标签: ldap

我从在 debian 上全新安装 openldap 2.4.28 开始。他们是 debian 包和 gnuTLS 的一些问题，所以我用 opennSSL 库编译了一个版本。

官方文档很难理解如何使用 openLDAP 的新 cn=config 管理从头开始安装。因此，我在第一次启动 openLDAP 时使用以下命令将 slapd.conf 转换为 cn=config：

/usr/local/libexec/slapd -u openldap -g openldap -f slapd.conf.seb -F /usr/local/etc/openldap/slapd.d/ -d -1

我的 slapd.conf.seb 等于：

include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/ppolicy.schema
include         /usr/local/etc/openldap/schema/gosa/samba3.schema
include         /usr/local/etc/openldap/schema/gosa/trust.schema
include         /usr/local/etc/openldap/schema/gosa/gofax.schema
include         /usr/local/etc/openldap/schema/gosa/gofon.schema
include         /usr/local/etc/openldap/schema/gosa/gosystem.schema
include         /usr/local/etc/openldap/schema/gosa/goto-mime.schema
include         /usr/local/etc/openldap/schema/gosa/goto.schema
include         /usr/local/etc/openldap/schema/gosa/goserver.schema
include         /usr/local/etc/openldap/schema/gosa/gosa-samba3.schema
include         /usr/local/etc/openldap/schema/gosa/openssh-lpk.schema
include         /usr/local/etc/openldap/schema/gosa/dnszone.schema
include         /usr/local/etc/openldap/schema/gosa/nagios.schema
include         /usr/local/etc/openldap/schema/gosa/dhcp.schema
include         /usr/local/etc/openldap/schema/gosa/sudo.schema

pidfile         /usr/local/var/run/slapd.pid
argsfile        /usr/local/var/run/slapd.args …

我最近开始在一家拥有 2 个地点的公司担任网络管理员，我们使用 VPN 来连接它们。我们需要在第二个位置设置 Active Directory 和 Exchange Server，以便与第一个位置完全集成。我已经创建并测试了具有新林/域的新服务器。我的问题是，这样做的最佳方法是什么？请记住，我们需要将 VPN 流量保持在最低限度，我们需要将所有 AD 操作保留在本地，并且只有当我们需要访问其他域上的信息时，我们才需要通过 VPN。那么最好使用单个林还是 2 个林并在域之间设置信任？请注意，我们还需要将 2 个交换服务器彼此完全集成，并与两个 AD 域完全集成。

我需要将计算机加入我们的 Active Directory 域。这些计算机位于不受信任的网络上。

如何强制客户端计算机使用安全协议（LDAPS 而不是 LDAP）加入域？

我已经使用 LDAP 很多年了，我工作的大多数公司使用的开发 LDAP 模式与生产和 QA（暂存）模式相同。一个示例后缀是：

"dc=firm,dc=com"

几个月前我刚开始在一家新公司工作，系统管理员告诉我我做错了。他说在开发中后缀应该是"dc=firm,dc=dev".

我觉得这会在编程和移动数据以进行测试等方面引起很多问题。我想对此发表一些看法。我是这样看待这种情况的：即使在开发和登台环境中，数据也应该始终看起来像生产数据。

我想知道是否有自动填充的字段或我们可以在创建时使用我们可以查询的帐户的唯一 ID 号填充的字段。

我要求这样做的原因是我们需要对用户帐户进行 LDAP 查询，该查询将在帐户重命名后持续存在。

我正在尝试通过 openLDAP 从 CentOS 6.2 机器更改 Active Directory（在 Windows 2008 服务器上）。

我尝试过 passwd、ldappasswd 并尝试查看是否可以在不使用 TSL/SSL/SASL 的情况下使用 Samba 来完成。这可能吗？

我正在尝试使用Django-Auth为我的 Django 应用程序设置 LDAP 身份验证

我想要做的基本想法是，描述中带有“IT - Help Desk”的任何 LDAP 用户都将映射到某个 Django 组，描述中带有“Admin”的用户将转到另一个 Django 组，其他任何人都不会不许进。

（有一些遗留原因我必须使用描述字段，所以这不是一个可以改变的选项）

更新：后续对话的某些部分移至此处。

从 2.3 开始，OpenLDAP 使用称为 slapd-config 的配置引擎。他们说使用它可以使所有 LDAP 配置都可以即时更改。

这是 /etc/ldap/slapd.d/cn=config.ldif 的头文件：

# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.

我已经更改了其中的数据以及具有该标题的其他一些文件，在重新启动 slapd 后，我的更改生效。

如果我手动更改这些文件，还会发生其他情况吗？如果我不需要“即时更改”，我是否应该手动编辑这些文件而不是使用 ldapmodify？哪个应用程序生成了这些文件，何时生成？

注意：我在 Ubuntu 12.04 上使用 openldap-2.4.28

我需要向 Active Directory 中的用户类添加一些属性。

我看到要做到这一点，可以将属性直接添加到用户类，或者创建一个包含我的属性的辅助类，然后将辅助类附加到用户。

这两种方法的优缺点是什么？我在某处读到建议使用辅助类，但我找不到原因。

自从我在这家公司工作以来，我们已经有了一个非常基本的 AD 设置。用户进入用户 CN，并且有一些用于计算机的 OU，例如台式机和服务器。

最近我一直在计划一个更全面的设计，以允许自定义部门 GP 设置（特别是打印机）。我想将用户移动到为每个部门创建的 OU 中。根据我的测试，除了一个应用程序外，一切似乎都运行良好。

JReport 是一个报告应用程序，它有一个 LDAP 设置来导入用户。然后它使用该信息实现 SSO。在我们当前的设置下工作得很好，但第二次我将用户从 CN=Users 移动到 OU=XYZ，他们无法再进行身份验证。

这是应用程序设置的屏幕截图：

如您所见，这是一个非常简单的设置。如果我测试连接，目录管理器可以访问。如果我查询用户，我可以看到新 OU 中的用户。但是，如果我尝试访问报告，则它不起作用。即使我手动输入凭据。

所以我想我的问题是有人能想到将用户移动到新 OU 会破坏这一点的任何原因吗？