คำถามติดแท็ก ldap

ฉันเป็นผู้พัฒนาผลิตภัณฑ์ที่ทำงานร่วมกับ LDAP สำหรับการตรวจสอบสิทธิ์ ฉันต้องตั้งค่าไดเรกทอรีที่ฉันสามารถทดสอบได้ ฉันไม่ใช่ผู้เชี่ยวชาญด้วย LDAP เพื่อช่วยให้เส้นโค้งการเรียนรู้ง่ายขึ้นมันจะมีประโยชน์ที่จะมีไดเรกทอรีตัวอย่างในโลกแห่งความจริง มีทรัพยากรใดบ้างที่จะช่วยฉันตั้งค่าไดเรกทอรีสาธิตพร้อมใช้งาน อุปกรณ์ VMware เป็นตัวอย่าง?

18 ldap 

ขณะนี้ฉันกำลังทำงานเกี่ยวกับการรวมการตรวจสอบสิทธิ์ LDAP เข้ากับระบบและฉันต้องการ จำกัด การเข้าถึงตามกลุ่ม LDAP วิธีเดียวในการทำเช่นนี้คือผ่านตัวกรองการค้นหาดังนั้นฉันเชื่อว่าตัวเลือกเดียวของฉันคือการใช้แอตทริบิวต์ "memberOf" ในตัวกรองการค้นหาของฉัน เป็นความเข้าใจของฉันว่าแอตทริบิวต์ "memberOf" เป็นแอตทริบิวต์การดำเนินงานซึ่งสามารถสร้างโดยเซิร์ฟเวอร์สำหรับฉันทุกครั้งที่มีการสร้างแอตทริบิวต์ "สมาชิก" ใหม่สำหรับรายการ "groupOfNames" ใด ๆ บนเซิร์ฟเวอร์ เป้าหมายหลักของฉันคือสามารถเพิ่มแอตทริบิวต์ "member" ไปยังรายการ "groupOfNames" ที่มีอยู่และมีการเพิ่มแอตทริบิวต์ "memberOf" ที่ตรงกันลงใน DN I ที่ให้ไว้ สิ่งที่ฉันมีเพื่อให้บรรลุ: ฉันยังใหม่กับการดูแลระบบ LDAP แต่จากสิ่งที่ฉันพบในคำแนะนำของผู้ดูแลระบบ openldap ดูเหมือนว่าReverse Group Membersence Maintence aka "memberof overlay" จะบรรลุผลตามที่ฉันต้องการ เซิร์ฟเวอร์ของฉันกำลังเรียกใช้การติดตั้งแพคเกจ (slapd บน Ubuntu) ของ openldap 2.4.15 ซึ่งใช้การกำหนดค่าสไตล์รันไทม์ "cn …

18 ldap  openldap 

ฉันค่อนข้างใหม่กับ LDAP และได้เห็นตัวอย่างสองประเภทของวิธีการตั้งค่าโครงสร้างของคุณ วิธีหนึ่งคือการมีฐานเป็นอยู่: dc=example,dc=comในขณะที่ตัวอย่างอื่นมีฐานเป็นo=Exampleอยู่ คุณสามารถมีกลุ่มที่มีลักษณะดังนี้: dn: cn = team, ou = Group, dc = example, dc = com cn: ทีม objectClass: posixGroup memberUid: user1 memberUid: user2 ... หรือใช้สไตล์ "O": dn: cn = ทีม, o = ตัวอย่าง objectClass: posixGroup memberUid: user1 memberUid: user2 คำถามของฉันคือ: มีวิธีปฏิบัติที่ดีที่สุดที่กำหนดโดยใช้วิธีหนึ่งเหนือวิธีอื่นหรือไม่? มันเป็นเรื่องของการตั้งค่าที่คุณใช้สไตล์หรือไม่? มีข้อได้เปรียบใด ๆ หรือไม่ในการใช้อันใดอันหนึ่ง? เป็นวิธีหนึ่งในแบบเก่าและรุ่นใหม่และที่ปรับปรุงแล้วหรือไม่ …

