タグ付けされた質問 「ldap」

私は、認証のためにLDAPと統合する製品の開発者です。テストできるディレクトリを設定する必要があります。 私はLDAPの専門家ではありません。学習曲線を容易にするために、実世界のサンプルディレクトリがあると便利です。 すぐに使えるデモディレクトリの設定に役立つリソースはありますか？たとえば、VMwareアプライアンスですか？

18 ldap 

現在、LDAP認証をシステムに統合する作業を行っていますが、LDAPグループに基づいてアクセスを制限したいと考えています。これを行う唯一の方法は、検索フィルターを使用することであるため、検索フィルターで「memberOf」属性を使用することが唯一の選択肢であると考えています。「memberOf」属性は、サーバー上の「groupOfNames」エントリに対して新しい「member」属性が作成されるたびに、サーバーによって作成できる操作属性であると理解しています。私の主な目標は、既存の「groupOfNames」エントリに「member」属性を追加し、提供するDNに一致する「memberOf」属性を追加できるようにすることです。 これまでに達成できたこと： 私はまだLDAP管理にかなり慣れていませんが、openldap管理者ガイドに記載されている内容に基づいて、リバースグループメンバーシップメンテナンス（別名「memberof overlay」）がまさに探している効果を達成するようです。 私のサーバーは現在、「cn = config」スタイルのランタイム構成を使用するopenldap 2.4.15のパッケージインストール（ubuntuのslapd）を実行しています。私が見つけたほとんどの例は、静的構成の古い「slapd.conf」メソッドをまだ参照しており、新しいディレクトリベースのモデルに構成を適合させるために最善を尽くしています。 memberof overlayモジュールを有効にするために、次のエントリを追加しました。 olcModuleLoadでモジュールを有効にします cn=config/cn\=module\{0\}.ldif dn: cn=module{0} objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb olcModuleLoad: {1}memberof.la structuralObjectClass: olcModuleList entryUUID: a410ce98-3fdf-102e-82cf-59ccb6b4d60d creatorsName: cn=config createTimestamp: 20090927183056Z entryCSN: 20091009174548.503911Z#000000#000#000000 modifiersName: cn=admin,cn=config modifyTimestamp: 20091009174548Z データベースのオーバーレイを有効にし、デフォルト設定（groupOfNames、member、memberOfなど）を使用できるようにしました cn=config/olcDatabase={1}hdb/olcOverlay\=\{0\}memberof dn: olcOverlay={0}memberof objectClass: olcMemberOf objectClass: olcOverlayConfig objectClass: olcConfig objectClass: top …

18 ldap  openldap 

私はLDAPが比較的新しいので、構造を設定する方法の2つのタイプの例を見てきました。 1つの方法はdc=example,dc=com、ベースビーイングを使用することo=Exampleです。他の例では、ベースビーイングを使用します。続けて、次のようなグループを作成できます。 dn：cn = team、ou = Group、dc = example、dc = com cn：チーム objectClass：posixGroup memberUid：user1 memberUid：user2 ...または「O」スタイルを使用： dn：cn = team、o = Example objectClass：posixGroup memberUid：user1 memberUid：user2 私の質問は： あるメソッドを他のメソッドよりも使用することを指示するベストプラクティスはありますか？ どちらのスタイルを使用するかは好みの問題ですか？ どちらか一方を使用する利点はありますか？ 1つの方法は古いスタイルで、もう1つの方法は新しい改良バージョンですか？ これまでのところ、私はこのdc=example,dc=comスタイルに取り組んできました。コミュニティが問題について与えることができるどんなアドバイスも大歓迎です。

18 ldap  openldap 

オプションのldapsearch使用にパスワードを渡すにはどうすればよいです-y <password file>か？ パスワードをパスワードファイルにプレーンテキストで書き込むと、次のエラーが表示されます。 ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 52e, v1772 -w <password>オプションを使用しても同じことが起こります。 編集： 私が実行しているコマンドは ldapsearch -x -D <my dn> -y .pass.txt -h server.x.x -b "dc=x,dc=y" "cn=*" ファイル.pass.txtにパスワードがプレーンテキストで含まれている場所。DNとパスワードの両方が正しいです。オプションを指定してコマンドを実行-Wし、プロンプトにパスワードを入力すると、コマンドは正常に実行されますが、何らかの方法でパスワードを保存してスクリプトを作成したいと思います。

