我一直在考虑mod_auth_kerb在我们的内部 Web 服务器上部署以启用 SSO。我能看到的一个明显问题是,它是一种要么全有要么全无的方法,要么您的所有域用户都可以访问某个站点,要么不能。
是否有可能结合起来mod_auth_kerb的东西,如mod_authnz_ldap在特定的组中LDAP检查组成员?我猜这个KrbAuthoritative选项会与此有关吗?
此外,据我所知,该模块将用户名设置为username@REALM经过身份验证,但当然在目录中,用户仅存储为用户名。此外,我们运行的一些内部站点(例如 trac)已经有一个链接到每个用户名的用户配置文件。有没有办法解决这个问题,也许是通过在身份验证后以某种方式剥离领域位?
我在 Windows Server 2003 机器上有一组私有的 Subversion 存储库,开发人员可以通过 svn:// 协议通过 SVNServe 访问这些存储库。目前,我们一直在使用每个存储库的authz和passwd文件来控制访问,但是随着存储库和开发人员数量的增加,我正在考虑改用 ActiveDirectory 中的凭据。我们在一家所有的 Microsoft 商店中运行,并在我们所有的 Web 服务器上使用 IIS 而不是 Apache,所以如果可能的话,我更愿意继续使用 SVNServe。
除了可能之外,我还关心如何迁移我们的存储库,以便现有用户的历史记录映射到正确的 ActiveDirectory 帐户。还请记住,我不是网络管理员,而且我对 ActiveDirectory 并不十分熟悉,因此如有必要,我可能需要通过其他人来获取在 ActiveDirectory 中所做的更改。
我有哪些选择?
更新 1:从SVN 文档看来,通过使用 SASL,我应该能够让 SVNServe 使用 ActiveDirectory 进行身份验证。澄清一下,我正在寻找的答案是如何配置 SVNServe(如果可能)以使用 ActiveDirectory 进行身份验证,然后如何修改现有存储库以将现有 svn 用户重新映射到他们的 ActiveDirectory 域登录帐户。
更新 2:似乎 SVNServe 中的 SASL 支持在插件模型下工作,文档仅作为示例显示。查看Cyrus SASL 库,它似乎支持多种身份验证“机制”,但我不确定哪一种用于 ActiveDirectory 支持,也无法找到有关此类问题的任何文档。
更新 3:好的,看起来为了与 ActiveDirectory 通信,我希望使用saslauthd而不是sasldb作为auxprop_plugin属性。不幸的是,根据一些帖子(可能已经过时和不准确),saslauthd似乎不是在 Windows 上构建的,这样的努力被认为是一项正在进行的工作。 …
是否可以将请求 URI 的一部分用作 mod_authnz_ldapRequire ldap-group指令的输入?
我正在尝试动态检查对一堆不同项目目录的访问,所有目录都在http://testserver.com/projects/下,这样访问的用户/projects/abc将被检查cn=abc,ou=groups,dc=test. 理想情况下,我希望在不为每个项目创建单独的 Location 指令的情况下执行此操作,因为很可能有数百个。
我想出了这个,它说明了一般概念,但它不起作用(project_name 不检索实际变量内容):
<Location /projects>
SetEnvIf Request_URI "/projects/([-a-z0-9A-Z_]+)/" project_name=$1
AuthType Basic
AuthBasicProvider ldap
AuthName "Restricted Resource - SVN (LDAP)"
AuthLDAPURL "ldap://127.0.0.1:389/dc=test?uid"
AuthLDAPGroupAttributeIsDN off
AuthLDAPGroupAttribute memberUid
Require ldap-group cn=%{project_name},ou=groups,dc=test
</Location>
帮助?
