我正在寻找一种方法来记录 Active Directory 域控制器的 ldap 访问。我希望能够记录对389 和 636(加密)的用户名和源 IP 地址访问。
一个简单的数据包捕获可以让我获得源 IP,但是通过 ldaps 获取用户名是不可能的,所以我希望 Windows 中有一些内置的审计/调试/日志功能可以为我提供这些信息。
尽管已经对此提出了多个问题,例如Windows AD 域上的 Linux我想知道如何使用开源或其他免费的商业使用工具将 Debian 6.0 Squeeze 与 AD 集成
编辑:只有通过 apt 提供(安全)更新的工具是可接受的。
到目前为止,我已经能够通过 kerberos获得实际的用户身份验证工作,例如日志显示用户名/密码检查成功,但用户无法登录,请参阅下面的日志摘录;
编辑:使用 pam 调试更新日志:
May 12 10:06:33 debian-6-master login[10601]: pam_krb5(login:auth): pam_sm_authenticate: entry (0x0)
May 12 10:06:33 debian-6-master login[10601]: pam_krb5(login:auth): (user test.linux) attempting authentication as test.linux@AD.DOMAIN
May 12 10:06:36 debian-6-master login[10601]: pam_krb5(login:auth): user test.linux authenticated as test.linux@AD.DOMAIN
May 12 10:06:36 debian-6-master login[10601]: pam_krb5(login:auth): pam_sm_authenticate: exit (success)
May 12 10:06:36 debian-6-master login[10601]: pam_unix(login:account): could not identify user (from getpwnam(test.linux)) …我面临着一个挑战,那就是集中身份验证。时期。
那是因为我和我的大嘴都说我喜欢 LDAP,任何东西都可以对其进行身份验证。我在这里拥有几乎所有类型的桌面,Mac,Windows XP 最多 7,以及基于 Ubuntu 和 Fedora 的发行版安装数量。
我完成所有配置工作都没有问题。事实上,这应该很有趣,我只是想要一些关于我应该关注哪些实现的建议。
谢谢你
该ldapmodify手册页指出:
ldapmodify 的默认值是修改现有条目
然而,当我尝试导入 LDIF 文件时,ldapmodify出现以下错误:
ldapmodify: modify operation type is missing at line X
Q1:为什么,我应该将哪些参数添加到我的 ldapmodify 命令中?
如果我使用 LDIF 文件导入ldapadd并且条目已经存在,我会收到以下错误:
ldap_add: Already exists (68)
这可以使用-c开关忽略(继续),但是 ldap_add 不会更新现有条目。相反,为了更新现有条目,应该使用ldapmodify,但ldapmodify不会添加丢失的条目。
Q2:有没有办法通过创建丢失的条目并同时更新现有条目来导入 LDIF 文件?
我现在正在尝试让我的新 samba 服务器运行几天,但我开始失去理智,因为没有弄清楚我做错了什么。这是我的设置:
OpenLDAP 2.4.21 服务器,具有约 15 个组和 >100 个用户,所有用户都具有存储在 LDAP 中的 unix 和 samba 密码,以及分配和存储在 LDAP 中的用户 SID 和主组 SID,源自 LDAP 的 SID服务器。
现在我想使用几个samba服务器来使用LDAP服务器对用户进行身份验证。samba 服务器是使用 ldap 服务器配置 NSS/PAM 的 linux。getent passwd/group 返回所有用户,ssh 到 samba 机器适用于所有用户。现在这里是 smb.conf:
[global]
workgroup = XXXXX
security = user
passdb backend = ldapsam:ldap://myldapserver
ldap suffix = dc=mydomain,dc=com
ldap admin dn = cn=replicator,dc=mydomain,dc=com
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap ssl = start tls
LDAP连接的作品,如pdbedit -L …
我目前正在运行 OpenLDAP 服务器,将我的 Linux 用户作为 posixaccount 和 posixgroup 元素进行管理,如下所示:
dn: cn=shellinger,ou=groups,dc=company,dc=com
cn: shellinger
gidNumber: 5001
objectClass: posixGroup
objectClass: top
dn: cn=shellinger,ou=people,dc=company,dc=com
cn: Simon Hellinger
uid: shellinger
uidNumber: 5001
gidNumber: 5001
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
...
