在工作中,我们正处于身份管理项目的早期阶段。这都是在高等教育的背景下,我们有几千名教职员工和大约两万名学生。
有没有人使用带有 AD 域(kerberos 域)的 Sun LDAP 服务器来存储密码?有没有人运行过一个包含 25 万个条目的 AD 域?
我们对身份管理的一个选择是将活跃员工推送到 AD,并将密码/身份信息的另一份副本推送到 LDAP。如果我们这样做,我们需要有一个中央位置来更改密码,以便如果您更改 AD(或 ldap)密码,更改会同步到另一个(或者允许它们发散)
另一种选择是让 AD 成为密码的单一权限,然后我们必须拥有所有附属机构(以及所有旧附属机构)的委托人一两年,这样我们在 AD 中可能有 25 万个实体,其中任何频率只能访问 20-30k。
AD会在负载下爆炸吗?是否有其他方法可以使 Sun 的 LDAP 和 AD 之间的密码保持同步?其他人的经历是什么?
我需要保护我的 LDAP 服务器,但我不太确定实现它的最佳方法。我正在运行 Debian“Lenny”,并使用 OpenLDAP (slapd)。
我注意到如果我运行:
ldapsearch -x -W -b 'dc=example,dc=com' -H 'ldap://127.0.0.1:389/' 'objectclass=*'
并在提示输入密码时按 ENTER,我会得到一个目录条目列表。如果我将其开放到互联网,则匿名访问是不可接受的,但找不到禁用匿名访问的方法。
我尝试修改/etc/ldap/slapd.conf为以下内容:
进入 *
by dn="cn=admin,dc=example,dc=com" 写
由 * 无
......但这并不能解决问题。
在此之后,我将让它在 TLS 上运行,但在仍然允许匿名访问的情况下执行该步骤是毫无意义的。
有任何想法吗?
执行 LDAP 绑定到活动目录服务器需要什么权限?我有一个中央域(称为 MAIN),它对其他林中的域具有双向信任(然后调用 REMOTE 和 FARAWAY)
使用 MAIN\myaccount 作为用户名和密码,我可以很好地绑定到 REMOTE,但不能绑定到 FARAWAY;我收到无效的凭据响应
80090308: LdapErr: DSID-0C09030B, comment: AcceptSecurityContext error, data 525, v893
在所有其他方面,信托似乎运作良好。
我需要检查哪些权限才能找出绑定失败的原因?我的理解是 AUTHENTICATED USERS 中的任何人都应该能够绑定到 LDAP,但这似乎只适用于某些域而不适用于其他域。
有谁知道哪些大玩家(如果有)支持 LDAP/AD 用户和组进行身份验证和数据库权限?具体来说,我想知道 SVN、GIT、Mercurial 等是否允许用户基于 AD 权限登录/连接,并允许基于 AD 中的组将细粒度权限应用于 VC 数据库中的文件夹。到目前为止,我的研究还没有表明这是可能的......
我有两个问题,希望找到一个通用的解决方案。
首先,我需要找到一种方法,将多个 LDAP 服务器(跨多个域的 Windows AD)馈送到单个源进行身份验证。这也是使不能与多个 LDAP 服务器本地通信的应用程序工作所必需的。我读过这可以通过 Open LDAP 完成。还有其他解决方案吗?
其次,我需要能够将这些用户添加到组,而不能对我代理的 LDAP 服务器进行任何更改。
最后,这一切都需要在 Windows Server 2003/2008 上运行。
我为一个非常大的组织工作,创建多个组并在其中添加、移动和删除大量用户是一项不小的任务。这通常需要大量的文书工作和大量的时间。时间是我们通常没有的一件事;避免文书工作只是一个加分项。
我在这方面的经验非常有限,所以我什至不确定我的要求是否有意义。Atlassian Crowd 接近我们所需要的,但还没有拥有自己的 LDAP 前端。任何人都可以提供任何建议或产品名称吗?
