タグ付けされた質問 「ldap」

アクティブにメンテナンスされておらず、2010年に最後のパッチが適用されていて、運用環境でJDK6（これも廃止された）が必要なOpenDSを使用するのはどれほど悪いことですか（バックエンドで直接エンドユーザーに公開されていませんが） ）。 それがすでにある場合、一般的に、代替品を見つけたり、統合テストを実行したりするのに必要な時間とお金の価値がありますか？本番環境で廃止されたソフトウェア全般に関して、このステップを実行するための一般的な基準は何ですか？

8 ldap  java  opends 

AD属性をクエリするPythonサービスの作成 SAS 2012上でPython-LDAP over SASL（DIGEST-MD5）を使用してLinuxでPythonを実行するWebサービスとADを統合し、AD 2012ユーザー属性（部門、部門、内線番号、電子メールなど）をクエリします。AD 2003に対するサービスに固有の問題を解決した後、新しいAD 2012に対してSPNエラーが発生し始めました。ダイジェストURIがサーバー上のSPNと一致していません。両方のサーバーのSPNリストを相互参照しましたが、それらには互いに同じ類似物が含まれています。 エラー：digest-uriは、このサーバーに登録されているLDAP SPNと一致しません 修正？ これは以下を実行することで修正されました： setspn -A ldap/<Domain_Name> <Computer_Name> 次のコマンドを実行しても、サービスアカウントを作成してもSPNエラーは修正されませんでした。 setspn -A ldap/<Domain_Name> <Domain_Name>/<Service_Account_Name> simple_bind_s（）にはSPNは必要ありません、sasl_interactive_bind_s（）にはSPNが必要です ローカルマシンのSPNリストにSPNを追加するだけで、sasl_interactive_bind_s（）を使用したPython-LDAPサービスで機能しました。また、simple_bind_s（）を使用するとSPNステップをスキップできることにも注意してください。ただし、このメソッドは資格情報をクリアテキストで送信するため、許可されません。 ただし、レコードがSPNリストに1分間しか表示されずに消えてしまうことに気づきましたか。setspnコマンドを実行してもエラーは発生しません。イベントログは完全に空で、重複はありません。ベースdnで-Fフォレスト全体の検索でチェックされ、何もありません。SPNを追加して削除し、オブジェクトからオブジェクトに移動して、どこにも隠れていないことを確認しましたが、2番目にオブジェクトをどこかに追加してから再度追加しようとすると、重複が通知されます。ですから、どこかに隠されている複製がないと私は確信しています。 ハック 今のところ、スケジュールされたタスクを実行してコマンドを再実行し、レコードをリストに保持して、サービスが「SPN Hack」という名前で適切に機能するようにします cmd.exe /C "setspn -A ldap/<Domain_Name> <Computer_Name>" SPNがリストから削除されている理由がわかるまで。 私はこの特定のADのプライマリ管理者ではありません。管理者は、ADの別のサービスからSPNを同期するサービスを実行していて、それを認識できませんか？私のタイトルは言い訳としてではなく、Active Directoryに関する私の無知を説明するためのWeb開発者です。ADをマスターユーザーDBにするように言われ、多くのことを読んでいましたが、SPNが定期的に「上書き」または「クリーンアップ」されている問題が発生している場所はどこにもありません。管理者は、SQLServerエントリ以外のSPNに精通しています。 なぜハックが必要なのですか？ これまでのところ、私のハッキングによってユーザーやサービスに問題が発生したことはなく、エラーも発生していません。そのため、管理者は実行を許可するだけなので、引き続き調査します。しかし、私は、実装が組み込まれているサービス、本質的にはcronハック/ shiverを作成するという不安定な状況に身を置いていることに気づきます。 更新 システム管理者との会話の後、ハックの上にサービスを構築することは解決策ではないことに同意しました。したがって、目的に使用できるエンドポイント暗号化を使用してローカルサービスを起動する許可を彼に与えられました。結果は同じです。SPNがクリアされる原因を監視します。ローカルバインドはPython-LDAPを使用しても問題にならず、ローカルサービスは1時間ほどですでに稼働しています。基本的にLDAPに組み込まれている機能をラップしているのは残念ですが、私たちがしなければならないことは行います。

