คำถามติดแท็ก ldap

ฉันมีกล่องลินุกซ์บางตัวที่ใช้การรับรองความถูกต้องของ Windows Active Directory ซึ่งใช้งานได้ดี (Samba + Winbind) สิ่งที่ฉันต้องการจะทำในขณะนี้คืออนุญาตเฉพาะบางคนหรือบางกลุ่มที่จะเข้าสู่ระบบโดยใช้ข้อมูลประจำตัวของ Active Directory ขณะนี้ทุกคนที่มีบัญชีโฆษณาที่ถูกต้องสามารถเข้าสู่ระบบได้ ฉันต้องการ จำกัด สิ่งนี้เพียงไม่กี่กลุ่ม เป็นไปได้หรือไม่

14 linux  active-directory  samba  ldap  winbind 

ฉันหวังว่าปรมาจารย์ PAM / LDAP บางคนอาจช่วยฉันได้ที่นี่ ฉันเพิ่งตั้งค่าไดเรกทอรี LDAP บน Ubuntu Server เพื่อระงับบัญชีสำหรับลูกค้าของฉัน (สำหรับใช้กับระบบบนเว็บ) และพนักงาน (ที่จะต้องลงชื่อเข้าใช้ผ่าน SSH) การตรวจสอบสิทธิ์ LDAP ทำงานได้อย่างสมบูรณ์ อย่างไรก็ตามฉันไม่สามารถใช้ข้อ จำกัด บัญชีได้: บัญชีพนักงานจะมี ID ระหว่าง2001และ2999และจะเป็นสมาชิกของssh-usersกลุ่มเพื่ออนุญาตให้พวกเขาลงชื่อเข้าใช้เซิร์ฟเวอร์ ข้อ จำกัด ในคำถามอยู่ใน/etc/ldap.confและpam_min_uid, และpam_max_uidpam_groupdn pam_groupdnมี DN ทั้งหมดในssh-usersกลุ่ม ของฉัน pam_min_uid= 2000และ=pam_max_uid2999 ตอนนี้ฉันสามารถทำให้พวกมันทำงานได้โดยการเพิ่ม: account [success=1 default=ignore] pam_ldap.so ดังกล่าวข้างต้นสายในpam_unix.so /etc/pam.d/common-accountอย่างไรก็ตามบัญชี Unix ท้องถิ่นนั้นไม่สามารถเข้าสู่ระบบได้: เซิร์ฟเวอร์ SSH ฆ่าการเชื่อมต่อทันทีที่ลอง ฉันได้ตั้งค่าpam_ldap.soโมดูลsufficientเป็นไฟล์ข้างต้น แต่จากนั้นผู้ใช้ที่ไม่ถูกต้องจะได้รับข้อความแจ้งว่าไม่สามารถเข้าสู่ระบบได้ ดังนั้นฉันจะตั้งค่าข้อ จำกัด …

14 ubuntu  ldap  pam 

เซิร์ฟเวอร์ linux ของฉันกำลังพยายามสร้างการเชื่อมต่อ LDAPS ไปยังเซิร์ฟเวอร์แคตตาล็อกส่วนกลางและการเชื่อมต่อเริ่มลดลง สำหรับวัตถุประสงค์ของการสนทนาสมมติว่า 1.1.1.1 เป็นเซิร์ฟเวอร์ Linux และ 1.2.3.4 เป็นเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง ถ้าฉันพยายามใช้telnetจากกล่อง Linux ฉันเห็น: [root@foobox ~]# telnet gcfoo.exampleAD.local 3269 Trying 1.2.3.4... Connected to gcfoo.examplead.local. Escape character is '^]'. Connection closed by foreign host. ไม่มีความล่าช้าระหว่างบรรทัดที่ 4 และ 5 มันลดการเชื่อมต่อทันที ฉันคิดว่าtelnetผลลัพธ์อาจทำให้เข้าใจผิดเล็กน้อย (เนื่องจากมันไม่เหมาะสำหรับการสื่อสารที่ปลอดภัยประเภทใด ๆ ) ดังนั้นฉันจึงรวบรวมแพคเก็ตของการพยายามเชื่อมต่อจริงจากอุปกรณ์ (ใช้โปรแกรมจริงที่ต้องใช้ LDAPS) นี่คือสิ่งที่ฉันเห็น (อีกครั้ง IP และพอร์ตต้นทางได้รับการเปลี่ยนชื่อเพื่อปกป้องผู้บริสุทธิ์): …