18 ldap  openldap 

ฉันจะส่งรหัสผ่านไปldapsearchยัง-y <password file>ตัวเลือกได้อย่างไร? หากฉันเขียนรหัสผ่านในไฟล์รหัสผ่านเป็นข้อความธรรมดาฉันจะได้รับข้อผิดพลาดนี้: ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 52e, v1772 สิ่งเดียวกันจะเกิดขึ้นหากฉันใช้-w <password>ตัวเลือก แก้ไข : คำสั่งที่ฉันใช้คือ ldapsearch -x -D <my dn> -y .pass.txt -h server.x.x -b "dc=x,dc=y" "cn=*" ที่ไฟล์.pass.txtมีรหัสผ่านของฉันเป็นข้อความธรรมดา ทั้ง DN และรหัสผ่านถูกต้อง หากฉันรันคำสั่งพร้อม-Wตัวเลือกและพิมพ์รหัสผ่านบนพรอมต์คำสั่งจะทำงานได้สำเร็จ แต่ฉันต้องการเก็บรหัสผ่านเพื่อสร้างสคริปต์

18 linux  ldap 

กาลครั้งหนึ่งนานมาแล้วมีป่าเสมือนอันอบอุ่นในอเมริกาใต้และเซิร์ฟเวอร์ปลาหมึกอาศัยอยู่ที่นั่น นี่คือภาพการรับรู้ของเครือข่าย: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] เมื่อUsersคำขอเข้าถึงอินเทอร์เน็ตsquidให้ถามชื่อและหนังสือเดินทางของพวกเขารับรองความถูกต้องโดยLDAPและหาก ldap อนุมัติพวกเขาแล้วเขาก็อนุญาต ทุกคนมีความสุขจนกระทั่งนักดมกลิ่นบางคนขโมยหนังสือเดินทางในเส้นทางระหว่างผู้ใช้กับปลาหมึก [เส้นทาง A] ภัยพิบัติครั้งนี้เกิดขึ้นเพราะปลาหมึกใช้Basic-Authenticationวิธีการ คนในป่ารวมตัวกันเพื่อแก้ปัญหา กระต่ายบางตัวเสนอโดยใช้NTLMวิธีการ งูที่ต้องการDigest-Authenticationในขณะที่Kerberosแนะนำโดยต้นไม้ ท้ายที่สุดแล้วคำตอบมากมายที่นำเสนอโดยผู้คนในป่าและทั้งหมดก็สับสน! The Lion ตัดสินใจที่จะยุติสถานการณ์ เขาตะโกนกฎสำหรับการแก้ปัญหา: โซลูชันจะปลอดภัยหรือไม่! โซลูชันจะใช้งานได้กับเบราว์เซอร์และซอฟต์แวร์ส่วนใหญ่ (เช่นซอฟต์แวร์ดาวน์โหลด) จะแก้ปัญหาได้ง่ายและไม่ต้องการระบบย่อยขนาดใหญ่อื่น ๆ (เช่นเซิร์ฟเวอร์ Samba) วิธีนี้จะไม่ขึ้นอยู่กับโดเมนพิเศษ (เช่น Active Directory) จากนั้นวิธีแก้ปัญหาที่ชาญฉลาดและครอบคลุมเป็นอย่างมากที่นำเสนอโดยลิงทำให้เขากลายเป็นราชาองค์ใหม่แห่งป่า! คุณเดาได้ไหมว่าทางออกคืออะไร เคล็ดลับ: เส้นทางระหว่างsquidและLDAPได้รับการคุ้มครองโดยสิงโตดังนั้นวิธีการแก้ปัญหาจึงไม่ปลอดภัย หมายเหตุ:ขออภัยถ้าเรื่องราวน่าเบื่อและยุ่ง แต่ส่วนใหญ่เป็นเรื่องจริง! =) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) …

17 security  authentication  ldap  squid  kerberos 

มีกล่อง (~ 30) Linux (RHEL) ไม่กี่กล่องและฉันกำลังมองหาโซลูชันที่จัดการจากส่วนกลางและใช้งานง่ายส่วนใหญ่สำหรับการควบคุมบัญชีผู้ใช้ ฉันคุ้นเคยกับ LDAP และฉันปรับใช้นักบินของ IPA ver2 จาก Red Hat (== FreeIPA) ฉันเข้าใจว่าในทางทฤษฎีแล้ว IPA มีวิธีแก้ปัญหาคล้าย ๆ กับ "MS Windows domain" แต่โดยสรุปแล้วมันไม่ใช่ผลิตภัณฑ์ที่ง่ายและเป็นผู้ใหญ่ [ยัง] นอกเหนือจาก SSO มีคุณลักษณะด้านความปลอดภัยที่มีเฉพาะในโดเมน IPA และไม่สามารถใช้งานได้เมื่อฉันใช้ LDAP หรือไม่ ฉันไม่สนใจ DNS และส่วน NTP ของโดเมน IPA

