タグ付けされた質問 「ldap」

Windows Active Directory認証を使用するLinuxボックスがいくつかありますが、これは正常に機能します（Samba + Winbind）。 ただし、特定のユーザーまたは特定のグループのみがActive Directory資格情報を使用してログインすることを許可します。現在、有効なADアカウントを持っている人は誰でもログインできます。これをいくつかのグループのみに制限したいと思います。これは実行可能ですか？

14 linux  active-directory  samba  ldap  winbind 

ここでPAM / LDAPの達人が助けてくれることを望んでいました。最近、Ubuntu ServerにLDAPディレクトリを設定して、クライアント（Webベースのシステムで使用）とスタッフ（SSH経由でログインする必要がある）の両方のアカウントを保持しています。 LDAP認証は完全に機能しています。ただし、アカウントの制限を機能させることはできません。スタッフアカウントはIDを2001持ち2999、ssh-usersサーバーのログインを許可するグループのメンバーになります。 問題の制限は、、、/etc/ldap.confおよびpam_min_uidにpam_max_uidありpam_groupdnます。 pam_groupdn私のssh-usersグループへの完全なDNが含まれています。 pam_min_uid= 2000およびpam_max_uid= 2999。 今、私は追加してそれらを動作させることができました： account [success=1 default=ignore] pam_ldap.so のpam_unix.so行の上/etc/pam.d/common-account。ただし、ローカルのUnixアカウントはログインできません。SSHサーバーは接続しようとするとすぐに接続を切断します。 上記のファイルでpam_ldap.soモジュールをsufficientに設定しましたが、無効なユーザーはログインできないというメッセージを受け取りますが、とにかくログインします。 それでは、UNIXユーザーにログインを許可しながら、LDAPユーザーにこれらのアカウント制限を設定するにはどうすればよいですか？ おそらくあなたが推測できるように、私はPAMの初心者ですが、「ホームディレクトリを自動的に作成する」モジュールを機能させることができました:-) ありがとう、アンディ

14 ubuntu  ldap  pam 

私のLinuxサーバーは、グローバルカタログサーバーへのLDAPS接続を確立しようとしていますが、接続は（おそらくGC側によって）ドロップされています。 議論のために、1.1.1.1がLinuxサーバーであり、1.2.3.4がグローバルカタログサーバーであるとしましょう。 telnetLinuxボックスから使用しようとすると、次のように表示されます。 [root@foobox ~]# telnet gcfoo.exampleAD.local 3269 Trying 1.2.3.4... Connected to gcfoo.examplead.local. Escape character is '^]'. Connection closed by foreign host. 4行目と5行目の間に遅延はありません。ただちに接続を切断します。 telnet結果は少し誤解を招くかもしれないと思ったので（実際にはどのタイプのセキュアな通信にも適切ではないため）、実際の接続試行のパケットキャプチャをアプライアンスから収集しました（LDAPSを必要とする実際のプログラムを使用）。 私が見るものは次のとおりです（ここでも、IPと送信元ポートは無実の人を保護するために名前が変更されています）： No. Time Source Destination Protocol Length Info 1 0.000000 1.1.1.1 1.2.3.4 TCP 66 27246 > msft-gc-ssl [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SAC_PERM=1 WS=128 2 0.000162 …

14 ldap  tcp  tcpip 

すべての意図と目的を変更できないslapd.confによって、現在設定されているサイズ制限500よりもはるかに多くの結果を持つLDAPディレクトリを検索しています） 私のアイデアは、すべての結果が得られるまでldapsearchを実行し続けることですが、毎回異なるオフセット（501、1001など）からでした。 ldapsearchのmanページを見ましたが、これは-Eオプションを使用して処理されているようです： -E [!]<ext>[=<extparam>] search extensions (! indicates criticality) [!]domainScope (domain scope) [!]mv=<filter> (matched values filter) [!]pr=<size>[/prompt|noprompt] (paged results/prompt) [!]subentries[=true|false] (subentries) [!]sync=ro[/<cookie>] (LDAP Sync refreshOnly) rp[/<cookie>][/<slimit>] (LDAP Sync refreshAndPersist) だから私は試しました： ldapsearch -h $HOST -p $PORT -x -L -b "$BASE" '*' '+' -E pr=$SIZE ただし、結果（サイズ= 50のページ化された結果など）が500に達した場合、結果がページ化されていない場合と同じエラーが表示されます。 Size limit exceeded (4) …

