我最近使用 OpenLDAP 设置了集中式身份验证系统。现在,我需要扩展数据库中定义的用户,以包含一个新的对象类,该对象类包含一些有关他们的安全相关数据。如何修改现有条目以添加这个新的对象类?我对 LDAP 还很陌生,所以如果我问了一个愚蠢的问题,请不要咬我的头:P 谢谢!
我正在尝试使用具有大量数据的 389 ds 作为条目的子项。我尝试使用 ldapsearch 对这些条目进行搜索,但不断收到以下错误:
结果: 11 超出管理限制
当我使用服务器控制台应用程序浏览这些条目时,它说要创建“浏览索引”。我这样做了,现在可以在服务器控制台应用程序中查看这些条目,但是我仍然无法执行 ldapsearch。
我尝试使用服务器控制台应用程序删除所有这些子项的父条目,但它给了我与搜索相同的错误:
超出行政限制。
我已在 config.xml 中将“nssizelimit”属性设置为 -1。我还在配置中将“nslookthroughlimit”设置为-1,但仍然遇到相同的错误。
如何配置我的 389 ds (CentOS ds) 服务器来阻止这些错误?
我正在使用 vSphere 运行虚拟设置,有两台虚拟机,一台运行 CentOS 6,另一台运行 Windows Server 2008
这个想法是使用 LDAP 从 CentOS(作为客户端)连接到 Windows Server 2008(作为服务器),并尝试从那里访问 Active Directory。
这两个虚拟机之间有一个虚拟交换机,并且两者都在同一子网上运行。
在 CentOS 上,我尝试运行 LDAP 以连接到 Win 2008 服务器:
ldapsearch -x
我收到的错误消息是:
文本:000004DC:LdapErr:DSID-0C0906DC,注释:为了执行此操作,必须在连接上完成成功的绑定。,数据 0
同时,我打开Windows服务器上的事件查看器,得到的错误消息是:
目录服务器无法在 Active Directory 轻型目录服务中创建 AD LDS ServiceConnectionPoint 对象。将重试此操作。
现在我不太确定问题是什么,我是否应该在 CentOS .conf 文件中指定管理员登录名?如果有,是哪一个?
或者这是 Windows 服务器权限问题?
非常感谢任何帮助!
Red Hat Directory Server 和 389 Directory Server 是同一个产品吗?或者说它们之间有什么区别?
是否需要重新启动服务器或特定服务才能使 pam 文件 ( /etc/pam.d/system-auth) 的更改生效?
更长的版本 - 我正在配置 SSSD 以与 LDAP 连接以进行身份验证。该系统基于 RHEL6,并且 SSSD 已配置为在此环境中的多个其他 RHEL6 服务器中以这种方式工作。在这些其他服务器上,每当用户访问系统时,它都会显示/var/log/secure类似于下面的成功或失败尝试的信息。
sshd[1489]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=ipaddress user=user
sshd[1664]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=server user=user
这些日志消息不会显示/var/log/secure,用户无法登录服务器。尽管如此,getent passwdandgetent group确实返回了预期的 LDAP 用户和组。证书目录的权限一切看起来都很好,/etc/pam.d/system-auth并且/etc/sssd/sssd.conf.
我需要什么 SELinux 上下文,什么文件才能使 apache ldap(通过 ssl)身份验证正常工作?或者它是一个网络协议或系统调用还是其他什么东西?
Centos 7 上的 Apache 2.4 使用基于 ssl 的基本 ldap 身份验证。
有了 SELinux 的宽容 ( setenforce 0),一切都运行得很好。我可以完美地用ldap登录到受保护的目录。
当启用 SELinux ( setenforce 1) 时,apache 无法执行 ldap 搜索并允许用户通过。它与 ssl 或证书有关,但我无法弄清楚。
/var/log/httpd/ssl_error_log
[Thu Mar 17 15:33:32.529755 2016] [authnz_ldap:debug] [pid 6412] mod_authnz_ldap.c(501): [client 158.158.193.232:17386] AH01691: auth_ldap authenticate: using URL ldaps://ldap-ad.example.org:636/ou=Auto-Accounts,dc=example,dc=org?sAMAccountname?sub
[Thu Mar 17 15:33:32.530792 2016] [ldap:debug] [pid 6412] util_ldap.c(372): AH01278: LDAP: Setting referrals to On.
[Thu Mar 17 15:33:32.531845 2016] [ldap:debug] [pid 6412] util_ldap.c(372): AH01278: …我正在尝试使用 ADObject 上的 LDAPFilter 搜索 SMTP 地址
Get-AdObject -properties * -LDAPFilter "(proxyAddresses=alert.haveibeenpwned@test.edu)"
我知道使用 GetADUser 和 Get-Mailbox 或什至使用带有-anr命令的-Filter 可以实现其中的某些功能。但是,为了保持一致性,我更喜欢将本机 LDAP 与 Get-AdObject 命令一起使用。
如何使用 Get-AdObject 搜索多值属性,例如 proxyAddresses?
powershell exchange active-directory ldap microsoft-office-365
我正在配置服务器 SVN Collabnet(适用于 Solaris 10 的 v1.5.6.1)。我成功使用ldap服务器进行SVN认证。如何避免在以下配置文件(collabnet_subversion_httpd.conf)中写入未加密的密码(XXXXX,这里)?
ServerName mccuatsv10:8080
Listen 8080
User csvn
Group csvn
<Location /svn>
DAV svn
SetHandler svn
SVNParentPath /appli/svn/repositories/
AuthName "Subversion repository"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative On
AuthLDAPBindDN christian.desbordes@ibm.com
AuthLDAPBindPassword XXXXX
AuthLDAPURL ldap://eur.msd.world.ibm:389/OU=Users,OU=Accounts,OU=FR,DC=eur,DC=msd,DC=world,DC=socgen?sAM
AccountName?sub?(objectCategory=person)
Require valid-user
</Location>
我有一个 LDAP 数据库,我们一直在使用它来管理我们主机上的用户帐户,这些条目将 account 和 posixAccount 作为 objectClass。现在我们想扩展它以将其用作通讯录。据我了解,这意味着我应该将 inetOrgPerson objectClass 以及必需的属性添加到人员条目中。
但是由于某种原因,这在 phpLdapAdmin 中是不可能的。当我点击objectClass上的add value按钮时它不会弹出,如果我手动输入它,它想删除account和posixAccount objectClasses。我在很多地方都读到过,应该可以将两个 objectClass:es 分配给条目,那么为什么 phpLdapAdmin 会抱怨?这是否有真正的原因不起作用,或者只是 phpLdapAdmin 是愚蠢的?
适用于 Windows 的最佳免费 LDAP 客户端是什么?它应该很容易浏览目录和编辑值。理想情况下,整个目录树的批量更新会很好......