我们在 Apache 2.2.9（在 Debian 5.0、2.2.9-10+lenny7 中提供）中使用 mod_authnz_ldap 和 mod_authn_alias 来验证多个 Active Directory 域以托管 Subversion 存储库。我们目前的配置是：

# Turn up logging
LogLevel debug

# Define authentication providers
<AuthnProviderAlias ldap alpha>
  AuthLDAPBindDN "CN=Subversion,OU=Service Accounts,O=Alpha"
  AuthLDAPBindPassword [[REDACTED]]
  AuthLDAPURL ldap://dc01.alpha:3268/?sAMAccountName?sub?
</AuthnProviderAlias>

<AuthnProviderAlias ldap beta>
  AuthLDAPBindDN "CN=LDAPAuth,OU=Service Accounts,O=Beta"
  AuthLDAPBindPassword [[REDACTED]]
  AuthLDAPURL ldap://ldap.beta:3268/?sAMAccountName?sub?
</AuthnProviderAlias>

# Subversion Repository
<Location /svn>
  DAV svn
  SVNPath /opt/svn/repo
  AuthName "Subversion"
  AuthType Basic
  AuthBasicProvider alpha beta
  AuthzLDAPAuthoritative off
  AuthzSVNAccessFile /opt/svn/authz
  require valid-user
</Location>

对于同时拥有 Alpha 和 Beta 帐户的用户，我们遇到了问题，尤其是当他们的 Alpha 帐户已过期（但仍然存在；公司政策是帐户的有效期至少为 1 年）。例如，当用户x（在Alpha中已过期，在Beta中为有效账户）时，Apache错误日志报告如下：

[Tue …

我正在尝试在 Jenkins 中使用基于角色的安全插件，但我不起诉我使用它是正确的。

我决定使用 jenkin 自己的用户数据库作为安全领域而不是 LDAP。我正在一一添加用户。

现在在“分配角色”屏幕中，我拥有管理员、只读等全局角色……并且我拥有项目特定角色，例如 prod_a_developer、prod_b_developer……

对于每个用户，我是否必须为他分配一个全局角色并分配一个特定的项目角色？

另外，如何将用户分配到组？而不是为每个用户分配一个全局角色，我想为一个组分配一个全局角色。

不是那么琐碎，

有人可以帮帮我吗 ？

谢谢。

我创建了一个自定义 LDAP objectClass，但在将它添加到我的 OpenLDAP 服务器之前忘记了几个属性。我按照此 Ubuntu 文档页面上的说明进行操作：https : //help.ubuntu.com/12.04/serverguide/openldap-server.html我正在运行 Ubuntu 12.04。

那么，如何向已应用于服务器的 objectClass 添加新的 MAY 属性？

特别是在 OpenLDAP 上，但了解 Novell eDirectory 的方法也会很好。

我试图通过 StartTLS 连接 LDAP，但我遇到了一个问题。我已经逐步遵循本指南https://help.ubuntu.com/12.04/serverguide/openldap-server.html#openldap-tls和 LDAP 它工作正常以及“ldapsearch -xZZ -h 172.25.80.144”在我的 Ubuntu 服务器 12.04 上

但是，在我的 Ubuntu 桌面 11.04 客户端中，我收到此错误：

ldapsearch -x -H 172.25.80.144 -ZZ 
ldap_start_tls: Connect error (-11)
                additional info: **TLS: hostname does not match CN in peer certificate**

服务器 /etc/ldap/ldap.conf

 BASE dc=prueba,dc=borja
 URI  ldap://prueba.borja
 SIZELIMIT 12
 TIMELIMIT 15
 DEREF     never
 TLS_CACERT /etc/ssl/certs/ca-certificates.crt

客户端 /etc/ldap.conf

 ssl start_tls
 tls_checkpeer no

/etc/ldap/ldap.conf

 BASE dc=prueba,dc=borja
 URI  ldap://prueba.borja
 SIZELIMIT 12
 TIMELIMIT 15
 DEREF never
 TLS_REQCERT allow

谁能告诉我如何解决这个问题？我认为主机名没问题。

谢谢！

我在使用Apache2身份验证时遇到问题，authnz_ldap_module以便对来自Active Directory. 我的 Apache 版本是2.2.16-6+squeeze10.

这是我在没有运气的情况下尝试使用的配置（准确地说是多种组合之一）：

AuthzLDAPAuthoritative off
AuthBasicProvider ldap
AuthType Basic
AuthName "Active Directory"
AuthLDAPURL "ldap://server1.my.company.tld:3268 server2.my.company.tld:3268/dc=my,dc=company,dc=tld?sAMAccountName?sub"
AuthLDAPBindDN "uid=my_user,dc=my,dc=company,dc=tld"
AuthLDAPBindPassword "mypassword"
Require valid-user

我在 Apache 中得到以下条目error.log：

[debug] mod_authnz_ldap.c(379): [client some_ip_here] [12391] auth_ldap authenticate: using URL ldap://server1.my.company.tld:3268 server2.my.company.tld:3268/dc=my,dc=company,dc=tld?sAMAccountName?sub
[info] [client some_ip_here] [12391] auth_ldap authenticate: user my_user authentication failed; URI / [LDAP: ldap_simple_bind_s() failed][Invalid credentials]
[error] [client some_ip_here] user my_user: authentication failure for "/": Password Mismatch