14 ldap 

申し訳ありませんが、私は実際にはWindowsシステム管理者ではありません。JavaでのLDAPインタラクションをたたきたいです。 distinguishedNameに「DEL：」が含まれる大量のオブジェクトを見つけています。ガベージコレクションを待機しているこれらの孤立したアイテムはありますか？それらを削除するにはどうすればよいですか？ADUCで実際に見つけることはできませんが、Java LDAPで見つけることができます。

13 windows-server-2008  active-directory  ldap  domain-controller 

だから、私はかなり奇妙な問題を抱えています。サーバーがあり、SSHを試行したときに、最初の試行で正しいパスワードを入力するとすぐに接続が閉じられます。ただし、最初の試行で意図的に間違ったパスワードを入力し、2番目または3番目のプロンプトで正しいパスワードを入力すると、コンピューターに正常にログインできます。同様に、公開鍵認証を使用しようとすると、すぐに接続が閉じられます。ただし、キーファイルに間違ったパスワードを入力し、パスワード認証に戻った後に別の間違ったパスワードを入力した場合、2番目または3番目のプロンプトで正しいパスワードを入力すれば、正常にログインできます。 マシンはRed Hat Enterprise Linux Serverリリース6.2（Santiago）を実行しており、認証にLDAPとPAMを使用しています。これのデバッグを開始する場所についてのアイデアはありますか？提供する必要がある設定ファイルを教えてください。喜んで提供します。 デバッグ情報を次に示します。次のコードブロックは、これらの3つのシナリオを順番に表しています：1）最初の試行で秘密キーのパスワードを修正する、2）最初の試行で秘密キーをスキップする、通常のパスワードを修正する、3）秘密キーをスキップして意図的に不正なパスワードを入力する、良いものを入力してください...これは実際に接続させてくれる唯一のシナリオです。 OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to [removed for privacy]. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/home/trevor/.ssh/id_rsa" as …

13 ssh  ldap  authentication  openldap  pam 

私は甘やかされており、LDAPのほとんどの作業をeDirectoryで行っています。eDirectoryには素敵なDSTraceというユーティリティがあり、特にLDAPの場合、すべてのバインド試行、ソースIP、渡された検索、サマリー一致したオブジェクトが返されました。 SAP GRCのようにLDAPアプリケーションをデバッグするとき、アプリケーションの動作を監視するだけで、アプリケーションが何を間違っていたかを簡単に把握できました。 セキュリティイベントログにこの情報の一部が含まれることはわかっています（少なくともバインドの試行）が、より良い方法が必要ですか？そのような機能はありますか？ ADのデバッグに関する質問が表示されますが、ログインイベントのみが提案されます。LDAPアプリケーションを管理するために、日々さらに多くのことが必要です。

13 active-directory  ldap  trace 

サーバー上のシェルへのアクセス、Sambaドメイン、WiFi、OpenVPN、Mantisなどへの単一のユーザーパスワードペアを介してすべてのITリソースが利用できるシステムを構成していますグループメンバーシップまたはユーザーオブジェクトフィールド）。ネットワークには個人データがあるため、EUデータ保護指令（またはポーランド語版）に従って、パスワードエージングを実装する必要があります。 問題は、LDAPのSambaおよびPOSIXアカウントが異なるパスワードハッシュおよびエージング情報を使用することです。パスワード自体の同期は簡単ですが（ldap password sync = Yesin smb.conf）、パスワードエージングをミックスに追加すると問題が解決します。SambaはshadowLastChangeを更新しません。Togetherはobey pam restrictions = Yes、Windowsユーザーが古いパスワードを変更できないシステムを作成しますが、使用しない場合、ホームディレクトリは自動的に作成されません。別の方法は、パスワードの変更にLDAP拡張操作を使用することですが、smbk5pwdモジュールもそれを設定しません。さらに悪いことに、このフィールドは非推奨と見なされるため、OpenLDAPメンテナーはパッチを更新または受け入れません。 だから、私の質問は、最善の解決策は何ですか？それらの利点と欠点は何ですか？ LDAP ppolicyおよび内部LDAPパスワードエージングを使用しますか？ NSS、PAMモジュール、Samba、その他のシステムでどれだけうまく機能しますか？ NSSおよびPAMモジュールは、シャドウではなくppolicyを使用するために特別な方法で構成する必要がありますか？ GOsa²はppolicyで動作しますか？ ppolicy-enabled LDAPで機能する他の管理ツールはありますか？ LDAPのフィールドを更新するパスワード変更スクリプトを一緒にハックします。（ユーザー自身がパスワードを変更せずにフィールドを更新する可能性を残します）

