我有一个 Open Directory 用户在 Workgroup Manager 中未选中“访问帐户”框,因此他们无法登录。有没有办法使用 LDAP 查询来确定这一点?
能够/bin/false通过 LDAP检查他们的登录外壳设置也很好,因为一些管理员使用它来禁用登录。
如何将 PHP Web 应用程序连接到 Active Directory?LDAP 是唯一的方法吗?
到目前为止我有一些参考 /sf/ask/70262601/
我有 Ubuntu 8.04 LTS 机器和 Windows 2003 AD 域。
我已成功设置我可以使用域用户名和密码登录,使用域前缀,如“域+用户名”。
登录到机器后,首先尝试一切正常,但是,由于某种原因,当我尝试 sudo 我的登录用户时,每次尝试 sudo 时它都会要求输入密码两次。它在第二次后接受密码,但不是第一次。
有一两次我可能会认为我只是第一次输入错误的传球,但这是总是发生的事情,有什么问题的想法吗?
pam.conf 是空的 pam.d/sudo 只包含 common-auth 和 common-account,并且
共同认证是:
auth sufficient pam_unix.so nullok_secure
auth sufficient pam_winbind.so
auth requisite pam_deny.so
auth required pam_permit.so
应该在slapd.conf 中加入什么ACL 以允许用户更改他们的密码。我们现在拥有默认 ACL,仅允许 rootdn 修改权限,同时允许包括匿名在内的所有人阅读。
我在安装了对 UNIX 系统支持的 Windows 2008 Server 上使用 Active Directory 为 Linux(确切地说是 Fedora Core 15)上的用户设置身份验证时遇到问题。我已经成功设置 Kerberos,使用测试kinit -p <login>并klist查看票证。但我仍然无法登录。
为我减少无用的答案:不允许使用 Samba、Winbind、Like 或其他软件。仅允许 NIS/LDAP。
说明:我想设置具有本地和 SSH 访问权限的客户端计算机。
更新:我通过 LDAP 配置了 AD 访问,getent passwd 106289gm并getent shadow提供了有效的响应,但getent group没有显示任何 AD 组。
根据https://help.apple.com/advancedserveradmin/mac/10.7/#apd52648A71-571A-433C-81A8-2A7792333F22可以使用 Windows 机器加入 Lion Open Directory,使其认为它正在加入 Active Directory 域.
然而,我在实际制作这项工作方面没有取得任何成功。
一方面,甚至没有创建 DNS 中的 SRV 记录(在同样运行 OpenDirectory 的同一 Lion 服务器上)。
一旦我手动添加,复制真实 Active Directory 域的真实 SRV 记录,Windows 至少设法找到服务器,但实际连接没有成功:
DNS was successfully queried for the service location (SRV) resource record used to
locate a domain controller for domain "miranda.pilif.home":
The query was for the SRV record for _ldap._tcp.dc._msdcs.miranda.pilif.home
The following domain controllers were identified by the query:
miranda.pilif.home
However no domain controllers could be contacted.
Common causes of this error include: …我正在尝试配置 VsFTPd 服务器以再次验证 LDAP 服务器。这可能很容易,但是由于这是我第一次同时使用 LDAP 和 PAM,所以我遇到了一些困难。VsFTPd 在 Ubuntu Server 11.04 上运行,LDAP 是 10.10 Ubuntu Server 上的 OpenLDAP。我在第一个上禁用了 AppArmor。VsFTPd 无法连接到 LDAP 服务器,在我的系统日志中我有:
vsftpd: pam_ldap: ldap_simple_bind Can't contact LDAP server
LDAP 服务器没问题,因为我可以执行ldapsearch.
这是我的/etc/pam.d/vsftpd文件:
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
@include common-account
@include common-session
@include common-auth
auth required pam_ldap.so
account required pam_ldap.so
session required pam_ldap.so
password required pam_ldap.so
这是我的/etc/ldap.conf文件:
base dc=example,dc=com
uri ldapi:///ldap.example.com
ldap_version 3
rootbinddn cn=admin,dc=example,dc=com
pam_password md5
nss_initgroups_ignoreusers a_bunch_of_system_users
有人可以帮我吗?谢谢你。
编辑:/etc/pam.d/vsftpd …
我正在阅读文档并设置 OpenLDAP 以处理整个网络的身份验证,包括电子邮件、Web 服务、用户帐户以及我可以投入的任何其他内容。它不会是什么超级大的东西,但我希望它有现场感,因为我是在我的家庭实验室里做的。
在设置 OpenLDAP 时,有哪些值得牢记的好事情或确保我永远记住的事情?我应该确保我总是通过 SSL 旅行吗?我应该使用 Kerbeos 吗?记住任何事情都将不胜感激。
我对 LDAP 不太了解,所以我提前道歉。
我正在查看使用 LDAP 进行某些身份验证的应用程序中的错误。
客户端设置的 LDAP 目录结构包含嵌套组,如下所示:
UAT Group
DEV Group
portfolio_mangers
在 DEV 组下,我们有一些用户:
DEV Group
jsmith
cwilson
plo
用户要求身份验证将递归遍历输入组以确定用户是直接还是间接(嵌套)输入组的成员。
因此,如果我们从 UAT 组或 DEV 组开始遍历,用户 jsmith、cwilson 和 plo 将被验证。
这是可能的,对吗?从我的阅读中,我相信我必须指定一个基本名称和范围。因为我想搜索整个子树,所以我会指定一个 SUBTREE 的范围。这有意义吗?有替代品吗?
来自 LDAP 经验丰富的人的建议将是巨大的。谢谢。
我在使用运行时配置 (cn=config) 修改 OpenLDAP 安装的架构时遇到问题。我想要做的是修改现有属性并将新属性添加到自定义架构中。当我尝试应用更改时遇到的错误是“没有这样的对象”或“没有这样的值”。使用JXplorer浏览器时,报错为:
javax.naming.NameNotFoundException: [LDAP: error code 32 - No Such Object]; remaining name 'cn={15}mySchema,cn=schema,cn=config'
从命令行对 ldif 文件使用 ldapmodify 会引发相同的错误:
ldapmodify -h ldap://localhost/cn=config -x -p 389 -D cn=admin,cn=config -W -f modify.ldif
modifying entry "cn={15}mySchema,cn=schema,cn=config"
ldap_modify: No such object (32)
然而,奇怪的是,即使发生此错误,也会为 slapd 服务的当前实例提交更改。例如,如果我添加了新属性并修改了一个对象以包含这些属性,那么这些属性在使用该对象的条目中是可用的。我可以继续进行,就好像更改有效一样。但是,如果 slapd 服务重新启动,则更改将恢复。
如果我删除 ldif 文件中 DN 的前导 {15},或属性值上的类似前缀,我会收到相同的错误(尽管可能出于不同的原因):
modifying entry "cn=mySchema,cn=schema,cn=config"
ldap_modify: No such object (32)
matched DN: cn=schema,cn=config
更重要的是,我可以毫无问题地修改 cn=config 的其他条目(例如,olcDatabase={-1}frontend,cn=config),并且更改在服务重启后仍然存在。只有当我尝试修改 cn=schema,cn=config 下的条目时才会发生错误。
该服务器运行 CentOS 6.2,64 位,使用通过 yum 安装的 OpenLDAP 2.4.23。我尝试了多种浏览器(JXplorer、Softerra LDAP Administrator)以及命令行,结果都一样。slapd.d …