我在一个大学环境中工作,该环境过去几乎只为已经在中央用户数据库中拥有“正式”帐户的大学附属机构提供服务。我们越来越多地向不适合这种传统模型的外部合作者(托管的 Subversion/git 存储库、Wiki 访问等)提供服务。
我正在寻找一种工具,可以让我们管理“轻量级”帐户,其中“轻量级”的意思是:
默认情况下,拥有帐户不会授予对任何内容的访问权限(授权将通过组成员身份或特定服务 ACL 获得)。这是流行的 Web 服务的一个非常典型的模型,但我没有太多运气找到一个开箱即用的工具(而且我们真的没有时间或资源自己编写一个)。
有许多工具可以提供自助式密码更改和元数据编辑,但我还没有找到一种可以处理注册部分的工具。我希望 FreeIPA 能够处理这个问题,但据我所知它没有。
您是否知道可以启用此模型的任何工具?我对商业解决方案持开放态度,如果您对类似的事情有很好的经验。
我想知道我需要将哈希放入什么格式才能通过 LDAP写入userPassword。Apache Directory Studio 为我提供了多种选择,但我认为它们都不是。任何人都可以记录 AD 2003r2 默认使用的正确编码和算法吗?
ldap 2.4.23 不接受我的通配符证书。当我尝试连接时,出现以下错误:
TLS certificate verification: subject:
OID.2.5.29.17=DNS:*.domain.com,CN=*.domain.com,OU=LALALA,O=LALALA S.A.,L=LALALA,ST=LALALA,C=XX,
issuer: E=support@domain.com,CN=LALALA Root C.A.,O=LALALA,L=LALALA,ST=LALALA,C=XX,
cipher: AES-256, security level: high, secret key bits: 256, total key bits: 256,
cache hits: 0, cache misses: 0, cache not reusable: 0
TLS: hostname (openldap1.domain.com) does not match common name in certificate (*.domain.com).
我的证书是:CN=*.domain.comANDsubjectAltName=DNS:*.domain.com
我怎样才能让我的证书在 LDAP 中被接受?
这是这个问题的后续:我将memberof 覆盖添加到现有的 OpenLDAP 2.4 服务器。现在我想更新现有的用户对象。
对于新的组成员身份,memberOf 属性会正确更新。但是我有一堆不会自动更新的现有组。我可以从他们的组中删除所有用户并重新添加他们以确保这些条目是同步的。由于这是一个Univention Corporate Server,它在您修改 LDAP 时会发挥很多作用,因此我不想冒险破坏我的目录。
有没有办法欺骗覆盖层来更新这些操作属性?
只是一个简单的问题;这个问题并不意味着攻击 Windows 或以任何方式发动一场激烈的战争。我想要一个可行的解决方案来解决在 *nix 上的 Windows DC 环境 (LDAP) 中完成身份验证的方式。我只想知道 OpenLDAP 是否可以成为该解决方案?
我们有一个本地 LDAP 目录,提供有关我们用户社区的基本联系信息。我们希望将其集成到一些第三方托管服务中,这些服务允许我们实现运行任意 Javascript 的小部件。
为了将 Javascript 连接到我们的 LDAP 目录,我想设置一个简单的 LDAP-to-HTTP 代理,该代理将接受 HTTP GET 请求,将它们转换为适当的 LDAP 查询,并以 JSON 编码数据的目录信息作为响应。
在理想的世界中,是这样的:
GET /ldap?mail=bob@example.com
会给我这样的东西:
{
"cn": "Bob Person",
"title": "System Administrator",
"sn": "Person",
"mail": "bob@example.com",
"telepehoneNumber": "617-555-1212",
"givenName": "Bob"
}
(这显然假设 Web 应用程序在本地配置了有关要使用的基本 DN、如何进行身份验证等的信息)。
我想我可以写一个……但肯定已经存在这样的东西了吗?
我们目前有许多使用 LDAP 进行身份验证的 Web 应用程序。为此,我们使用 LDAPS 端口 ( 636)将 Web 应用程序指向我们的 AD 域控制器之一。
当我们必须更新域控制器时,这给我们带来了问题,因为另一个 Web 应用程序可能依赖于任何 DC。
我们想将我们的 Web 应用程序指向一个集群“虚拟”IP。该集群将至少包含两台服务器(以便每个集群服务器都可以轮换和更新)。然后,集群服务器会将 LDAPS 连接代理到 DC,并能够找出可用的连接。
对于曾为 AD 的 LDAP 接口创建 HA 集群的任何人:
也许我的问题最初还不够清楚。对此我深表歉意。
这些 Web 应用程序不是由我们开发的,也不是 AD 感知的。他们只要求 LDAP 服务器的主机名/IP 地址。不幸的是,我们必须处理这个限制。我了解SRV records工作原理,但由于这些不是我们的应用程序,因此在这种情况下对我们没有帮助。
我们强迫开发人员修改他们的应用程序以识别 AD 也是不现实的。
唯一的选择是在基础设施内解决这个问题,而不是软件。我的问题是针对任何专门做过这件事的人。
windows-server-2008 cluster active-directory ldap high-availability
我正在尝试在支持 LDAP 的 Ubuntu 12.10 上编译 PHP。我跑了:
apt-get install libldap2-dev
这会将头文件安装到/usr/include.
但是,在尝试编译时无法找到头文件。我也尝试过--with-ldap=/usr/include,但仍然失败:
configure: error: Cannot find ldap.h
我还尝试使用以下符号链接,但仍然出现相同的错误:
ln -s /usr/lib/ldap* /usr/lib/
在此先感谢您的帮助。
我在 Windows Server 2012 上运行了 Apache 2.4。
我已经让 mod_authnz_ldap 工作,除非用户输入空白用户名。这会导致 500 内部服务器错误。
这是 httpd.conf 中“员工”区域的条目...
<Location "/staff">
AuthType Basic
AuthName "Staff Area"
LDAPReferrals Off
AuthBasicProvider ldap
AuthUserFile /dev/null
AuthLDAPBindDN Administrator@school.com.au
AuthLDAPBindPassword MyPassword
AuthLDAPURL "ldap://server-dc1:389/ou=DomainUsers,dc=school,dc=com,dc=au?sAMAccountName?sub"
Require ldap-group cn=staff,ou=staff,ou=DomainUsers,dc=school,dc=com,dc=au
</Location>
有什么明显的我遗漏了吗?还有其他人使用 mod_authnz_ldap 吗?您的服务器不喜欢空白用户名吗?
我正在编写一些 ldap 自动化脚本,但遇到了轻微的挂断。基本上,我想在尝试添加之前检查添加到条目的属性是否确实存在于给定的 objectClass 中。
到目前为止,我对此的最佳想法只是在属性的架构定义文件上运行正则表达式,但这并不能说明在配置初始化后正在编辑的架构文件。
第二个想法是在无法添加属性时捕获抛出的错误,但这似乎效率较低,因为我的下一步是将属性添加到架构并重建配置。
似乎应该有一个简单的 ldapsearch 命令来执行此操作,但我无法弄清楚语法。
到目前为止,我已经尝试过:
ldapsearch -x -b 'dc=MY_DOMAIN,dc=com' '(objectclass=mySCHEMA)'
但这只是列出了任何具有 mySCHEMA 对象类的 ldap 条目。
感谢您的帮助,干杯!