14 ldap  tcp  tcpip 

ฉันค้นหาไดเรกทอรี LDAP ที่มีจำนวนผลลัพธ์มากกว่า sizelimit ที่ตั้งค่าไว้ในปัจจุบันคือ 500 โดย slapd.conf ซึ่งไม่สามารถเปลี่ยนแปลง intent และวัตถุประสงค์ทั้งหมดได้) ความคิดของฉันคือการใช้ ldapsearch ต่อไป แต่มาจากออฟเซ็ตที่แตกต่างกันในแต่ละครั้ง (501, 1001 ฯลฯ ) จนกระทั่งได้รับผลลัพธ์ทั้งหมด ฉันเห็นman page สำหรับ ldapsearchแล้วและปรากฏว่าสิ่งนี้ได้รับการจัดการให้คุณโดยใช้ตัวเลือก -E: -E [!]<ext>[=<extparam>] search extensions (! indicates criticality) [!]domainScope (domain scope) [!]mv=<filter> (matched values filter) [!]pr=<size>[/prompt|noprompt] (paged results/prompt) [!]subentries[=true|false] (subentries) [!]sync=ro[/<cookie>] (LDAP Sync refreshOnly) rp[/<cookie>][/<slimit>] (LDAP …

14 ldap 

สิ่งนี้ได้ดักฟังฉันมาระยะหนึ่งแล้ว เราทุกคนรู้ว่า Active Directory เป็นฐานข้อมูล LDAP นอกจากนี้เรายังทราบว่าบริการ Windows DNS เมื่อทำงานบนตัวควบคุมโดเมนสามารถจัดเก็บข้อมูลไว้ในโฆษณาแทนไฟล์โซนข้อความธรรมดาดังนั้นจึงได้ประโยชน์จากการจำลองแบบอัตโนมัติของ AD และกำจัดความต้องการเซิร์ฟเวอร์ DNS หลัก / รอง คำถาม: ที่และวิธีการที่จะได้รับข้อมูลที่ถูกจัดเก็บจริง DNS ใน Active Directory? พวกเขาสามารถเข้าถึงได้โดยใช้เครื่องมือ LDAP เช่น ADSIEdit หรือไม่ รายการ DNS ใด ๆ เป็นวัตถุ LDAP จริงหรือไม่ คุณลักษณะในวัตถุหรือไม่? มีอะไรแตกต่างกันอย่างสิ้นเชิง?

14 domain-name-system  active-directory  database  ldap  schema 

ฉันต้องเพิ่มสิ่งorganizationalunitนี้ลงใน OpenLDAP ที่ติดตั้งใหม่ (บน Ubuntu 12.04): dn: ou=MYREGION, ou=MYAPP, ou=GROUPS, o=myorganization, c=fr ou: MYREGION objectClass: top objectClass: organizationalunit ดังนั้นเนื่องจากเป็น LDAP ใหม่ฉันคิดว่าฉันต้องเพิ่มfrประเทศก่อนและฉันสร้างไฟล์ดังกล่าว: dn: c=fr c: fr objectClass: top objectClass: country ตอนนี้ฉันพยายามที่จะนำเข้ามันด้วยคำสั่งนั้น (ฉันไม่มีโดเมนสำหรับเซิร์ฟเวอร์นั้น): ldapadd -x -D cn=admin,dc=nodomain -W -f country_fr.ldif แต่ OpenLDAP ปฏิเสธคำสั่งนั้นด้วย: adding new entry "c=fr" ldap_add: Server is unwilling to …

14 ldap  openldap  country 

ขออภัย - ฉันไม่ใช่ผู้ดูแลระบบ Windows จริงๆเพียงแค่พยายามผ่านการโต้ตอบ LDAP บางอย่างใน Java ฉันกำลังค้นหาวัตถุจำนวนมากด้วย "DEL:" ในชื่อจำเพาะ รายการเด็กกำพร้าเหล่านี้รอการรวบรวมขยะหรือไม่ ฉันจะลบออกได้อย่างไร ฉันไม่สามารถค้นหาพวกเขาผ่าน ADUC ได้ แต่ฉันสามารถค้นหาพวกมันผ่าน Java LDAP