16 linux  ldap  kerberos  freeipa 

ปัจจุบัน OpenLDAP จะต้องมีการกำหนดค่าด้วย ldapmodify cn = การตั้งค่าตามที่อธิบายที่นี่ แต่ไม่มีที่ไหนฉันสามารถหาวิธีการที่คุณกำหนดค่าให้เพียงยอมรับการจราจร TLS ฉันเพิ่งยืนยันว่าเซิร์ฟเวอร์ของเรายอมรับการรับส่งข้อมูลที่ไม่ได้เข้ารหัส (ด้วย ldapsearch และ tcpdump) โดยปกติแล้วฉันจะปิดพอร์ตที่ไม่ใช่ SSL ด้วยตาราง IP แต่การใช้พอร์ต SSL นั้นถูกคัดค้านอย่างเห็นได้ชัดดังนั้นฉันจึงไม่มีตัวเลือกนั้น ดังนั้นด้วยคำสั่งการกำหนดค่า SSL เช่นนี้: dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem มีพารามิเตอร์ในการบังคับใช้ TLS หรือไม่ แก้ไข: ฉันลอง olcTLSCipherSuite แล้ว แต่มันไม่ทำงาน ดีบักเอาต์พุต: …

16 ldap  openldap  tls 

ฉันใช้ openldap 2.4.40 และฉันจำเป็นต้องย้ายฐานข้อมูล ldap ที่มีอยู่การกำหนดค่าและสคีมา (โดยทั่วไปทุกอย่างเกี่ยวกับเซิร์ฟเวอร์ ldap) ไปยังเครื่องใหม่ ปัญหาคือฉันใช้การกำหนดค่า cn = config ไม่ใช่ไฟล์ slapd.conf เก่าอีกต่อไป เอกสารที่จัดทำโดย openldap และเว็บไซต์บุคคลที่สามอื่น ๆ จะช่วยในการโยกย้ายเซิร์ฟเวอร์ LDAP slapd.conf ไม่ใช่เซิร์ฟเวอร์ LDAP ที่มีไฟล์การกำหนดค่า cn = config ที่ใหม่กว่า และฉันยังมี schema ใหม่ (จากประเภทและ objectclass) มีวิธีการโยกย้ายเหล่านี้ไปยังเครื่องใหม่ได้อย่างง่ายดายที่สุด? ฉันต้องการวิธีอื่นนอกเหนือจากการกำหนดค่าใหม่และเพิ่มสคีมาของฉันด้วยตนเองทีละเครื่องในเครื่องใหม่ สิ่งนี้จะทำโดยมีเจตนาที่จะปิดเครื่องเก่าน่าจะเป็นไปได้ TL; DR มีวิธีใดที่จะย้ายฐานข้อมูล LDAP, schema, การกำหนดค่าจากเซิร์ฟเวอร์ LDAP 1 ไปยังเซิร์ฟเวอร์ LDAP ใหม่โดยสะดวกโดยมีเจตนาที่จะปิดเครื่องเก่า ขอขอบคุณ. …

16 configuration  ldap  migration  openldap  schema 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน4 ปีที่แล้ว เราจะใช้ LDAP สำหรับการตรวจสอบจากส่วนกลางในองค์กรของเรา เครื่องมือการจัดการ LDAP ที่ง่ายที่สุดแบบใดที่ดีที่สุดที่มีอยู่

16 linux  ldap  openldap 

เมื่อพยายามเชื่อมต่อ ldaps กับเซิร์ฟเวอร์ Novel eDirectory 8.8 ของฉันบางครั้งฉันต้องใส่TLS_REQCERT neverไฟล์ ldap.conf ของเซิร์ฟเวอร์ไคลเอ็นต์ เห็นได้ชัดว่านี่เป็นความคิดที่ไม่ดี คำสั่งที่ฉันเรียกใช้คือสิ่งนี้ด้วยข้อมูลประจำตัวที่ใช้งานได้จริง ... ldapsearch -x -H ldaps://ldapserver -b 'ou=active,ou=people,dc=example,dc=org' -D 'cn=admin,dc=example,dc=org' -W "cn=username" บน Ubuntu 13.10 ทำงานได้ดี ใน SLES มันใช้งานได้ดี บน CentOS 6.5 จะส่งคืน: ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) ตอนนี้ใบรับรองที่ฉันนำเข้าคือใบรับรองตัวแทนที่ซื้อจาก DigiCert เพื่อนร่วมงานของฉันพบว่ามีรายงานบางฉบับระบุว่าบางระบบมีปัญหากับสัญลักษณ์แทน ดังนั้นไวลด์การ์ดจะตำหนิหรือไม่? ถ้าเป็นเช่นนั้นฉันจะแก้ไขได้อย่างไร ถ้าไม่ใช่ไวด์การ์ดรับรองแล้วมันคืออะไร? ปฏิบัติตามคำแนะนำของ Andrew Schulman ฉันเพิ่ม-d1คำสั่ง …