现在,除了主要组之外,Linux 组成员资格在每台机器上本地管理。这有效,但我认为违背了集中用户管理的目的。
我想我想要的是根据他们登录的机器为我的用户分配不同的组。通常我的用户在我所有的机器上都有有用的业务,所以我认为登录限制(基于主机或某个组)对于我的用例来说太粗粒度了。我想限制他们在每台机器上可以做什么,而不是他们是否可以登录;在我的心态中,这转化为他们所在的 Linux 组。
此外,每台机器上的每个用户的这些组(以及权限)可能有很大不同,在一台机器上拥有超级用户权限的人可以成为下一台机器上的普通用户。
用我的外行术语来说,这听起来像是基于角色的组分配,但是在将我的整个 LDAP 词汇表扔给 Google 和 serverfault 之后,我似乎仍然无法理解这一点。
总结起来,问题是:我的用例有效吗?我会以正确的方式解决这个问题吗?我应该在 LDAP 中管理 Linux 组吗?
在每次登录或 sudo 提示时,服务器总是在第一次提供密码时拒绝密码,但第二次接受密码。我发现这个线程描述了似乎是相同的问题,但是按照那里描述的解决方案的行玩我的 /etc/pam.d/system-auth 文件对我不起作用。例如,将“try_first_pass”的第一个实例更改为“use_first_pass”会导致登录身份验证不断失败,删除“nullok”也是如此。有谁知道需要更改什么才能使系统第一次接受正确的密码?
/etc/pam.d/system-auth:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password …我正在尝试在我的公司中部署 freeIPA。网络很简单:
我首先在 VM(包括 Synology NAS)上模拟所有内容。Synology 还应导出 NFS 共享并尽可能与 freeIPA 集成。另外,我希望它为 freeIPA 用户托管 NFS 主目录(主目录当前是客户端的本地目录)。
地位:
关于 Synology 客户端状态和我的具体问题:
ipa-client-installDSM没有,所以我尝试遵循通用和零散的(据我所知没有最新的手册)说明,例如:
感谢您花时间检查我的问题。
我目前正在处理一个以前只出现过一次的问题。回到 1 月 3 日,当它第一次出现时,我们能够重新启动服务器,一切似乎都很好,但现在又回来了。这是一个生产数据库系统,因此有时很难找到重新启动的窗口。我希望在我们几天后再次重新启动以提供另一个临时解决方案之前,能够牢牢掌握这次可能发生的实际情况。开始了...
相关系统的用户身份验证通过 Red Hat Directory Server 9 使用 LDAP 处理。下面描述的问题仅在这台服务器上出现,即使是共享数据库的对应服务器也不会显示相同的症状。截至目前,没有任何 LDAP 帐户能够进行身份验证并登录到服务器。LDAP 身份验证正在由 SSSD 处理,目前无法停止或重新启动。尝试执行任一操作时,SSH 控制台都没有响应。(ctrl-c 无法退出发出的命令)
PS 显示通常的 sssd 相关进程正在运行,但kill -9对它们的尝试似乎并没有成功阻止它们中的任何一个。
ps aux | grep sss | grep -v grep
root 1150 0.0 0.0 150828 2908 ? D 09:05 0:00 /usr/libexec/sssd/sssd_nss -d 0 --debug-to-files
root 7025 0.0 0.0 93616 2504 pts/2 D 16:18 0:00 /usr/sbin/sssd -f -D
root 11148 0.0 0.0 179436 5672 ? D Jan08 16:22 /usr/libexec/sssd/sssd_be -d 0 --debug-to-files --domain …我正在尝试在 LDAP 中创建一个用户,该用户使用对象类 inetOrgPerson 和 groupOfNames(因此我可以使用属性“成员”),但无论我尝试哪种组合,它都不会让我。使用“成员”属性的正确方法是什么?
这是我尝试通过 Apache Directory Studio 添加它时收到的错误消息。
Error while creating entry
- [LDAP: error code 65 - OBJECT_CLASS_VIOLATION: failed for MessageType : ADD_REQUES
java.lang.Exception: [LDAP: error code 65 - OBJECT_CLASS_VIOLATION: failed for MessageType : ADD_REQUEST
Message ID : 113
Add Request :
Entry
dn[n]: uid=sadsadsadadad@test.com,o=test,ou=tenant,dc=test,dc=com
objectClass: groupOfNames
objectClass: organizationalPerson
objectClass: person
objectClass: top
objectClass: inetOrgPerson
uid: sadsadsadadad@test.com
member: cn=user,ou=role,dc=test,dc=com
sn: sadsadsad
cn: sdsadsad
: ERR_61 Entry uid=sadsadsadadad@test.com,o=test,ou=tenant,dc=test,dc=com contains more than one STRUCTURAL ObjectClass: [OBJECT_CLASS ( 2.5.6.9 …