP 来实现这一点?
如何检查从客户端到服务器的 LDAP 连接。我正在处理 LDAP 身份验证,此客户端桌面需要通过 LDAP 服务器进行身份验证。我可以使用 LDAP 用户通过 SSH 连接到 LDAP 服务器,但是在桌面登录提示中,我无法登录。它说身份验证失败。
客户端机器有 Cent OS 6.3,LDAP 服务器有 Cent OS 5.5
LDAP 软件是 Openldap。
LDAP 服务器日志甚至不显示任何消息。
那么,如何测试客户端是否可以成功连接到LDAP。
对于 Linux,此命令应返回 LDAP 服务器的 DNS 记录
host -t srv _ldap._tcp.DOMAINNAME
(在Authenticating from Java (Linux) to Active Directory using LDAP WITHOUT servername 中找到)
如何使用 nslookup 在 Windows 命令行上获得相同的结果?
我试过
nslookup -type srv _ldap._tcp.DOMAINNAME
LDAP 服务器托管在 Solaris 上。客户端是 CentOS。通过 LDAP 的 OpenLDAP/NSLCD/SSH 身份验证工作正常,但我无法使用 ldapsearch 命令来调试 LDAP 问题。
[root@tst-01 ~]# ldapsearch
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available:
[root@tst-01 ~]# cat /etc/openldap/ldap.conf
TLS_CACERTDIR /etc/openldap/cacerts
URI ldap://ldap1.tst.domain.tld ldap://ldap2.tst.domain.tld
BASE dc=tst,dc=domain,dc=tld
[root@tst-01 ~]# ls -al /etc/openldap/cacerts
total 12
drwxr-xr-x. 2 root root 4096 Jun 6 10:31 .
drwxr-xr-x. 3 root root 4096 Jun 10 10:12 ..
-rw-r--r--. 1 root root 895 Jun 6 10:01 cacert.pem
lrwxrwxrwx. 1 root root 10 …在过去的几天里,我一直在使用很多 F-words,同时浏览 Internet 以获取有关如何设置 LDAP 服务器的良好文档。到目前为止,我没有发现任何东西,但有很多不如好,但比坏好。所以我不得不按照通常的 Linux 方式来做,阅读、测试、尖叫、阅读、测试和尖叫。
我对 LDAP 服务器的目标是:
这是我通常自己回答的那种问题,但我会很感激有关如何更好地进行安装的建议。
2014 年关于 Linux 服务器和现代Windows Server 操作系统(以 CentOS/RHEL 为重点)的Active Directory 身份验证/集成的共同智慧是什么?
自从我 2004 年第一次尝试集成以来,多年来,围绕这方面的最佳实践似乎已经发生了变化。我不太确定哪种方法目前具有最大的动力。
在现场,我见过:
Winbind/Samba
直接LDAP
有时 LDAP + Kerberos
Microsoft Windows Services for Unix (SFU)
Microsoft Identity Management for Unix
NSLCD
SSSD
FreeIPA
Centrify
Powerbroker(同样 née)
Winbind 总是看起来很糟糕而且不可靠。Centrify 和 Likely 等商业解决方案总是有效,但似乎没有必要,因为此功能已融入操作系统。
我完成的最后几次安装将Microsoft Identity Management for Unix角色功能添加到 Windows 2008 R2 服务器和 Linux 端的 NSLCD(对于 RHEL5)。这在 RHEL6 之前一直有效,在那里缺乏对 NSLCD 的维护和内存资源管理问题迫使对 SSSD 进行更改。Red Hat 似乎也支持 SSSD 方法,所以这对我来说很好用。
我正在使用新安装,其中域控制器是 Windows 2008 R2核心系统,并且无法添加 Unix 角色功能的身份管理功能。而且我被告知 …
如何在 Scientific Linux 上获得 ldapsearch?
我正在尝试为 Scientific Linux 查找 ldapsearch 客户端,但找不到如何安装客户端以执行 LDAP 查询。
我看到了大量允许 Google Apps 使用外部 AD 和 LDAP 服务进行登录的解决方案。
但是,我已经在 Google Apps 中设置了大量用户,而我正试图反其道而行之。也就是说,我希望允许用户使用我在 Google Apps 中创建的帐户登录我的外部服务器。
有没有人成功发现将 Google Apps 域用作 Open Directory、Active Directory 或 LDAP 提供程序的方法?
我已经编写了各种连接到 LDAP 服务器并运行查询的代码,但对我来说一直都是巫术。我不太明白的一件事是绑定 DN 的概念。下面是一个使用ldapsearchopenldap 提供的命令行工具的示例。(忽略缺少身份验证。)
ldapsearch -h 1.2.3.4 -D dc=example,dc=com [query]
这部分的目的和功能是-D dc=example,dc=com什么?为什么我们需要绑定到目录层次结构中的特定位置?是否要确定我的查询应应用于目录的哪一部分?例如,如果目录的根节点是dc=com,并且它有两个子节点(dc=foo和dc=bar),也许我希望我的查询针对dc=foo,dc=com子树而不是dc=bar,dc=com子树?