15 ssl-certificate  ldap  edirectory 

ค้นหาคำตอบ แต่ไม่พบสิ่งใดในที่นี่ ... เรื่องสั้นสั้น: องค์กรที่ไม่แสวงหาผลกำไรต้องการโครงสร้างพื้นฐานที่ทันสมัย สิ่งแรกคือการหาทางเลือกในการจัดการบัญชีผู้ใช้บนโฮสต์ Linux จำนวนหนึ่ง เรามี 12 เซิร์ฟเวอร์ (ทั้งแบบกายภาพและเสมือน) และประมาณ 50 เครื่อง เรามีผู้ใช้ 500 คนสำหรับระบบเหล่านี้ บุคคลที่สร้างและบำรุงรักษาระบบในช่วงหลายปีที่ผ่านมาได้เกษียณ เขาเขียนสคริปต์ของตัวเองเพื่อจัดการทุกอย่าง มันยังใช้งานได้ ไม่มีการร้องเรียน อย่างไรก็ตามสิ่งต่าง ๆ มากมายนั้นเป็นแบบแมนนวลและมีข้อผิดพลาดได้ง่าย โค้ดยุ่งเหยิงและบ่อยครั้งหลังจากการอัพเดทต้องมีการปรับแต่ง ส่วนที่แย่ที่สุดคือมีเอกสารที่เขียนน้อยมาก มีเพียงไม่กี่ ReadMe's และบันทึกย่อแบบสุ่มซึ่งอาจหรืออาจไม่เกี่ยวข้องอีกต่อไป ดังนั้นการบำรุงรักษาจึงเป็นงานที่ยาก บัญชีปัจจุบันมีการจัดการผ่าน / etc / passwd ในแต่ละระบบ การอัพเดตถูกแจกจ่ายผ่านสคริปต์ cron เพื่อแก้ไขระบบเมื่อมีการเพิ่มบัญชีในเซิร์ฟเวอร์ "หลัก" ผู้ใช้บางคนต้องมีการเข้าถึงระบบทั้งหมด (เช่นบัญชีดูแลระบบ) ผู้อื่นต้องเข้าถึงเซิร์ฟเวอร์ที่ใช้ร่วมกันในขณะที่คนอื่นอาจต้องเข้าถึงเวิร์กสเตชันหรือชุดย่อยเท่านั้น มีเครื่องมือที่สามารถช่วยเราจัดการบัญชีที่ตรงตามข้อกำหนดต่อไปนี้หรือไม่? โอเพ่นซอร์สเด่นกว่า (เช่นฟรีตามงบประมาณมี จำกัด มาก) หลัก …

15 ldap  user-management  user-accounts  groups  home-directory 

ฉันต้องการโน้มน้าวเจ้านายของฉันว่าเราควรใช้ git เพื่อควบคุมเวอร์ชัน เขากล่าวว่าจะต้องตรวจสอบผู้ใช้อย่างแน่นอนผ่านเซิร์ฟเวอร์ LDAP กลางของเรา ฉันดูโซลูชันที่หลากหลาย (gitweb, gitorious ... ) และไม่พบคำตอบที่ชัดเจนว่าพวกเขาสนับสนุนการตรวจสอบสิทธิ์ LDAP หรือไม่ ทางออกเดียวที่ฉันสามารถหาข้อมูลได้เล็กน้อยคือการตั้งค่า Apache + mod_ldap แต่นั่นหมายความว่าผู้ใช้ที่ตรวจสอบความถูกต้องของ LDAP ไม่จำเป็นต้องเหมือนกับผู้ใช้ git จริงใช่ไหม (ไม่ใช่ว่านี่เป็นปัญหาใหญ่ แต่เป็นเพียงบางสิ่งที่จะบั๊กฉัน) ดังนั้นวิธีที่ดีที่สุดในการรับรองความถูกต้องของผู้ใช้ git ผ่าน LDAP คืออะไร

