标签: ldap

我想知道是否可以将公司外部的人员添加到 AD 内部，以便将他们添加为不同邮件列表的成员。

显然，我正在寻找一种安全的方式来做到这一点，这并不意味着他们将成为真正的 AD 用户。

这是完整的用例：我将 Jira 与 Active Directory/LDAP 集成一起使用，因此公司内部的人员不必要求为他们创建帐户。此外，我们确实将 Exchange 邮件列表映射到 JIRA 组，因此人们可以根据成员身份更改访问权限。

尽管如此，外部人员也可以使用相同的实例，这些人员可以注册拥有新帐户。现在这些帐户都保存在本地，但这意味着如果我们想为他们创建组，我们需要从 JIRA 内部进行，而 Jira 只允许管理员管理组。

相反，Exchange 邮件列表确实有一个很大的优势，它们可以由所有者或 IT 部门管理。

现在，我正在寻找一种方法，可以让我对外部帐户应用类似的解决方案（显然，组创建将被假定为只能由内部人员完成的事情）。

这可能吗，如何？

我正在尝试设置 Apache DS 以在本地模拟我公司的 Active Directory。我创建了一个新分区来匹配。然后我创建了一个 ldif 文件来添加用户和组。例如

##Create the root domain
dn: dc=serverfault,dc=com
objectClass: domain
objectClass: top
dc: serverfault

##Create Users and Groups roots
dn: ou=Users,dc=serverfault,dc=com
objectClass: organizationalUnit
objectClass: top
ou: Users

dn: ou=Groups,dc=serverfault,dc=com
objectClass: organizationalUnit
objectClass: top
ou: Groups

##Add users
dn: cn=Jeff Atwood,ou=Users,dc=serverfault,dc=com
objectclass: inetOrgPerson
cn: Jeff Atwood
sn: Atwood
userPrincipalName: Jeff.Atwood@serverfault.com

dn: cn=Joel Spolsky,ou=Users,dc=serverfault,dc=com
objectclass: inetOrgPerson
cn: Joel Spolsky
sn: Spolsky
userPrincipalName: Joel.Spolsky@serverfault.com

##Add groups
dn: CN=Dev,ou=Groups,dc=serverfault,dc=com
objectClass: groupOfNames
cn: Dev
member: cn=Jeff Atwood,ou=Users,dc=serverfault,dc=com
member: cn=Joel …

是否可以设置无密码 ldap 用户登录？我想创建一个使用 sudo 权限运行批处理作业的用户。所以它可以在不使用 ssh-keygen 的情况下 ssh 到多台机器并运行作业，并且只有 root 有权修改它。这样我就不需要在多台机器上公开 root 密码或公开 root ssh。我可以使用本地创建的登录来实现这一点。我可以在 LDAP 中创建它吗？

我已经成功导入了 sshPublicKey 架构，但该属性未显示在 PHPLDAPADMIN 中。

任何人都有这个问题的经验？

我逐字逐句地做了什么：

sudo nano openssh-lpk.ldif

dn: cn=openssh-lpk,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: openssh-lpk
olcAttributeTypes: ( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey'
  DESC 'MANDATORY: OpenSSH Public key'
  EQUALITY octetStringMatch
  SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 )
olcObjectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' SUP top AUXILIARY
  DESC 'MANDATORY: OpenSSH LPK objectclass'
  MAY ( sshPublicKey $ uid )
  )

导入架构，我应该更改 ldapi:// 吗？我尝试使用我的 IP/环回，但它不起作用，但它似乎按原样工作。

ldapadd -Y EXTERNAL -H ldapi:/// -f openssh-lpk.ldif

从这里的指南中得到这个 >> https://blog.shichao.io/2015/04/17/setup_openldap_server_with_openssh_lpk_on_ubuntu.html

通过SF上的这篇文章确认了我应该做的事情。

使用 LDAP 的 SSH 密钥身份验证

但是他的指示有点含糊……

“更新 LDAP 以包含 OpenSSH-LPK 架构”

我们首先需要使用架构更新 LDAP，以便为用户添加 sshPublicKey …

如果Linux服务器使用LDAP进行认证，并且LDAP服务器由于某种原因宕机，用户如何登录？

我想答案是他们不能？所以我想我真正要问的是系统管理员应该做些什么来防止这种情况？最佳做法是什么？

我的特殊情况是我们有一小群开发人员在少数服务器上工作。每个服务器上的个人用户帐户正变得令人讨厌，因此我们希望通过 LDAP 实现集中式身份验证。我担心 LDAP 服务器上的某些问题意味着没有人可以登录任何内容。所以我想弄清楚我们应该怎么做。

到目前为止我的想法：

• 拥有多个复制的 LDAP 服务器以便我们没有单点故障似乎是个好主意，但它会增加很多我们真正想要避免的复杂性。
• 我们是否应该确保在每台服务器上始终本地配置一个用户，如果 LDAP 不起作用，我们可以将其用作后门？这是一个严重的安全妥协吗？
• 用户是否会发现 LDAP 服务器关闭和他们只是输入错误密码之间有什么区别？

是否可以从 Mac LDAP 服务器（这是专有修改的 OpenLDAP）复制所有内容。如果我必须通过复制（我认为这更难）或将数据存储从 Mac 复制到运行 OpenLDAP 的 linux 机器，这并不重要。