当然我每次都输入正确的密码，我已经在AD中被阻止了大约一百次，到目前为止没有发生过一次。

我无法验证我是否可以连接到我的 AD 控制器，因为当我尝试时：

ldapsearch …

我正在执行从第三方邮件服务器 (MDaemon) 到 Office 365 的迁移；本地 Active Directory 不包括任何 Exchange 服务器，也从来没有。

我们将需要目录同步，以便用户能够使用他们的域凭据登录到 Office 365；但似乎一旦启用目录同步，就无法再对 Office 365 用户执行任何操作：所有更改都需要在本地 Active Directory 上进行，然后由同步过程复制。

对于邮箱地址单一、功能标准的普通用户来说，这不是什么大问题；但是那些需要额外地址的用户呢？如果我需要配置一些非标准设置，例如“从地址列表中隐藏”或自定义邮箱配额，该怎么办？

从我收集到的信息来看，唯一支持的方法是在启用同步后不再直接编辑 Office 365 对象，是使用 Exchange 属性扩展本地 AD 架构，然后手动编辑它们（！） . 或者，您可以至少安装一台本地 Exchange 服务器，然后使用 Exchange 管理工具来配置所需的设置。

这是正确的还是我错过了什么？
有什么办法可以同步用户账户和密码，但仍然可以直接在 Office 365 中编辑用户设置？
如果不是（一切真的需要在本地设置然后同步），有没有比手动编辑 LDAP 属性或安装本地 Exchange 服务器更简单的方法？

这是 olcDatabase={1}hdb.ldif 的一部分

olcAccess: {0}to attrs=userPassword,shadowLastChange
 by self write
 by anonymous auth
 by dn="cn=admin,dc=somesite,dc=com" write
 by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to *
 by self write
 by dn="cn=admin,dc=somesite,dc=com" write
 by * read

我想附加by dn="cn=anotheruser,ou=Users,dc=somesite,dc=com" write到{0}and{2}行。

在我销毁我的 LDAP 服务器之前，以下 LDIF 是否正确？

dn: olcDatabase{1}hdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange
        by dn="cn=admin,dc=somesite,dc=com" write
        by dn="uid=anotheruser,ou=Users,dc=somesite,dc=com" write
        by anonymous auth
        by self write
        by * none
olcAccess: {2}to *
 by self …

我不确定在我的每个组织单位下嵌套组还是直接在根 DN 下为组创建一个组织单位更好。一个被认为是最佳实践吗？我想保持我的配置尽可能简单，以最大限度地提高与 LDAP 感知应用程序的兼容性。

我的迫切需求包括：

1. 与 Atlassian Crowd 的单点登录
2. Google Apps Directory Sync（LDAP 组 -> 邮件列表）
3. 用于 Windows 身份验证的 pGina

这是一张图表，显示了我正在考虑的两种策略：

我已经按照这篇优秀的帖子来配置 Kerberos + LDAP：http :
//koo.fi/blog/2013/01/06/ubuntu-12-04-active-directory-authentication/

但是，有一些本地用户用于服务。
当我尝试以 root 身份更改其中之一的密码时，它会询问Current Kerberos password然后退出：

passwd service1
Current Kerberos password:  (I hit enter)
Current Kerberos password:  (I hit enter)
passwd: Authentication token manipulation error
passwd: password unchanged

如果我切换到本地用户并执行passwd，它会询问一次 Kerberos，然后回退到本地：
$ passwd
Current Kerberos password:
Changing password for service1.
(current) UNIX password:

我的配置类似于我上面发布的站点，一切正常，我只是无法以 root 身份更改本地用户的密码。

在此先感谢您的帮助。

3.8.0-29-generic #42~precise1-Ubuntu

更新 1 2013-01-31：

# cat /etc/pam.d/common-auth
auth    [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=2 default=ignore]      pam_unix.so nullok_secure try_first_pass
auth    [success=1 …

（如果我问错了问题或问错了地方，我深表歉意。）

我们为我们的协会（所有志愿者）运行 IT。我们有一个带有 OpenLDAP 成员数据库的服务器、邮件服务器、ftp 和一堆自制的网络应用程序。

除了 OpenLDAP 成员数据库之外，大部分都很好。设置它的人早已不在，当前的 IT 团队并没有真正做出改变的能力。

因此，我正在考虑将成员数据库从 OpenLDAP 移至 MySQL 数据库。这似乎是可能的，我们的电子邮件和 FTP 服务器支持 SQL 源，我们可以相应地修改我们的 web 应用程序。但是我仍然无法确定这样做是否有缺点。因此我的问题：

• LDAP 相对于 SQL 数据库的优势是什么？（对于简单的用户数据库）
• 是否有理由不使用 MySQL 作为用户数据库？

我在这里找不到类似的问题。我从外部找到的信息将我带到 10 多年前的页面。