13 windows-server-2008  active-directory  ldap  domain-controller 

ดังนั้นฉันมีปัญหาค่อนข้างแปลก ฉันมีเซิร์ฟเวอร์ที่เมื่อฉันพยายามที่จะ SSH เข้าปิดการเชื่อมต่อทันทีถ้าฉันพิมพ์รหัสผ่านที่ถูกต้องในความพยายามครั้งแรก อย่างไรก็ตามถ้าฉันตั้งใจป้อนรหัสผ่านผิดในครั้งแรกจากนั้นป้อนรหัสผ่านที่ถูกต้องที่การแจ้งเตือนครั้งที่สองหรือครั้งที่สามมันจะบันทึกฉันลงในคอมพิวเตอร์สำเร็จ ในทำนองเดียวกันเมื่อฉันพยายามใช้การตรวจสอบสิทธิ์กุญแจสาธารณะฉันจะได้รับการเชื่อมต่อที่ปิดทันที อย่างไรก็ตามหากฉันป้อนรหัสผ่านผิดสำหรับไฟล์คีย์ของฉันแล้วตามด้วยรหัสผ่านผิดพลาดอีกครั้งเมื่อย้อนกลับไปใช้การตรวจสอบรหัสผ่านฉันสามารถล็อกอินได้สำเร็จตราบใดที่ฉันระบุรหัสผ่านที่ถูกต้องในพรอมต์ที่สองหรือสาม เครื่องกำลังเรียกใช้ Red Hat Enterprise Linux Server รีลีส 6.2 (Santiago) และใช้ LDAP และ PAM สำหรับการตรวจสอบความถูกต้อง มีแนวคิดใดบ้างที่จะเริ่มแก้ไขข้อบกพร่องนี้ แจ้งให้เราทราบว่าไฟล์ config ใดที่ฉันต้องการให้และฉันยินดีที่จะทำเช่นนั้น นี่คือข้อมูลการดีบักบางส่วน บล็อครหัสต่อไปนี้แสดงถึง 3 สถานการณ์ตามลำดับ: 1) แก้ไขรหัสผ่านส่วนตัวในครั้งแรก 2) ข้ามรหัสส่วนตัวแก้ไขรหัสผ่านปกติเมื่อลองครั้งแรก 3) ข้ามรหัสส่วนตัวใส่รหัสผ่านไม่ถูกต้องแล้ว ใส่สิ่งที่ดี ... นี่เป็นสถานการณ์เดียวที่จริง ๆ แล้วฉันจะเชื่อมต่อ OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration …

13 ssh  ldap  authentication  openldap  pam 

ฉันเสียแล้วและส่วนใหญ่ทำงานกับ LDAP ของฉันกับ eDirectory ซึ่งมียูทิลิตีชื่อ DSTrace ที่น่ารักและสำหรับ LDAP โดยเฉพาะจะแสดงความพยายามในการเชื่อมโยงทั้งหมดของ IP ต้นทางการค้นหาที่ผ่านมาสรุป ของวัตถุที่ตรงกันกลับมา เมื่อทำการดีบั๊กแอปพลิเคชัน LDAP เช่นSAP GRCฉันสามารถที่จะเข้าใจได้ว่าแอปพลิเคชันทำอะไรผิดเพียงแค่เฝ้าดูสิ่งที่ทำ ฉันรู้ว่าบันทึกเหตุการณ์ความปลอดภัยจะมีข้อมูลบางอย่าง (พยายามผูกอย่างน้อย) แต่จะต้องมีวิธีที่ดีกว่านี้หรือไม่ มีฟังก์ชั่นดังกล่าวหรือไม่? ฉันเห็นคำถามการดีบักโฆษณาที่ใกล้เคียง แต่แนะนำกิจกรรมการเข้าสู่ระบบเท่านั้น ฉันต้องการมากขึ้นทุกวันเพื่อจัดการแอปพลิเคชัน LDAP