13 domain  authentication  samba  ldap  pam 

これはしばらくの間私を悩ませてきました。 Active DirectoryはLDAPデータベースであることは誰もが知っています。 また、Windows DNSサービスがドメインコントローラーで実行されている場合、プレーンテキストゾーンファイルの代わりにADにデータを保存できるため、AD自動レプリケーションを活用してプライマリ/セカンダリDNSサーバーの必要性をなくすことができます。 質問：DNSデータは実際にActive Directoryのどこにどのように保存されていますか？ ADSIEditなどのLDAPツールを使用してアクセスできますか？ DNSエントリは実際のLDAPオブジェクトですか？ オブジェクトの属性？ まったく違うものですか？

13 domain-name-system  active-directory  database  ldap  schema 

個人用VPSでLDAP認証を設定していますが、Ubuntuには同じ目的で2つのパッケージがあります：libpam-ldapとlibpam-ldapd。どちらを使用すればよいですか？

13 ubuntu  debian  authentication  ldap  pam 

organizationalunit新しくインストールしたOpenLDAP（Ubuntu 12.04）に次のようなものを追加する必要があります。 dn: ou=MYREGION, ou=MYAPP, ou=GROUPS, o=myorganization, c=fr ou: MYREGION objectClass: top objectClass: organizationalunit 新しいLDAPなので、最初にfr国を追加する必要があると思います。そのファイルを作成します。 dn: c=fr c: fr objectClass: top objectClass: country 今、私はそのコマンドでそれをインポートしようとします（そのサーバーのドメインがありません）： ldapadd -x -D cn=admin,dc=nodomain -W -f country_fr.ldif しかし、OpenLDAPはそのコマンドを次のように拒否します。 adding new entry "c=fr" ldap_add: Server is unwilling to perform (53) additional info: no global superior knowledge ヒントはありますか？

13 ldap  openldap  country 

Active Directoryユーザーオブジェクトには、識別子と見なすことができるいくつかのフィールドが含まれています。以下に、ADUCのラベルと属性名とともにこれらの一部をリストします。 氏名-cn ？- 名前 ユーザーsAMAccountNameログオン-sAMAccountName ユーザーUPNログオン：userPrincipalName ？- 識別名 私は、ADに対して認証するカスタムコードを記述するときに、開発者にこれらの1つのみを使用して標準化するようにしようとしています。状況。上記のフィールドを使用する必要があるかどうかさえわかりません！ 他の誰かが一貫して使用するものを選びましたか？その決定にあなたに影響を与えたものは何ですか？問題を明確にするドキュメントはありますか？

12 active-directory  ldap  authentication 

ここで何が尋ねられているかを伝えるのは難しいです。この質問は曖昧、曖昧、不完全、過度に広範、または修辞的であり、現在の形式では合理的に答えることができません。この質問を明確にして、再開できるようにするには、ヘルプセンターに アクセスしてください。 7年前に閉鎖されました。 pingおよびLDAPサーバーへの方法はありますか？ldapsearchとldapwhoamiを見てきましたが、pingのようなものをもう少し感謝します。基本的に、LDAPサーバーの選択の前にbipアドレスがあり、どのサーバーに接続しているかを確認しようとしています。