18 linux  ldap 

むかしむかし、南アメリカに美しい温かい仮想ジャングルがあり、そこにイカのサーバーが住んでいました。ネットワークの知覚イメージは次のとおりです。 <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] Usersインターネットへのアクセス要求時に、squid名前とパスポートを尋ね、認証をLDAP行います。LDAPが承認した場合は、許可します。 ユーザーとイカの間のパスでスニファーがパスポートを盗むまで、誰もが幸せでした[パスA]。この災害は、squidがBasic-Authenticationメソッドを使用したために発生しました。 ジャングルの人々は問題を解決するために集まった。NTLMメソッドの使用を提供するバニーもいます。木によって推奨されているDigest-Authentication間、ヘビが好まKerberosれた。 結局のところ、ジャングルの人々によって提供された多くのソリューションとすべてが混乱していた！ライオンはこの状況を終わらせることにしました。彼はソリューションのルールを叫んだ。 ソリューションを安全にしましょう！ ほとんどのブラウザーとソフトウェア（ダウンロードソフトウェアなど）でソリューションが機能するか ソリューションはシンプルで、他の巨大なサブシステム（Sambaサーバーなど）を必要としません。 メソッドが特別なドメインに依存してはならない。（例：Active Directory） それから、猿によって提供される非常に手ごろな包括的で賢い解決策は、彼をジャングルの新しい王にした！ あなたは解決策が何であったか推測できますか？ ヒント： 間のパスsquidとLDAPライオンで保護されており、解決策は、それを確保する必要がありません。 注：ストーリーが退屈で面倒な場合は申し訳ありませんが、そのほとんどは本物です！=） /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ …

17 security  authentication  ldap  squid  kerberos 

Linux（RHEL）ボックスは数個（〜30個）しかなく、主に制御ユーザーアカウント用の集中管理された簡単な管理ソリューションを探しています。私はLDAPに精通しており、Red Hat（== FreeIPA）からIPA ver2のパイロットを展開しました。 理論上、IPAは「MS Windowsドメイン」のようなソリューションを提供することを理解していますが、一見するとそれほど簡単で成熟した製品ではありません[まだ]。SSOとは別に、IPAドメインでのみ使用でき、LDAPを使用している場合は使用できないセキュリティ機能はありますか？ IPAドメインのDNSおよびNTPの部分には興味がありません。

16 linux  ldap  kerberos  freeipa 

ここで説明するように、現在、OpenLDAPはldapmodify cn = configで設定する必要があります。しかし、TLSトラフィックのみを受け入れるように設定する方法は見つかりません。サーバーが暗号化されていないトラフィックを受け入れることを確認しました（ldapsearchとtcpdumpを使用）。 通常、IPテーブルを使用して非SSLポートを閉じるだけですが、SSLポートの使用は推奨されないため、そのオプションはありません。 したがって、次のようなSSL構成コマンドを使用します。 dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem TLSを強制するためのパラメーターはありますか？ 編集：olcTLSCipherSuiteを試してみましたが、機能しません。デバッグ出力： TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. …

16 ldap  openldap  tls 

私はopenldap 2.4.40を使用していますが、既存のldapデータベース、構成、およびスキーマ（基本的にはldapサーバーに関連するすべてのもの）を新しいマシンに移行する必要があります。 問題は、古いslapd.confファイルではなくcn = config構成を使用することです。 openldapおよび他のサードパーティのWebサイトで提供されるドキュメントは、slapd.conf LDAPサーバーの移行にのみ役立ち、新しいcn = config構成ファイルを使用したLDAPサーバーの移行には役立ちません。 また、新しいスキーマ（属性タイプとオブジェクトクラス）があります。これらをできるだけ簡単に新しいマシンに移行する方法はありますか？ 新しいマシンにスキーマを1つずつ手動で再構成および追加する以外の方法が必要です。 これは、おそらく古いマシンの電源を切るつもりで行われます。 TL; DR 古いマシンをオフにする目的で、LDAPデータベース、スキーマ、構成を1つのLDAPサーバーから新しいLDAPサーバーに便利に移行する方法はありますか ありがとうございました。 *以下の回答を投稿しました -フリオ