13 active-directory  ldap  trace 

ฉันกำลังกำหนดค่าระบบที่ใช้ทรัพยากรไอทีทั้งหมดผ่านคู่ผู้ใช้ - รหัสผ่านเดียวไม่ว่าจะเป็นการเข้าถึงเชลล์บนเซิร์ฟเวอร์การเข้าสู่ระบบโดเมน Samba, WiFi, OpenVPN, Mantis ฯลฯ (ด้วยการเข้าถึงบริการเฉพาะที่ควบคุม ตามความเป็นสมาชิกกลุ่มหรือฟิลด์วัตถุผู้ใช้) เนื่องจากเรามีข้อมูลส่วนบุคคลในเครือข่ายของเราเราจำเป็นต้องใช้การกำหนดอายุรหัสผ่านตามคำสั่งการคุ้มครองข้อมูลของสหภาพยุโรป (หรือค่อนข้างเป็นเวอร์ชั่นโปแลนด์) ปัญหาคือบัญชี Samba และ POSIX ใน LDAP ใช้ข้อมูลการแฮชรหัสผ่านและข้อมูลอายุที่แตกต่างกัน ในขณะที่การซิงโครไนซ์รหัสผ่านด้วยตนเองนั้นเป็นเรื่องง่าย ( ldap password sync = Yesในsmb.conf) การเพิ่มอายุรหัสผ่านให้กับการมิกซ์: Samba ไม่ได้ปรับปรุง shadowLastChange ร่วมกับobey pam restrictions = Yesสร้างระบบที่ผู้ใช้ windows ไม่สามารถเปลี่ยนรหัสผ่านเก่า แต่ถ้าฉันไม่ได้ใช้ไดเรกทอรีบ้านจะไม่ถูกสร้างขึ้นโดยอัตโนมัติ ทางเลือกคือใช้ใช้การทำงานแบบขยายของ LDAP สำหรับการเปลี่ยนรหัสผ่าน แต่smbk5pwdโมดูลไม่ได้ตั้งค่าไว้ สิ่งที่แย่กว่านั้นคือผู้ดูแล OpenLDAP จะไม่อัปเดต / ยอมรับแพตช์ ดังนั้นคำถามของฉันคือทางออกที่ดีที่สุดคืออะไร อะไรขึ้นและลงของพวกเขาคืออะไร? ใช้ …

13 domain  authentication  samba  ldap  pam 

เป็นการยากที่จะบอกสิ่งที่ถูกถามที่นี่ คำถามนี้คลุมเครือคลุมเครือไม่สมบูรณ์กว้างเกินไปหรือโวหารและไม่สามารถตอบได้อย่างสมเหตุสมผลในรูปแบบปัจจุบัน สำหรับความช่วยเหลือในการทำความเข้าใจคำถามนี้เพื่อที่จะสามารถเปิด, ไปที่ศูนย์ช่วยเหลือ ปิดให้บริการใน8 ปีที่ผ่านมา มีวิธีการ ping และเซิร์ฟเวอร์ ldap หรือไม่? ฉันได้เห็น ldapsearch และ ldapwhoami แต่จะขอบคุณบางสิ่งบางอย่างที่มากกว่า ping โดยพื้นฐานแล้วเรามีที่อยู่ bip ต่อหน้าตัวเลือกเซิร์ฟเวอร์ LDAP และกำลังต้องการยืนยันว่าเรากำลังเชื่อมต่อกับที่ใด

13 active-directory  ldap 

ฉันตั้งค่าการตรวจสอบ LDAP บน VPS ส่วนตัวของฉันและ Ubuntu มีสองแพคเกจเพื่อวัตถุประสงค์เดียวกัน: และlibpam-ldap libpam-ldapdฉันควรใช้อันไหนดี?

13 ubuntu  debian  authentication  ldap  pam 

วัตถุผู้ใช้ Active Directory มีจำนวนฟิลด์ที่สามารถพิจารณาเป็นตัวระบุได้ รายการต่อไปนี้แสดงรายการบางส่วนพร้อมป้ายกำกับของพวกเขาใน ADUC และชื่อแอตทริบิวต์ของพวกเขา: ชื่อเต็ม - cn ? - ชื่อ การเข้าสู่ระบบของผู้ใช้ sAMAccountName - sAMAccountName การเข้าสู่ระบบของผู้ใช้ UPN: userPrincipalName ? - ชื่อที่แตกต่าง ฉันกำลังพยายามให้นักพัฒนาของเราสร้างมาตรฐานให้ใช้หนึ่งในนั้นเมื่อเขียนโค้ดที่กำหนดเองซึ่งรับรองความถูกต้องกับโฆษณา - ปัญหาคือฉันไม่แน่ใจว่าเป็น "ขวา" หรือว่าแตกต่างกันเป็นรหัสที่แตกต่างกัน พฤติการณ์ ฉันไม่แน่ใจว่าควรใช้ฟิลด์ใด ๆ ข้างต้น! มีใครอีกบ้างที่เลือกใช้อย่างสม่ำเสมอและอะไรที่มีอิทธิพลต่อคุณในการตัดสินใจ เอกสารใดที่ชี้แจงปัญหา