12 active-directory  ldap 

開発者がsvn：//プロトコルを介してSVNServe経由でアクセスするWindows Server 2003ボックスにプライベートSubversionリポジトリのセットがあります。現在、各リポジトリのauthzおよびpasswdファイルを使用してアクセスを制御していますが、ActiveDirectoryからの資格情報の使用に切り替えることを検討しているリポジトリおよび開発者の数が増えているためです。すべてのMicrosoftショップで実行され、すべてのWebサーバーでApacheの代わりにIISを使用しているため、可能であればSVNServeの使用を継続したいと思います。 可能であることに加えて、既存のユーザーの履歴が正しいActiveDirectoryアカウントにマップされるように、リポジトリを移行する方法についても懸念しています。また、私はネットワーク管理者ではなく、ActiveDirectoryに精通していないので、必要に応じて他の人を介してActiveDirectoryで行った変更を取得する必要があることにも留意してください。 私のオプションは何ですか？ 更新1：SVNのドキュメントから、SASLを使用することで、ActiveDirectoryを使用してSVNServeを認証できるようにする必要があるようです。明確にするために、私が探している答えは、認証にActiveDirectoryを使用するためにSVNServeを構成する方法（可能な場合）に進み、既存のリポジトリを変更して既存のsvnユーザーをActiveDirectoryドメインログインアカウントに再マッピングする方法です。 更新2：SVNServeのSASLサポートはプラグインモデルから機能しているようであり、ドキュメントは例としてのみ示しています。見てみるとサイラスSASLライブラリ認証「メカニズム」の数がサポートされているように見えますが、私はわからないんだけど1は、ActiveDirectoryのサポートのために使用されるも、私は、このような事項についてのドキュメントを見つけることができました。 UPDATE 3：[OK]を、よくそれは私のActiveDirectoryとのコミュニケーションのためにのように見えるが利用しているよsaslauthdの代わりに、sasldbためauxprop_pluginプロパティ。残念なことに、一部の投稿（おそらく時代遅れで不正確な）によれば、saslauthdはWindows上に構築されておらず、そのような試みは進行中の作業ます。 更新4：このトピックで見つけた最新の投稿は、適切なバイナリ（）がMIT Kerberos Libraryを介して利用できるように聞こえますが、Nabble.comのこの投稿の著者のように聞こえますはまだ問題を抱えているようです。 更新5：TortoiseSVNの議論およびsvn.haxx.seのこの投稿からも見えますWindowsサーバー上でsaslgssapi.dllまたは必要なバイナリが利用可能で構成されている場合でも、これらのリポジトリを使用するにはクライアントも同じカスタマイズが必要です。これが当てはまる場合、これらのクライアントでTortoiseSVNやCollabNetビルドのクライアントバイナリなどの変更が行われ、そのような認証スキームをサポートする場合にのみ、WindowsクライアントからActiveDirectoryサポートを取得できます。これはこれらの投稿が示唆していることですが、これはSASLと互換性があり、クライアントで変更を必要とせず、代わりにサーバーが認証メカニズムを処理するように設定する必要があるという点で他の読書から最初に仮定したものと矛盾しています。SubversionのCyrus SASLに関するドキュメントをもう少し注意深く読んだ後セクション5では、「Cyrus SASLをサポートする1​​.5以上のクライアントは、SASLが有効な1.5以上のサーバーに対して認証できます。ただし、サーバーでサポートされるメカニズムの少なくとも1つがクライアントでもサポートされます。」そのため、クライアントとサーバー内でGSSAPIサポート（Active Directoryに必要であると理解しています）が利用可能でなければなりません。 Subversionが認証を処理する方法の内部について、私が今まで思っていた以上に多くのことを学んでいます。残念ながら、WindowsサーバーでSVNServeを使用し、Windowsクライアントからこれにアクセスするときに、Active Directory認証をサポートできるかどうかについての答えを探していました。公式文書によると、これは可能だと思われますが、たとえ可能であっても、構成が重要であることがわかります。 更新：6：Subversion 1.7での開発が終了しているため、Active Directoryを使用してSVNServeが認証を受ける状況をSubversion 1.7で改善できるかどうかについて何か追加できますか？

12 windows  active-directory  svn  ldap  svnserve 

mod_auth_kerbSSOを有効にするために、社内Webサーバーに展開することを検討しています。私が見ることができる1つの明らかな問題は、すべてのドメインユーザーがサイトにアクセスできるかどうかにかかわらず、オールオアナッシングアプローチであることです。 LDAPの特定のグループのグループメンバーシップを確認するmod_auth_kerbようなものと組み合わせることができmod_authnz_ldapますか？私はKrbAuthoritativeオプションがこれと何か関係があると推測していますか？ また、私が理解しているように、モジュールはユーザー名をusername@REALM認証後に設定しますが、もちろんディレクトリにはユーザーはユーザー名のみとして保存されます。さらに、tracなどの一部の内部サイトには、各ユーザー名にリンクされたユーザープロファイルが既にあります。これを解決する方法はありますか、おそらく認証後に何らかの方法で領域ビットを削除することによってですか？

12 apache-2.2  ldap  kerberos  single-sign-on