8 active-directory  ldap  python  spn 

Debian 7.1（OpenLDAP 2.4.31）でOpenLDAPを設定していて、memberofオーバ​​ーレイを設定しようとしています。私の構成は、インターネット上の多くのサイトで読んだようなものですが、それでもまだ機能しません。 問題は、エンティティのmemberOf属性がグループを作成したときにのみ更新され、グループを変更または削除したときに更新されないことです。実際、これと同じ問題が以前ここで尋ねられました：openldapサーバーで逆グループメンバーシップメンテナンスを設定するにはどうすればよいですか？（memberOf）ですが、回答済みとチェックされていても、回答に使用できる情報がありませんでした。（元のポスターでさえ、コメントによる回答では何もできませんでした...） 私の設定は次のようなものです：cn = config / cn = module {0} .ldif dn: cn=module{0} objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb olcModuleLoad: {1}memberof structuralObjectClass: olcModuleList そしてモジュールの場合：cn = config / olcDatabase = {1} hdb / olcOverlay = {0} memberof.ldif dn: olcOverlay={0}memberof objectClass: olcMemberOf objectClass: olcOverlayConfig olcOverlay: {0}memberof structuralObjectClass: olcMemberOf …

8 ldap  openldap 

Red Hatは、LDAPユーザーを列挙するためのオプションの1つとして/etc/nsswitch.confの互換モードを私に推奨しましたが、これはあまり使用されない方法であると後で述べました。 nsswitch.conf passwd: files compat passwd_compat: ldap in passwd file, add +@netgroup. この互換モードとは何ですか？

8 redhat  ldap  pam  pam-ldap  nsswitch.conf 

Active Directory DCに対して認証するアプリケーションの場合、明らかに、フェイルオーバーやロードバランシングなどの特定のDCではなく、メインドメインのDNSレコードを指すようにするのが最善です。 DCのIPをハードコードすることを強制するこれらのアプリケーションのベストプラクティスは何ですか？代わりに、ロードバランサーのIPアドレスをハードコーディングして、1つのDCがダウンしても、そのアプリケーションが認証できるようにすることができます。より良い代替案はありますか？

8 active-directory  load-balancing  ldap  authentication 

クライアントのLinuxベースのハードウェアファイアウォールのトラブルシューティングを行っています。このハードウェアファイアウォールは、シングルサインオン認証のためにActiveDirectoryに接続します。 ActiveDirectoryは、私の知る限りではLDAPの変なバージョンに過ぎず、同じBindDN構文を使用しています-私が間違っている場合は修正してください。 クライアントはこれをBindDNとして構成しました-プライバシー上の理由から実際の文字列は置き換えられましたが、特殊文字と空白は残っています。「somerandomplace \ fubar fubaz」 これは私にとって有効なBindDN構文ではないようで、以前にLDAPを使用したことがありますが、[テスト]ボタンをクリックしてこのBindDNをテストすると、テストは成功します。BindDNの文字を1つだけ変更してテストを再度実行すると、テストが失敗します。 私はここで問題が何であるかを理解しようとしています： A）BindNDのニュアンスと関連する構文を完全に理解していないこと または B）アプライアンスが入力を適切に検証できず、テストを成功と誤って識別している

8 active-directory  ldap 

何かのようなnslookupまたはdigワイルドカード検索や何かのように...名前に含まれている何かに基づいて検索する機能を提供しますか？ ヘルプデスクチームのために、GUIラッパーを使用して小さなスクリプトを作成しようとしています。理想的には、ユーザーの姓（常にDNSレコードに存在するもの）を検索できるようにしてから、プルダウンから選択可能なオプションを入力します。 同等のものを効果的に使用する方法を見つけることができませんnslookup *miller*...戻ってくるのは素晴らしいことです Name: sf-jacobmiller.localdomain.com Address: 10.10.10.121 Name: sf-justinmiller.localdomain.com Address: 10.10.10.144 ..次に、解析してプルダウンから選択できるようにします。 私はまだ何を利用できるのかを調べていませんldapsearch。私の唯一の要件は、これがOSXに組み込まれていて、他に何もインストールする必要がないことです。ありがとう