15 ldap  git 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน7 ปีที่ผ่านมา ดูเหมือนว่าร้านค้าทุกแห่งที่ใช้ LDAP ในบางจุดจะต้องมีการรวมตัวกันเพื่อให้ผู้ใช้รีเซ็ตรหัสผ่านโดยไม่ต้องรบกวนเจ้าหน้าที่ไอที เวิร์กโฟลว์ดูเหมือนว่า: ผู้ใช้ให้ชื่อผู้ใช้ (jblow) ส่งอีเมลลิงก์ jblow @ company ลิงก์ผู้ใช้คลิกใส่รหัสผ่านใหม่ ในแบ็กเอนด์นั้นสอดคล้องกับ: แบบฟอร์มบนเว็บจะได้รับชื่อผู้ใช้ร้านค้า (ชื่อผู้ใช้สตริงที่ไม่ซ้ำกันขนาดใหญ่) ในฐานข้อมูลส่งอีเมลสตริงที่ไม่ซ้ำขนาดใหญ่ไปยังชื่อผู้ใช้ @ บริษัท รูปแบบอื่นมีการคลิกที่https: // site / pwreset /สตริงที่ไม่ซ้ำขนาดใหญ่ใช้เพื่อตรวจสอบสิทธิ์ผู้ใช้เปลี่ยนรหัสผ่าน ขวา? ดังนั้นมีคนเขียนหนึ่งในสิ่งเหล่านี้ที่พวกเขาแบ่งปันหรือไม่ ฉันควรใช้งานที่มีความคิดเพิ่มขึ้นเล็กน้อยกว่างาน 10 นาทีที่ทุกคนดูเหมือนจะทำ ฉันค้นหา Sourceforge, Freshmeat และอื่น ๆ อย่างรวดเร็วและไม่พบสิ่งที่ไม่ถูกทอดทิ้ง

15 ldap  password-management  password-reset 

เราใช้เซิร์ฟเวอร์ MySQL ที่แตกต่างกันสองสามโหลสำหรับผู้ใช้ของเรา สิ่งเหล่านี้ใช้ MySQL รุ่นฟรี / โอเพนซอร์ซไม่ใช่เวอร์ชันเชิงพาณิชย์ การจัดการรหัสผ่านของบัญชีบนเซิร์ฟเวอร์เหล่านี้เป็นสิ่งที่เจ็บปวด มีปลั๊กอินใดบ้างที่จะอนุญาตให้เราใช้ LDAP เพื่อช่วยจัดการสิทธิพิเศษของ MySQL? อย่างน้อยที่สุดเราต้องการได้รับชื่อผู้ใช้และรหัสผ่านบางส่วนจากเซิร์ฟเวอร์ LDAP เราใช้ MySQL 5.1 และ 5.5 เราอาจเต็มใจอัพเกรดเป็น MySQL 5.6 หากจำเป็นเพื่อให้บรรลุการทำงานนี้ เราต้องการให้เครื่องมือใด ๆ เป็นพื้นฐานของ CLI และไม่ต้องการ GUI หรือเว็บอินเตอร์เฟส

15 mysql  ldap  authentication 

ฉันมีเครือข่ายเซิร์ฟเวอร์ลินุกซ์ขนาดเล็ก แต่กำลังเติบโต เป็นการดีที่ฉันต้องการเป็นศูนย์กลางในการควบคุมการเข้าถึงของผู้ใช้เปลี่ยนรหัสผ่าน ฯลฯ ... ฉันได้อ่านเกี่ยวกับเซิร์ฟเวอร์ LDAP มากมาย แต่ฉันก็ยังสับสนเกี่ยวกับการเลือกวิธีการรับรองความถูกต้องที่ดีที่สุด TLS / SSL ดีเพียงพอหรือไม่ Kerberos มีประโยชน์อย่างไร? GSSAPI คืออะไร อื่น ๆ ... ฉันไม่พบคำแนะนำที่ชัดเจนที่อธิบายข้อดี / ข้อเสียของวิธีการต่าง ๆ เหล่านี้ ขอบคุณสำหรับความช่วยเหลือ

14 linux  authentication  ldap  kerberos  authorization