谢谢。

我们过去在本地办公网络中有一个域控制器。现在我们已将服务器移至数据中心，直流就在那里，位于最前沿的 TMG 防火墙后面。

为了让我的办公室计算机能够对域进行身份验证，我知道以下选项：

1. 我可以 VPN 进入数据中心服务器网络（在 Forefront TMG 中设置了 VPN 网关）并进行身份验证，就像我在域的本地网络中一样。我可以在 Windows 7 中设置 VPN 客户端以在登录时自动通过 VPN 连接吗？

2. 我可以通过 Forefront 发布规则发布 DC 的 Active Directory 集成 DNS 服务器。设置我的本地网络以使用此 DNS，以便可以找到 DC。并允许 LDAP 流量通过防火墙。

这些方法中哪一种更好？

我最近遇到了一个网络设计，它大量实现了 VLAN，但没有使用专用的身份和访问管理系统，例如 Active Directory 或 OpenLDAP。还有一种设计计划使用 Active Directory，但对网络使用简单的树状子网划分。我的问题：

• VLAN 是获得更好管理网络的唯一途径吗？它总是大公司网络设计的最佳实践吗？
• 我曾经在一所使用 AD 和（我认为）VLAN 的大学里。当我们要确保安全和良好的用户管理时，它是“标准设计”吗？
• 使用没有 VLAN 的 AD/OpenLDAP 是否很常见（如今，在大型企业设置中）？或者，相反，没有 AD/OpenLDAP 的 VLAN？
• VLAN 和 AD/OpenLDAP 是两个完全正交的概念吗？因此互补？如果是这样，我猜上面两个设计的团队需要谈谈。

进一步的问题：

• 使用 VLAN 时，习惯上是按部门（会计、人力资源等）划分 VLAN 网络。将 AD 添加到其中，我们是否应该（也）基于部门创建不同的域？
• 如何设计基于建筑物的 AD 和类似的 VLAN？简而言之，如何最好地将子网划分、VLAN 和 AD 一起实现？

欢迎任何见解、提示、链接或建议。

我知道 SNMP 是一种用于远程管理（查看/更新）系统资源信息的协议，而 LDAP 是一种用于访问和使用目录服务信息的协议。

但是这两种协议之间有任何关联吗？一个依赖另一个吗？如果我需要彻底了解 LDAP，我是否需要了解 SNMP？

我问这个的原因是我试图了解什么是 LDIF，在这里谈论它时，此页面中有 SNMP 语法的参考：https : //docs.oracle.com/cd/E10773_01/doc/oim.1014 /e10531/schema_overview.htm。

/etc/sssd/sssd.conf如果变量未在 LDAP 中定义，应如何将文件配置为使用 LDAP 中定义的外壳程序和默认外壳程序？

假设我的服务器上有一个 NFS /home，它由客户端在启动时挂载（编辑：在他们自己的机器上——本地），以便为我的客户端拥有一个通用的 /home，这样他们会自动保存它们的任何内容对服务器做（编辑：在他们的机器上本地）。

我正在使用 LDAP/Kerberos 进行身份验证。如何在服务器上的 passwd 中没有这样的条目的情况下向用户chown /home/userdir 目录？

我的假设是，由于 NFS 按原样保留目录权限，用户将无法访问其他用户的主目录，因此，我将拥有一个安全的共享 /home 目录。

我在正确的轨道上吗？

感谢您的所有建议！

我被要求帮助管理我教会的信息系统。我们很小（约 3 名员工，约 150 名教区居民），这使我们无法满足我见过的许多“教堂管理”软件的需求。

目前最大的问题似乎是：

1. 没有电子邮件列表的集中管理。委员会的组成和领导层经常发生变化，通常发生的情况是新人只是从他们自己的帐户中复制以前消息和电子邮件中的收件人：行。（连同明显的问题，这导致了几个令人尴尬的回复所有人。）我的最佳解决方案包括隐藏个人电子邮件（可能隐藏在@foochurch.org 别名后面），并且在某些列表中，只允许某些用户发送。
2. 一些服务（例如网站、一些社交媒体）由免费/便宜的托管公司托管，这些公司似乎没有任何类型的 AD/LDAP 互操作性，这意味着我们将需要共享密码来处理某些事情。了解到这已经不是最佳选择，我认为我想要的是某种安全的密码管理系统，能够检查目录的授权。
3. 文件存储是一个相当大的问题。我们只讨论了 5 个左右的用户需要访问它，考虑到用户的技术水平，我认为网络驱动器或类似 Dropbox for business 的东西是最复杂的。理想情况下，这将包括备份。

由于这是一项志愿者工作，没有固定的 IT 人员和很少的预算，我试图在托管、简单和廉价之间找到正确的平衡。

鉴于上述问题，我认为开始的地方是目录服务器（如果可能，托管），但我从未设置过 ActiveDirectory 或 LDAP（我更像是一个程序员而不是系统管理员），所以我不是完全确定这是否正确以及我应该如何实际组织目录。我读过的大多数文章都直接针对企业。

另外，我不知道是否有托管邮件列表管理器并与之挂钩。

那么，您将如何解决这些约束条件下的问题？