16 configuration  ldap  migration  openldap  schema 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 4年前に閉鎖されました。 組織で集中認証のためにLDAPを実装します。利用可能な最もシンプルなLDAP管理ツールはどれですか？

16 linux  ldap  openldap 

Novel eDirectory 8.8サーバーへのldaps接続を行おうとするTLS_REQCERT neverと、クライアントサーバーのldap.confファイルを入れなければならないことがあります。明らかに、これは悪い考えです。 私が実行するコマンドは、実際に機能する資格情報を持つこのようなものです... ldapsearch -x -H ldaps://ldapserver -b 'ou=active,ou=people,dc=example,dc=org' -D 'cn=admin,dc=example,dc=org' -W "cn=username" Ubuntu 13.10では正常に動作します。 SLESでは正常に動作します。 CentOS 6.5では以下を返します。 ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) 今、私がインポートした証明書はDigiCertから購入したワイルドカード証明書です。私の同僚は、一部のシステムにワイルドカードに関する問題があることを示すレポートを見つけました。 だから、ワイルドカード証明書は非難するのですか？その場合、どうすれば修正できますか？ ワイルドカード証明書でない場合、それは何ですか？ Andrew Schulmanの提案に従って-d1、ldapsearchコマンドに追加しました。ここに私が終わったものがあります： ldap_url_parse_ext(ldaps://ldap.example.org) ldap_create ldap_url_parse_ext(ldaps://ldap.example.org:636/??base) Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP ldap.example.org:636 ldap_new_socket: 3 ldap_prepare_socket: …

15 ssl-certificate  ldap  edirectory 

回答を検索しましたが、ここで何も見つかりませんでした... 要するに、非営利組織はインフラストラクチャの近代化を切実に必要としています。まず、多くのLinuxホストでユーザーアカウントを管理する代替手段を見つけることです。 12台のサーバー（物理サーバーと仮想サーバーの両方）と約50台のワークステーションがあります。これらのシステムには500人の潜在的なユーザーがいます。長年にわたってシステムを構築および保守していた個人は退職しました。彼はそれをすべて管理するために彼自身のスクリプトを書きました。それでも機能します。苦情はありません。ただし、多くのものは非常に手作業でエラーが発生しやすいものです。コードは乱雑であり、更新後に頻繁に調整する必要があります。最悪の部分は、ドキュメントがほとんどまたはまったく書かれていないことです。ほんの数個のReadMeとランダムなメモがありますが、これらはもう関係がないかもしれません。そのため、メンテナンスは困難な作業になりました。 現在、アカウントは各システムの/ etc / passwdを介して管理されています。アカウントが「メイン」サーバーに追加されると、システムを修正するために、cronスクリプトを介して更新が配布されます。すべてのシステム（sysadminアカウントなど）へのアクセスが必要なユーザーもいれば、共有サーバーへのアクセスが必要なユーザーもいれば、ワークステーションまたはそれらのサブセットのみへのアクセスが必要なユーザーもいます。 次の要件を満たすアカウントの管理に役立つツールはありますか？ できればオープンソース（つまり、予算が非常に限られているため無料） メインストリーム（つまり、メンテナンス済み） LDAP統合を持っているか、ユーザー認証のためにLDAPまたはADサービスとインターフェイスすることができます（近い将来、アカウントを他のオフィスと統合するために必要になります） ユーザー管理（追加、期限切れ、削除、ロックアウトなど） 各ユーザーがアクセスできるシステム（またはシステムのグループ）を管理できます-すべてのユーザーがすべてのシステムで許可されているわけではありません ログインしているシステムに応じて、異なるホームディレクトリとマウントを使用できるユーザーアカウントのサポート。例えば 「メイン」サーバーにログインしたsysadminには、homedirとしてmain：// home / sysadmin /があり、すべての共有マウントがあります スタッフワークステーションにログインしたsysadminは、nas：// user / s / sysadminをhomedir（上記とは異なる）として持ち、マウントのセットを潜在的に制限します。 ログインしたクライアントは、別の場所にhomedirを持ち、共有マウントはありません。 素晴らしい管理インターフェースがあればそれは素晴らしいでしょう。 このツールがクロスプラットフォーム（Linux / MacOS / * nix）である場合、それは奇跡です！ ウェブを検索しましたが、適切なものが見つかりませんでした。私たちはどんな提案にもオープンです。ありがとうございました。 編集：この質問は誤って重複としてマークされています。リンクされた回答は、すべてのシステムで同じhomedirを使用することについてのみ説明しますが、現在ログインしているシステムユーザー（MULTIPLE homedirs）に基づいて異なるhomedirが必要です。また、全体ではなく一部のマシンにのみアクセスを許可する必要があります。改造、ポイントの重複として単にマークするのではなく、問題の全範囲を理解してください...