8 domain-name-system  query  nslookup  dig  ldap 

FreeNASサーバーを認証サーバー（ubuntuクライアントに認証するためのユーザーFreeNASローカルユーザー）およびNASサーバーとして構成したいのですが、もちろんです。私はクライアントとしてUbuntuを使用しており、それらはDHCP / PXEを介してブートしているため、すべてを迅速に構成できます。 上記のプロセスのリストを投稿します。[OK]は機能していることを意味し、[TODO]はご存知のように... 構造プロセス： [OK]クライアントがIPオファーをリクエストしています... [OK]ファイアウォールはファイル名「pxelinuz.0」と、TFTP、NFS、SMBを提供するFreeNASのIPで応答します。 [OK]クライアントはvmlinuzとinitrd.lzをロードし、必要に応じてNFSからsquashfsのロードを開始します... [ TODO ]私のFreeNASはLDAPまたはActive Directory DCを（SMB経由で）提供するはずですが、FreeNASでそれが可能かどうかわかりません（私の質問の1つ）... [ TODO ]クライアントはFreeNASからNFSまたはSMB経由で/ homeをマウントする必要があります。 [ TODO ]クライアントはFreeNASに接続し、ユーザーがログインできるようにユーザーのリストを取得する必要があります。 私の目的は、さまざまなコンピューターを接続し、必要に応じてユーザーがパーソナルコンピューターにログインし、ハードドライブのOSに変更を加えることなく、常に「ホーム」ファイルにアクセスできるネットワークを作成することです。 PS：squashfsは簡単に編集できます。そのためのスクリプトはすでに作成しました。

8 ubuntu  ldap  server-message-block  cifs  freenas 

ActiveディレクトリとOpenディレクトリの相互運用性に関する質問などの大多数は、MacクライアントにADを表示させ、それに対する認証を行うことを伴います。 私たちがやりたいことは、Windows 7ワークステーションにOpen Directoryに対して完全に認証させることです。NT4タイプのPDCとして設定しようとしましたが、うまく機能しません。 認証を許可するpGinaとLDAPバックエンドを使用してみましたが、承認はサポートされていません。そのため、NFS共有をマウントする場合、ユーザーは何でもできる権限を持っています。セキュリティには理想的ではありません（実際には完全に流血は受け入れられません）。 中間サーバーとしてSambaサーバー（Open Directoryサーバーよりも新しいバージョン）を使用してみました。これにより、ODサーバー上のLDAPサーバーを認識しますが、v3ではなくSamba 4を使用します。それもうまくいきませんでした。ログインはできましたがマウントできませんでした。もしそうなら、pGinaと同じ権限がありました。Windowsでマウントされたドライブを右クリックしてNFS UIDを確認すると、正しい（マップされた）UIDではなく-2が返されます。 したがって、私が持っている最後の計画は、Windows 2008R2仮想マシン内でActive Directoryを使用することです。私が達成したいのは、Active DirectoryにOpenDirectoryのユーザーデータを同期させることです（読み取り専用で問題ありません）。そうすれば、実際にはODのLDAPから情報を取得するだけの「仮想ドメイン」にWindows 7クライアントを接続することができます。 私が見つけたすべての情報は、逆の方法についてです。 誰もがこれを行う方法を知っていますか？

8 active-directory  ldap  authentication  opendirectory  authorization 

OSXでのLDAPの破損に関するSlashdotスレッドを読んでください。OpenLDAPによって保護されているもの、およびLionマシンに保存されているデータ以外のものが危険にさらされる理由を誰かが正確に説明できますか？ 記事からの引用： 「ペンテスターとして、私たちが最初に行うことの1つはLDAPサーバーを攻撃することです」と監査会社Errata SecurityのCEOであるロブ・グラハムは言った。「LDAPサーバーを所有したら、すべてを所有します。私は（組織内の）任意のラップトップに近づいて、それにログインできます。」 ランダムなMAC LDAPサーバーのハッキングから企業全体の所有にどうやって進むのでしょうか？

