标签: ldap

我们希望向我们的 (Win 2003) AD 层次结构添加一些逻辑结构。我们有一个域和大约 500 个用户。当前，所有用户和计算机都组织到一个 OU 中。所有安全组和通讯组都在第二个 OU 中。组成员资格本质上是基于个人用户的，没有组的嵌套。

我的问题：

1. 对于这种规模的组织，是否值得根据部门、地理和/或对象类（即计算机、用户、组）设计 OU 的层次结构并将用户、计算机和组移动到相关的 OU 中？
2. 如果是这样，您将如何构建层次结构，例如部门-> 位置-> 对象类？
3. 我们是否应该在适当的情况下嵌套组，以便更好地映射到企业应用程序角色和 Exchange 地址条目？

我在一家公司担任系统管理员，我需要部署 openLDAP。我已经阅读了很多材料，但我真的不知道从哪里开始。

先说说公司：

服务：

1. 电子邮件：每个用户都会获得一个电子邮件帐户，例如 firstname.middlename.anothername.lastname@company.com 和格式为 firstname@company.com 或有时 [First-letter-of-first-name]lastname@ 的电子邮件别名/转发器comant.com
2. Jabber：每个用户都会获得一个格式为 firstname@jabber.company.com 的 jabber 帐户。在某些情况下，如果名称冲突，这将成为 firstname.lastname。
3. Trac 和 Redmine：每次使用都会获得通常是他的名字的 trac 和 redmine 帐户。
4. timetrex 登录为名字或名字。
5. 一台机器登录，名字。
6. 邮件列表的成员，例如 all@company.com、management@company.com、accounts@company.com 等。
7. MediaWiki 帐户，同样与电子邮件别名/转发者的格式相同。
8. 与电子邮件别名/转发器格式相同的部署服务器之一上的 ssh 帐户。

我认为我应该做的：我应该使用 inetOrgPerson 并为我们的组织创建自定义方案。我不确定的是我如何管理这么多不同的登录，以及如何尊重软件知道使用哪个登录。我编写了一个可以存储以下信息的自定义方案：

• 全名
• 电话
• 细胞
• 地址
• 城市
• 国家
• 部门
• 加入

有人会指出我正确的方向吗？我已经浪费了很多时间搜索它，但无法想出任何东西......真的很感谢你花时间阅读这个问题。

突然，昨天，我的一台 apache 服务器无法连接到我的 LDAP (AD) 服务器。我在该服务器上运行了两个站点，当用户登录到任一站点时，这两个站点都使用 LDAP 对我的 AD 服务器进行身份验证。两天前它一直运行良好。由于未知原因，截至昨天，它停止工作。错误日志只说：

auth_ldap authenticate: user foo authentication failed; URI /FrontPage [LDAP: ldap_simple_bind_s() failed][Can't contact LDAP server], referer: http://mysite.com/

我想也许我的自签名 SSL 证书已经过期，所以我为 mysite.com 创建了一个新证书，但不是为服务器主机名本身创建的，问题仍然存在。我启用了调试级别的日志记录。它显示了与 LDAP 服务器的完整 SSL 事务，直到最后我收到“无法联系 LDAP 服务器”消息时，它似乎都没有错误地完成。我可以在这台服务器上从命令行运行 ldapsearch，我可以登录它，它也使用 LDAP，所以我知道服务器可以连接和查询 LDAP/AD 服务器。只有apache无法连接。

谷歌搜索没有结果，所以我在这里问。任何人都可以提供有关此问题的见解吗？

这是 apache 配置中的 LDAP 部分：

<Directory "/web/wiki/">
    Order allow,deny
    Allow from all
    AuthType Basic
    AuthName "Login"
    AuthBasicProvider ldap
    AuthzLDAPAuthoritative off
    #AuthBasicAuthoritative off
    AuthLDAPUrl ldaps://domain.server.ip/dc=full,dc=context,dc=server,dc=name?sAMAccountName?sub
    AuthLDAPBindDN cn=ldapbinduser,cn=Users,dc=full,dc=context,dc=server,dc=name
    AuthLDAPBindPassword password
    require valid-user
</Directory>

我正在尝试在使用 slapd 2.4.18 版的 ubuntu 9.10 上设置 OpenLDAP 服务器。

初始化并填充新的 hdb 数据库后，一切似乎都正常，但我无法让服务器返回根 DSE。跑步

ldapsearch -x -W -D 'cn=manager,dc=example,dc=org' \
    -b '' -s base '(objectclass=*)' +

刚回来

# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectclass=*)
# requesting: +
#