12 active-directory  ldap  authentication 

ฉันมีชุดที่เก็บข้อมูลการโค่นล้มส่วนตัวในกล่อง Windows Server 2003 ซึ่งนักพัฒนาเข้าถึงผ่านทาง SVNServe ผ่านโปรโตคอล svn: // ขณะนี้เราได้ใช้ไฟล์authzและpasswdสำหรับแต่ละที่เก็บเพื่อควบคุมการเข้าถึงอย่างไรก็ตามด้วยจำนวนที่เพิ่มขึ้นของที่เก็บและนักพัฒนาที่ฉันกำลังพิจารณาเปลี่ยนไปใช้ข้อมูลประจำตัวของพวกเขาจาก ActiveDirectory เราทำงานในร้าน Microsoft ทั้งหมดและใช้ IIS แทน Apache บนเว็บเซิร์ฟเวอร์ของเราทั้งหมดดังนั้นฉันต้องการใช้ SVNServe ต่อไปถ้าเป็นไปได้ นอกจากนี้ยังเป็นไปได้ฉันยังกังวลเกี่ยวกับวิธีการย้ายที่เก็บข้อมูลของเราเพื่อให้ประวัติผู้ใช้ที่มีอยู่จับคู่กับบัญชี ActiveDirectory ที่ถูกต้อง โปรดทราบว่าฉันไม่ใช่ผู้ดูแลระบบเครือข่ายและฉันก็ไม่คุ้นเคยกับ ActiveDirectory มากดังนั้นฉันอาจต้องผ่านคนอื่น ๆ เพื่อรับการเปลี่ยนแปลงใน ActiveDirectory หากจำเป็น ตัวเลือกของฉันคืออะไร? อัปเดต 1: ปรากฏจากเอกสาร SVNที่โดยใช้ SASL ฉันควรจะได้รับ SVNServe เพื่อตรวจสอบสิทธิ์โดยใช้ ActiveDirectory เพื่อชี้แจงคำตอบที่ฉันกำลังมองหาคือวิธีการกำหนดค่า SVNServe (ถ้าเป็นไปได้) เพื่อใช้ ActiveDirectory สำหรับการรับรองความถูกต้องและวิธีการแก้ไขที่เก็บข้อมูลที่มีอยู่เพื่อทำการแมปผู้ใช้ svn ที่มีอยู่ใหม่ อัปเดต 2: …

12 windows  active-directory  svn  ldap  svnserve 

ฉันกำลังพิจารณาปรับใช้mod_auth_kerbบนเว็บเซิร์ฟเวอร์ภายในของเราเพื่อเปิดใช้งาน SSO ปัญหาที่ชัดเจนอย่างหนึ่งที่ฉันเห็นคือมันเป็นวิธีการทั้งหมดหรือไม่ว่าผู้ใช้โดเมนของคุณสามารถเข้าถึงเว็บไซต์ได้หรือไม่ เป็นไปได้ไหมที่จะรวมmod_auth_kerbกับสิ่งที่ต้องการmod_authnz_ldapตรวจสอบการเป็นสมาชิกกลุ่มในกลุ่มใดกลุ่มหนึ่งใน LDAP? ฉันคาดเดาว่าKrbAuthoritativeตัวเลือกจะมีส่วนเกี่ยวข้องกับสิ่งนี้หรือไม่ นอกจากนี้ตามที่ฉันเข้าใจโมดูลจะตั้งชื่อผู้ใช้username@REALMหลังจากการรับรองความถูกต้อง แต่แน่นอนในไดเรกทอรีที่ผู้ใช้เก็บไว้เป็นชื่อผู้ใช้เท่านั้น นอกจากนี้บางเว็บไซต์ภายในที่เราเรียกใช้เช่น trac มีโปรไฟล์ผู้ใช้เชื่อมโยงกับชื่อผู้ใช้แต่ละคนแล้ว มีวิธีแก้ไขปัญหานี้หรือไม่โดยการถอดบิต realm ออกหลังจากการพิสูจน์ตัวตน

12 apache-2.2  ldap  kerberos  single-sign-on