我的 Centos 6 服务器上的 openldap 日志文件中没有任何信息。这就是我配置它的方式。SELinux 目前被禁用。
首先创建一个文件夹,我想在其中存储日志文件。
mkdir /var/log/slapd
chmod 755 /var/log/slapd/
chown ldap:ldap /var/log/slapd/
然后进行了配置。
ldapsearch -D "cn=admin,cn=config" -w secret -b cn=config cn=config
dn: cn=config
changetype:modify
replace: olcLogFile
olcLogFile: /var/log/slapd/slapd.log
-
replace: olcLogLevel
olcLogLevel: conns filter config acl stats shell
EOF
为了安全起见,我重新启动了服务
service openldap restart
它确实创建了文件,但不向文件中写入任何内容。当然,我对 LDAP 服务器进行了一些搜索和更新,因此它可以获取连接和要记录的内容。
$ ls -alh
total 12K
drwxr-xr-x. 2 ldap ldap 4.0K Oct 25 14:27 .
drwxr-xr-x. 6 root root 4.0K Oct 25 14:10 ..
-rw-r--r--. 1 ldap ldap 0 Oct 25 …我查看了较新 OpenLDAP 版本的安装和配置说明,并决定为我的小用户群设置太多工作。基本上,我只使用 LDAP 来同步少数机器上的用户帐户(好吧,这并不真正需要目录服务器)并让这些用户访问一些基于 Web 的工具,避免需要在多个机器上创建用户帐户地方。
你能推荐一个在 *nix 系统上使用的小型、简单的 LDAP 服务器吗?
我唯一的要求是能够通过 LDAP 提供 PosixAccount 和 Group 对象。
我知道 LDAP 搜索库后缀通常与目录服务器的主机名匹配。换句话说,我知道如果主机名是od.foobar.com,我应该使用搜索库后缀:dc=od,dc=foorbar,dc=com
不明白我为什么要这样做让我很困扰。有人可以提供一些背景并准确解释我在做什么吗?
如何按 GUID 在 Active Directory 中搜索对象?换句话说,找到属于指定 GUID 的对象的好方法是什么?
我正在尝试找到在 Tomcat 下使用 LDAP 支持安装 Gerrit 的良好说明。我最好将它安装在 Windows 2008 Server 上。但是,如果不可能,我可以选择 Linux。
Gerrit 说明仅涵盖在码头下安装:
http://gerrit.googlecode.com/svn/documentation/2.1.3/install-j2ee.html#installation
如果我想在不同的环境下设置它,没有多少工作要做。
我确实找到了一些有用的链接,但没有将设置整合在一起。
http://codeslife.com/2011/06/08/install-gerrit-locally-under-windows/ http://gerrit.googlecode.com/svn/documentation/2.1.7/config-gerrit.html#_a_id_ldap_a_section_ldap http ://code.google.com/p/gerrit/issues/detail?id=292
我总是可以通过反复试验来设置它,但如果有人已经解决了这些问题,我更愿意节省时间。
任何类似nslookup或dig提供基于名称中包含的内容进行搜索的功能......例如通配符搜索或其他内容?
我正在尝试为我们的帮助台团队制作一个带有 GUI 包装器的小脚本。理想情况下,我希望他们能够搜索用户的姓氏(DNS 记录中始终存在的名称),然后我将使用可能的选项填充下拉列表以供选择。
我无法找到一种方法来有效地拥有相当于nslookup *miller*......然后回来会很棒
Name: sf-jacobmiller.localdomain.com
Address: 10.10.10.121
Name: sf-justinmiller.localdomain.com
Address: 10.10.10.144
..然后我可以解析成一个下拉菜单供他们选择。
我还没有研究ldapsearch可以做我正在寻找的事情的可用内容。我唯一的要求是它内置于 OSX 中,我不需要安装任何其他东西,否则我愿意接受您可以提供的任何解决方案。谢谢
在我们运行 OpenSUSE 12.2 的机器上,我们已经安装了 OpenLDAP 和sssd守护进程。我们正在使用这两个服务进行用户身份验证。最近我们创建了一个脚本,它动态地为我们的虚拟主机创建新的网络用户,但现在我们正在处理一个问题。
sssd 似乎使用了某种缓存,并在getent passwd此期间返回已从 LDAP 中删除的用户。有时它不会立即返回最近创建的用户,因为它在脚本中是必要的(用于使用setfacl和设置权限chown)。
重新启动 LDAP,sssd或者nscd没有帮助,也没有使用sss_cache -U. 我们尝试降低配置中的缓存,sssd但似乎没有任何影响。
在将新用户添加到 LDAP 或完全禁用缓存后,我们需要以某种方式显式刷新缓存。
有没有人遇到过类似的问题?