我作为管理员工作的学校要求系统升级。目前我们正在使用政府推荐的名为 SuliXerver 的 Linux 发行版——它会很棒,但大多数管理功能已被禁用,并由管理发行版的公司控制。由于这家公司忽略了它的主要问题,学校董事会决定改用其他方法。
由于我们的预算有限,Windows 解决方案是不可能的。这给我们留下了开源和免费软件。
我一直在研究面向教育的发行版,但问题是,没有一个发行版(根据我所见)为最终用户提供像 SuliXerver 那样的舒适度——主要是统一的 Web 界面,虽然受到限制,拥有所有需要的功能(用户管理、用户网络访问控制、电子邮件等)。
我仍然没有决定最好的选择。到目前为止我检查过的发行版:
有没有我错过的其他发行版,它更适合我们的解决方案?由于时间有限,我被要求完成整个转移(到 10 月底我应该有一个工作原型系统,最迟 12 月底,必须完成转换),我觉得我不能写我们的任务自己的解决方案。
要求:
在我新安装的 Ubuntu 12.04 机器上,安装ntp和slapd安装后,以下消息会/var/log/syslog定期出现:
Feb 23 18:54:07 my-host kernel: [ 24.610703] type=1400 audit(1393181647.872:15): apparmor="DENIED" operation="open" parent=1 profile="/usr/sbin/ntpd" name="/etc/ldap/ldap.conf" pid=1526 comm="ntpd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
我已经搜索过,但找不到关于可能导致这些消息的原因以及如何解决问题的任何信息。任何人都可以阐明导致这种情况的原因以及如何处理吗?
我们将我们的用户存储在 LDAP 中,以及一些跨不同系统(包括组织角色wheel)有意义的组。也有工作站本地的组,例如audio或video不希望放入 LDAP 的组。现在,如果我在本地登录,我会得到那些本地组,但是如果我通过 SSH 登录到同一台机器,我就缺少它们。如果我su之后直接使用,它们当然会回来。我可能在错误的轨道上,但怀疑 PAM。
相关条目来自 nsswitch.conf
passwd: compat ldap
shadow: compat ldap
group: compat ldap
至于 pam,总是 auth 行,但其他行是相同的
/etc/pam.d/sshd
auth include system-remote-login
/etc/pam.d/system-remote-login(与system-local-login我可能添加的相同)
auth include system-login
/etc/pam.d/system-login
auth required pam_tally2.so onerr=succeed
auth required pam_shells.so
auth required pam_nologin.so
auth include system-auth
auth optional pam_gnome_keyring.so
account required pam_access.so
account required pam_nologin.so
account include system-auth
account required pam_tally2.so onerr=succeed
password include system-auth
password optional pam_gnome_keyring.so
session optional …我们需要使用证书通过 tls 将我们的 php 脚本连接到 LDAP。LDAP 连接在没有 tls 的情况下运行良好。更多细节在这里/sf/ask/1068217671/
我们设法使用 Softerra LDAP 浏览器从 Windows 通过 tls 进行连接。它要求我们安装证书以及我们是否信任它。
我的最终结果是能够使用来自 php 的 TLS 对 LDAP 进行身份验证。我已获得 .cer 类型的证书。它来自 Windows Exchange 机器。据我所知,SLES 支持 .pem 证书。所以我的问题是...
Q1:我是否需要先从 .cer 转换为 .pem,然后才能在客户端(SLES 服务器)上安装证书,最后Q2:在服务器上安装此证书的最佳方法是什么,以便我的 php 应用程序可以访问它并完成它的工作。请注意,在 SLES 服务器上,我们需要连接到不同的 LDAP 服务器。
目前如果我们跑
ldapsearch -H ldaps://localhost:9215 -W
我们得到
Enter LDAP Password:
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate)
我在这里找到了很多很好的信息http://www.php.net/manual/de/function.ldap-connect.php#36156尤其是这句话在我看来很重要Once you've gotten …
背景:
我不太熟悉配置方面的 pam 和 LDAP 身份验证的来龙去脉。我使用过使用 pam 的系统,但我只在应用程序上工作,而不是系统本身。
问题:
使用pam通过LDAP控制身份验证,这是否意味着不会在系统上创建主目录?
如果没有,我会在服务器上创建用户还是以某种方式将用户从 LDAP 源推送到系统?
我将 OpenSuSE 12.1 与通过 LDAP 和 NFS 共享的家一起使用。ldap 存储映射。我的问题是我无法在启动时安装共享。它仅在手动重新启动 autofs 服务时有效。在 CentOS 6.3 上没有这样的问题。
我的/etc/nsswitch.conf:
passwd: files sss
group: files sss
hosts: files mdns4_minimal [NOTFOUND=return] dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files
bootparams: files
automount: files ldap
aliases: files
我的/etc/openldap/ldap.conf:
SIZELIMIT 20
TIMELIMIT 15
#DEREF never
TLS_REQCERT demand
uri ldap://10.0.0.1
base dc=domain,dc=com
我的/etc/sssd/sssd.conf:
[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = …我基本上知道这些服务彼此分开做什么。我想知道的是:在使用所有这些服务的基于 linux 的网络中成功登录时究竟会发生什么?咨询这些服务的顺序是什么?什么服务与什么服务对话?
我想在局域网上设置多台计算机,都连接到一台 unix 服务器。
主要目标是用户帐户应该只存在于服务器上。这样任何用户都可以通过任何给定的计算机访问他的正常界面。
这样做有哪些不同的方法,这些方法的优缺点是什么?
旁注:我正在寻找一种简单的方法,需要在单个终端上完成绝对最少的工作。如果用户可以玩游戏并做资源密集型的事情,那将是一个奖励。
我目前使用 Active Directory 运行 Windows 服务器。但由于我们不再使用 Exchange 2007,它变成了带有身份验证的精美文件服务器。
我想将 AD 移动到 Linux 服务器。什么是最好的方法来做到这一点?我应该使用哪个 LDAP 服务器?
更新不会留下任何 Windows 客户端。它们将更新为 Edubuntu。
我正在使用 Debian Squeeze OpenLDAP。在哪里可以设置 ACL?是否可以执行对指令的访问ldapmodify?slapd.confDebian 中没有文件,他们使用slapd.d文件夹