15 ldap  user-management  user-accounts  groups  home-directory 

バージョン管理にgitを使用する必要があることを上司に納得させたいと思います。彼は、私たちの中央LDAPサーバーを介してユーザーを認証する必要があると言います。 さまざまなソリューション（gitweb、gitorious ...）を見て、それらがLDAP認証をサポートしているかどうかについての決定的な答えを見つけることができませんでした。 私が少し情報を見つけることができた唯一の解決策は、Apache + mod_ldapの設定でした。しかし、それは、LDAPで認証するユーザーが実際のgitユーザーと必ずしも同じではないことを意味しますか？（これは大きな問題ではありませんが、私を悩ます何かです。） では、LDAP経由でGitユーザーを認証する最良の方法は何でしょうか？

15 ldap  git 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 7年前に閉鎖されました。 ある時点でLDAPを使用するすべてのショップは、ユーザーがITスタッフを煩わせることなくパスワードをリセットできるように、何かをまとめなければならないようです。ほとんどの場合、ワークフローは次のようになります。 ユーザーがユーザー名を与える（jblow） jblow @ companyにリンクをメールで送信 ユーザーがリンクをクリックして、新しいパスワードを入力します バックエンドでは、次のものに対応します。 Webフォームはユーザー名を取得し、DBに（ユーザー名、大きな一意の文字列）を保存し、大きな一意の文字列をusername @ companyにメールで送信します 他のフォームはhttps：// site / pwreset / big unique stringをクリックし、それを使用してユーザーを認証し、パスワードを変更します 正しい？だから、誰かが共有しているこれらの1つを書いていますか？私はむしろ、誰もがしていると思われる10分間の仕事よりも、もう少し考えられたものを使いたいと思っています。 SourceforgeやFreshmeatなどをすばやく検索しましたが、放棄されたものは何も見つかりませんでした。

15 ldap  password-management  password-reset 

ユーザー向けに数十種類のMySQLサーバーを実行しています。これらは、商用バージョンではなく、MySQLの無料/オープンソースバージョンを使用します。これらのサーバーでアカウントのパスワードを管理するのは大変です。 LDAPを使用してMySQL特権を管理できるプラグインはありますか？少なくとも、LDAPサーバーからいくつかのユーザー名とパスワードを取得したいと思います。 MySQL 5.1および5.5を使用しています。この機能を実現するために必要な場合は、MySQL 5.6にアップグレードしてもかまいません。 ツールはCLIベースであり、GUIまたはWebインターフェイスを必要としないことをお勧めします。

15 mysql  ldap  authentication 

Linuxサーバーの小規模ながら成長しているネットワークがあります。理想的には、ユーザーアクセスを制御したり、パスワードを変更したりするための中心的な場所にしたいです。TLS / SSLで十分ですか？Kerberosの利点は何ですか？GSSAPIとは その他...これらのさまざまな方法の長所/短所を説明する明確なガイドは見つかりませんでした。助けてくれてありがとう。

14 linux  authentication  ldap  kerberos  authorization