8 security  mac-osx  ldap 

Windows 7 UltimateマシンをWindows 2k8ドメインに接続しようとしていますが、機能しません。私はこのエラーを受け取ります： 注：この情報は、ネットワーク管理者を対象としています。ネットワークの管理者でない場合は、C：\ Windows \ debug \ dcdiag.txtファイルに記録されているこの情報を受け取ったことを管理者に通知してください。 ドメイン "example.local"のドメインコントローラーを見つけるために使用されるサービスロケーション（SRV）リソースレコードをDNSに正常にクエリしました： クエリは_ldap._tcp.dc._msdcs.example.localのSRVレコードに対するものでした 次のドメインコントローラーはクエリによって識別されました： dc1.example.local dc2.example.local ただし、ドメインコントローラーに接続できませんでした。 このエラーの一般的な原因は次のとおりです。 ドメインコントローラーの名前をIPアドレスにマップするホスト（A）または（AAAA）レコードがないか、正しくないアドレスが含まれています。 DNSに登録されているドメインコントローラーがネットワークに接続されていないか、実行されていません。 クライアントは、ドメインコントローラが存在するデータセンターにMPLS経由でリモート接続されたオフィスにあります。DCへの接続をブロックするものは何もないようですが、MPLS回路を完全に制御することはできないため、接続をブロックするものがある可能性があります。 1つのオフィスで複数のクライアント（Win7 UltimateとWinXP SP3）を試しましたが、すべてのクライアントで同じ症状が出ました。 確かに、可能なすべてのポートを試したことはありませんが、どちらのドメインコントローラーにも問題なく接続できます。ICMP、LDAP、DNS、SMB接続はすべて正常に動作します。 クライアントDNSはDCを指し、「example.local」はDCの2つのIPアドレスに解決されます。 NetLogon Testコマンドラインユーティリティからこの出力を取得します。 C:\Windows\System32>nltest /dsgetdc:example.local Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN MPLSの代わりにLAN-to-LAN VPNを介してDCネットワークに接続されているそのオフィスの構成をエミュレートする別のネットワークも作成しました。そのリモートネットワークからWindows 7コンピューターに参加することは正常に機能します。 2つの環境の違いを見つけることができる唯一の違いは、中間接続ですが、何をテストするか、またはどのように行うかについて、私は思いがけません。さらに何をすればいいですか？ （これは実際にはクライアントワークステーションではなく、直接アクセスできないことに注意してください。リモートハンドアクセスを行う必要があるため、パケットスニッフィングなどの明らかなトラブルシューティング方法がさらに難しくなります。そこに、私がリモートでアクセスできるシステムをセットアップすることもできましたが、その効果に対する要求は未解決になりました。） 2011年8月25日更新： 私はしていたDCDIAG.EXEドメインに参加しようとしているクライアント上で実行します。 C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local …

8 windows-server-2008  windows-7  ldap  active-directory 

Jenkinsでロールベースのセキュリティプラグインを使用しようとしていますが、正しく使用しているとは言えません。 LDAPの代わりにjenkin独自のユーザーデータベースをセキュリティレルムとして使用することにしました。ユーザーを1人ずつ追加します。 これで、[役割の割り当て]画面で、管理者や読み取り専用などのグローバルな役割があり、prod_a_developer、prod_b_developerなどのプロジェクト固有の役割があります... ユーザーごとに、彼にグローバルロールの1つを割り当てる必要があり、特定のプロジェクトロールも割り当てる必要がありますか？ また、ユーザーをグループに割り当てるにはどうすればよいですか？各ユーザーにグローバルロールを割り当てる代わりに、グループにグローバルロールを割り当てます。 ささいなことではありません 誰かが私を助けてくれますか？ ありがとう。

8 ldap  hudson  jenkins 

私は、Debian（Lenny）サーバー上のLDAPプラグインを介してユーザーを認証するようにTracを設定しようとしています。 LDAPは正しく機能しているようです。次の方法で正常にクエリを実行できます。 ldapsearch -vLx -h 127.0.0.1 -b "dc=example, dc=com" "(sn=mysurname)" また、Apache LDAPアドレス設定を意図的に破壊すると、/ var / log / apache2 / error.logにエラーが表示されます 2010-08-27 17:19:38,909 Trac[api] WARNING: LDAP error: No such object (dc=examplefoo,dc=com) http://example.com:8022/tracにアクセスしてログインボタンをクリックすると、認証ウィンドウがポップアップします（LDAPが起動していることを再度確認します）。ただし、正しいユーザー名/パスワードを入力すると、Trac Webが表示されます次のページ： Trac Error Authentication information not available. Please refer to the installation documentation. TracGuide — The Trac User and Administration …

8 apache-2.2  ldap  trac 

私が働いている会社は、現在ローカルで開発されているNIS / YP構造をLDAPに置き換えることに着手しています。 Windowsに関するADはすでに社内にあります。ADシステムの使用を検討したいと思います。ADの人々はかなり制限的であり、大規模な変更をサポートしません。 代替には、NIS / YPスイートの全機能を含むサポート、ネットグループ、特定のユーザーまたはユーザーグループに対する特定のサーバーへのログイン制限、* nixとWindows環境間の一貫したパスワードなどが含まれている必要があります。私たちの環境は、Linux（suse、RH、Debian）、Sun、IBM、HP、MPRAS、およびNETAPPの混合です。したがって、使用するものはすべて、すべての環境に包括的に含まれている必要があります。 同様に見てきましたが、経営陣は他の代替案と比較したいと考えています。 私は他に何を見ているべきですか、そしてあなたは代替案をどのように評価していますか？ ありがとう

8 linux  unix  ldap  nis  active-directory 

Apache Directory Studioのような他の最高のリアルなソフトウェアは何ですか？

8 apache-2.2  windows  ldap