# search result
search: 2
result: 0 Success

# numResponses: 1

我的 hdb 数据库 ACL 设置如下：

olcAccess: to attrs=userPassword,shadowLastChange
  by self write
  by anonymous auth
  by dn.base="cn=manager,dc=example,dc=org" write
  by * none
olcAccess: to dn.base=""
  by …

我有一个个人 GMail 帐户，我经常通过该帐户向特定业务的许多不同用户发送电子邮件。该公司非常友好地为我提供了访问他们的 LDAP 服务器的凭据，我希望我的 GMail Web 客户端能够自动完成该 LDAP 服务器具有条目的部分地址或名称。

有什么办法可以获得个人 GMail 帐户（或相应的整个 Google 帐户）帐户以将 LDAP 服务器合并到其通讯录中？

如果我不能让它动态和按需查询，是否有一种愚蠢的方法（假设客户端允许，他们可能不会）来查询 LDAP 服务器的整个数据库，保存它，然后将其批量导入 GMail ? 也许，甚至，我可以设置定期（每周，也许）重复的事情，而无需人工干预？

如果我选择后者，我认为将所有这些联系人导入到一个可以从基于 Web 的 GMail 客户端中轻松操作的单一类别下是微不足道的。

自从 GMail 基于 Web 的客户端实例化以来，我一直是它的忠实用户和支持者，但这对我来说是一种破坏。如果不可能，你建议我做什么？

我们在 Apache 2.2.9（在 Debian 5.0、2.2.9-10+lenny7 中提供）中使用 mod_authnz_ldap 和 mod_authn_alias 来验证多个 Active Directory 域以托管 Subversion 存储库。我们目前的配置是：

# Turn up logging
LogLevel debug

# Define authentication providers
<AuthnProviderAlias ldap alpha>
  AuthLDAPBindDN "CN=Subversion,OU=Service Accounts,O=Alpha"
  AuthLDAPBindPassword [[REDACTED]]
  AuthLDAPURL ldap://dc01.alpha:3268/?sAMAccountName?sub?
</AuthnProviderAlias>

<AuthnProviderAlias ldap beta>
  AuthLDAPBindDN "CN=LDAPAuth,OU=Service Accounts,O=Beta"
  AuthLDAPBindPassword [[REDACTED]]
  AuthLDAPURL ldap://ldap.beta:3268/?sAMAccountName?sub?
</AuthnProviderAlias>

# Subversion Repository
<Location /svn>
  DAV svn
  SVNPath /opt/svn/repo
  AuthName "Subversion"
  AuthType Basic
  AuthBasicProvider alpha beta
  AuthzLDAPAuthoritative off
  AuthzSVNAccessFile /opt/svn/authz
  require valid-user
</Location>

对于同时拥有 Alpha 和 Beta 帐户的用户，我们遇到了问题，尤其是当他们的 Alpha 帐户已过期（但仍然存在；公司政策是帐户的有效期至少为 1 年）。例如，当用户x（在Alpha中已过期，在Beta中为有效账户）时，Apache错误日志报告如下：

[Tue …

什么是其他最好的和真实的软件，如 apache directory studio？

LDAP 使用 posixAccount 架构和相关属性，我想知道是否有禁用帐户的标准化方法。重新启用该帐户显然应该重新启用以前的密码。

我知道passwd --lock在/etc/passwd. 相同的约定是否适用于 LDAP 条目的 userPasswd 字段？

更新：我知道下面的 PAM/NSS，我的问题是专门针对 LDAP 服务器的。一旦帐户被锁定，我希望用户无法打开到 LDAP 服务器本身的经过身份验证的连接（使用他自己的凭据）。这是因为一些服务使用成功的 LDAP 身份验证连接作为简单的身份验证机制，而不使用 PAM 来完成此任务（这在 Web 界面中很常见）。

我想弄清楚如何使用 Windows Server 2008 R2 作为 Linux 客户端的 LDAP 服务器。

理想情况下，用户应该能够通过针对 AD 的 pam_ldap 身份验证登录到他们的 Linux 工作站。（不幸的是，winbind 不是一种选择）

我已经查看了适用于 Unix 的 Windows 服务，但它似乎很快就要停产了。

有没有其他方法可以实现这一目标？

我正在尝试在 Jenkins 中使用基于角色的安全插件，但我不起诉我使用它是正确的。

我决定使用 jenkin 自己的用户数据库作为安全领域而不是 LDAP。我正在一一添加用户。

现在在“分配角色”屏幕中，我拥有管理员、只读等全局角色……并且我拥有项目特定角色，例如 prod_a_developer、prod_b_developer……

对于每个用户，我是否必须为他分配一个全局角色并分配一个特定的项目角色？

另外，如何将用户分配到组？而不是为每个用户分配一个全局角色，我想为一个组分配一个全局角色。

不是那么琐碎，

有人可以帮帮我吗 ？

谢谢。