คำถามติดแท็ก openldap

ใน mac โดยใช้ Active Directory เราสามารถแคช ldap เข้าสู่ระบบข้อมูลประจำตัวโดยตรวจสอบการสร้างบัญชีมือถือที่เข้าสู่ระบบ มีวิธีอื่นที่จะทำสิ่งเดียวกันใน openldap กรุณาแบ่งปันข้อมูลหนึ่งที่นี่

2 mac  openldap 

ฉันมีเซิร์ฟเวอร์ openldap และฉันพยายามปรับTLSCipherSuiteการตั้งค่าของฉันให้ปลอดภัยเท่าที่จะทำได้ โปรดอย่าวิจารณ์การตั้งค่าความปลอดภัยที่แท้จริงของฉัน โปรดช่วยฉันเข้าใจว่าเกิดอะไรขึ้น ฉันกำลังแก้ไข/etc/openldap/slapd.confไฟล์และฉันกำลังใช้slaptestเพื่อแปลงไฟล์นั้นเป็น/etc/openldap/slapd.dไดเรกทอรีการกำหนดค่า ฉันใช้sslscanเพื่อแสดงรายการเลขศูนย์ที่มีให้ใช้งาน ฉันเริ่มต้นด้วย TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3 และsslscanบอกฉัน $ sslscan --no-failed hostname:636 | grep Accepted Accepted SSLv3 256 bits DHE-RSA-AES256-SHA Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA Accepted SSLv3 256 bits AES256-SHA Accepted SSLv3 256 bits CAMELLIA256-SHA [...] Accepted TLS12 112 bits DES-CBC3-SHA Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA Accepted …

1 tls  openldap 

ดังนั้นในช่วงสองสามสัปดาห์ที่ผ่านมาฉันได้กำหนดค่าโซลูชัน SSO สำหรับ บริษัท ขนาดเล็กของเรา ตอนนี้ฉันมีเซิร์ฟเวอร์ที่ใช้ OpenLDAP 2.4.4 พร้อม kerberos (openldap backend) ผู้ใช้สามารถเข้าสู่ระบบและรับตั๋วจาก krb ได้เช่นกันโดยใช้ SASL ฉันสามารถเชื่อมต่อเว็บแอปพลิเคชันกับ LDAP ที่จะตรวจสอบสิทธิ์ด้วย kerberos (แอตทริบิวต์ userPassword คือ {SASL}user_name@MY.DOMAIN) ทุกอย่างยอดเยี่ยมจนกระทั่งเราต้องการเว็บแอปพลิเคชันสำหรับการบริการตนเองของผู้ใช้ (การเปิดใช้งานบัญชีครั้งแรกรีเซ็ตรหัสผ่าน ฯลฯ ... ) หลังจากหาโซลูชันบางอย่างที่ฉันพบ PWM ( https://github.com/pwm-project/pwm ) หลังจากตั้งค่า PWM ฉันสังเกตเห็นบางสิ่งเมื่อพยายามเปลี่ยนรหัสผ่าน PWM ด้วยความพยายามเขียนถึงแอตทริบิวต์ "userPassword" แต่แอตทริบิวต์นั้นเพิ่งชี้ OpenLDAP เพื่อรับรองความถูกต้องกับ kerberos หลังจากค้นหาเพิ่มเติมฉันไม่พบแอปพลิเคชันเว็บใด ๆ ที่สนับสนุนการดูแลระบบ ldap ด้วยการพิสูจน์ตัวตน kerberos …

ldap  kerberos  openldap 

ฉันมีฐานข้อมูล LDAP ขนาดใหญ่และฉันต้องการสร้างแบบจำลองที่มีเพียงส่วนย่อยของฐานข้อมูลนั้น วัตถุประสงค์ของฉันคือการทำซ้ำสองสามกลุ่มและสมาชิกทุกคนในกลุ่มนั้น จนถึงตอนนี้ฉันกำลังแก้ปัญหาด้วยการทำซ้ำกลุ่มทั้งหมดและป้อนชื่อผู้ใช้ด้วยตนเองบนตัวกรองเรพลิกา ไม่เหมาะอย่างไรก็ตามเนื่องจากทันทีที่ฉันเพิ่มผู้ใช้ใหม่ในกลุ่มฉันต้องแก้ไขตัวกรองแบบจำลองด้วยตนเองเพื่อรวมผู้ใช้รายนี้เช่น: ก่อนการเพิ่มผู้ใช้บนเซิร์ฟเวอร์เรพลิกา: filter="(|(objectClass=posixGroup)(uid=user1)(uid=user2))" หลังจากผู้ใช้เพิ่มเติมบนเซิร์ฟเวอร์เรพลิคา: filter="(|(objectClass=posixGroup)(uid=user1)(uid=user2)(uid=NEWuser))" มีวิธีการในตัวที่จะทำงานนี้นั่นคือเพื่อทำซ้ำกลุ่มและสมาชิกทั้งหมดหรือไม่ มิฉะนั้นจะมีวิธีการใช้ "แบบสอบถามภายในแบบสอบถาม" (แบบสอบถามซ้อนถ้าคุณ) ที่ฉันใช้ผลแบบสอบถามเป็นอินพุตแบบสอบถามใหม่หรือไม่ ด้วยวิธีนี้ฉันจะสามารถค้นหาว่าใครเป็นสมาชิกของกลุ่มและเลือกผลลัพธ์ 'memberOf' เป็นพารามิเตอร์สำหรับตัวกรอง แม้ว่ามันจะดูซับซ้อนมาก

ldap  query  openldap 

เมื่อกำหนดแอททริบิวใน OpenLDAP คุณจะต้องระบุ SYNTAX OID เพื่อให้ OpenLDAP รู้ว่าแอปนั้นสามารถยอมรับแอททริบิวประเภทใด ฉันจะสร้าง SYNTAX ใหม่สำหรับ OpenLDAP ได้อย่างไร

syntax  openldap  attributes 

ฉันมักจะกำหนดค่าจาก 0 เซิร์ฟเวอร์ openldap โดยใช้ slapd.conf แล้วแปลงเป็น ldif slaptest -f /etc/openldap/slapd.conf -F /etc/slapd.d ทำงานได้ดี แต่ฉันต้องการเพิ่ม acl ซึ่งจะต้องมีผลเช่นนี้ค่ะ /etc/slapd.d/cn\=config.ldif olcAccess: {0}to * by dn.base="cn=Manager,dc=ldap1,dc=server,dc=local" write olcAccess: {1}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external ,cn=auth write by * read คำถามคือ: วิธีการเขียน acl เหล่านั้นใน slapd.conf? ฉันใส่สิ่งนี้ access to * by dn.base="cn=Manager,dc=ldap1,dc=server,dc=local" write by * read แต่สร้าง …

openldap