感谢您的任何帮助,您可以提供。
我在 Server2 上使用 pam_ldap 设置了远程 LDAP 服务器 (Server1) 和 SSH。一切正常,我可以使用 LDAP 凭据登录到 SSH。但是当我想添加新用户时,我必须首先在 LDAP 数据库中创建它,然后在 Server2 上运行 adduser。
将用户帐户添加到 LDAP 数据库后,如何在 Server2 上自动创建用户帐户?例如当用户第一次登录时?谢谢。
我正在使用 CentOS-ds(基于 Redhat-DS 和 389 目录服务器)。
我有 LDAP 设置,并且正在对用户进行身份验证(还有 Sudo,这是一个方便的功能!)。甚至 passwd 也能很好地更改存储在 Ldap 中的密码。但是,我有一个小问题。登录服务器后,如何强制所有用户帐户创建新密码?我会这样做的正常方式:
chage -d 0 username
似乎不是“ldap-ified”。如何强制人们在下次 (ssh) 登录时创建新密码?我需要创建用户帐户,我真的不希望人们保留我为他们设置的密码。
*edit - 我已将 LDAP 服务器设置为在重置密码时强制更改密码。但是,我似乎无法找到一种以正确方式“重置”密码以触发此操作的方法。(我所能找到的只是以目录管理员身份登录并更改他们的密码)*edit2。由于我们将在这部分完成后将许多机器移至 LDAP,因此我编写了一个脚本以以 root 身份运行以设置 LDAP 身份验证。也许我在这里遗漏了什么?(编辑出服务器和基于。)
#!/bin/sh
#
authconfig --enableldap --enableldapauth --enablemkhomedir --ldapserver=<server1>,<server2> --ldapbasedn="<basedn>" --update
echo 'sudoers: files ldap' >> /etc/nsswitch.conf
echo 'base <basedn>
timelimit 120
bind_policy soft
bind_timelimit 120
idle_timelimit 3600
uri ldap://<server1>/
uri ldap://<server2>/
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5
sudoers_base ou=SUDOers,<basedn>
' > /etc/ldap.conf
从 Apache 服务器对 LDAP(Active Directory、Server 2008)进行身份验证时,我在错误日志中收到以下消息:
authentication failure for "/": Password Mismatch
仅当密码包含德语变音符号(ä、ö、ü)时才会发生这种情况。更改密码或尝试使用其他帐户而密码中没有变音符号后,身份验证工作正常。
这是我的配置:
AuthType Basic
AuthzLDAPAuthoritative off
AuthLDAPURL "ldap://[SERVER]:3268/DC=[DOMAIN]?sAMAccountName?sub?(objectClass=user)"
AuthLDAPBindDN "user"
AuthLDAPBindPassword "pass"
require valid-user
我在 Debian (2.6.26-2-686) 下使用 Apache2 (2.2.16-6+squeeze1)。有趣的是,上述配置一直工作到昨天(即使是带有变音符号的密码)而且我没有碰它(我发誓;-))。我已经找到其他人有同样的问题,但没有解决方案。
有没有人知道如何解决问题或简单地下一步做什么来识别错误的模块?
最好的问候,斯蒂芬
我有一个双站点域(称为本地和远程)。Site Local 拥有我们的主要 IT 基础架构,包括两个 Active Directory 域控制器 (2008R2)。我们正在尝试在站点 Remote 上设置 RODC,它在大多数情况下都可以正常工作。一切都被复制,密码复制遵循策略,远程 DC 回答查询 - 一切都很好。除了站点 Local 中的机器,在查询 AD 时,将引用站点 Remote。如果我执行 tcpdump,我会看到 LDAP 查询命中两个本地 DC,然后转到远程 RODC。
我已经确保两端的所有子网都在站点和服务管理单元中配置,并且 DC 都在它们各自的站点中。根据我的研究,这应该是客户端查询最近 DC 所需的全部内容。我错过了一步吗?
我在 RHEL 5 上运行了 389 Directory Server,其中包含组、用户、posix 等。RHEL 客户端正在使用 LDAP 对用户进行身份验证 - 没问题,一切正常,但密码以纯文本形式发送,并且可以通过网络嗅探器看到。因此,决定使用 SSL 运行:
不起作用。
如何?安全集成的最佳方法是什么?