タグ付けされた質問 「openldap」

私はオープンソースのコラボレーションスイートを運営していますが、私はそれに満足しています。私のユーザーベースもそれに満足しています...カレンダーを除くすべて。それは深刻な問題であり、解決策を見つけようと急いでいます。 電子メール用にCourier + Postfix + Maildropがあり、XMPP / JabberサービスはすべてOpenLDAPにバックアップされています（企業ディレクトリもLDAPから取得されます）。私の唯一のこだわりは、これらの（一見シンプルな）機能を備えた半分まともなカレンダー/スケジュールパッケージです。 LDAP統合 マルチプラットフォームのサポート（Windows、Linux、およびMac） 委任（エグゼクティブアシスタントはエグゼクティブのカレンダーを管理でき、採用担当者は採用マネージャーのカレンダーで会議をスケジュールできます） 「リソース」の管理（会議室、プロジェクターなど） 持っていると良い： ウェブインターフェース （悪名高い）Free / Busy モバイルデバイスに同期するOutlook / Palmの「コンジット」 簡単な管理:) 私が望んでいないのは、まったく新しいコラボレーションスタック（ala Zimbra、OpenXchange、Hulaなど）です。メールのセットアップが好きで、Jabberのセットアップが好きです。カレンダー製品が必要です。私は無料だとは思っていませんが（それはいいことです）、CalDavコンソーシアムのウェブページのリストだけではなく、誰かが実際に触れた（私は要求しています、知っています...）いくつかの推奨事項が欲しいです。;） この問題を抱えているのは私だけですか？助けて！:)

39 openldap  ical 

この数日間、LDAPサーバーのセットアップ方法に関する優れたドキュメントをインターネットで閲覧しながら、多くのFワードを使用していました。これまでのところ、私は何も見つけませんでしたが、多くは良いとは言えませんが、悪いとは言えません。そのため、私は通常のLinuxの方法で、読み取り、テスト、叫び、読み取り、テスト、叫びをしなければなりませんでした。 LDAPサーバーの私の目標は次のとおりです。 サーバーとクライアントの両方について、Centos 6最小インストールにLDAPをインストールします。 OpenLDAPの開発者が意図した方法でインストールします。 LDAPS、iptables、SELinuxなどを有効にしてLDAPを安全にインストールします。 LDAPサーバーへの「認証」接続にクライアントでSSSDを使用します。 これは私が通常自分で答えるような質問ですが、インストールをさらに改善する方法についての提案をいただければ幸いです。

35 centos  ldap  openldap  centos6  sssd 

LDAPサーバーはSolarisでホストされます。クライアントはCentOSです。LDAPを介したOpenLDAP / NSLCD / SSH認証は正常に機能しますが、ldapsearchコマンドを使用してLDAPの問題をデバッグすることはできません。 [root@tst-01 ~]# ldapsearch SASL/EXTERNAL authentication started ldap_sasl_interactive_bind_s: Unknown authentication method (-6) additional info: SASL(-4): no mechanism available: [root@tst-01 ~]# cat /etc/openldap/ldap.conf TLS_CACERTDIR /etc/openldap/cacerts URI ldap://ldap1.tst.domain.tld ldap://ldap2.tst.domain.tld BASE dc=tst,dc=domain,dc=tld [root@tst-01 ~]# ls -al /etc/openldap/cacerts total 12 drwxr-xr-x. 2 root root 4096 Jun 6 10:31 . drwxr-xr-x. …

35 centos  redhat  openldap  ldap 

現在、LDAP認証をシステムに統合する作業を行っていますが、LDAPグループに基づいてアクセスを制限したいと考えています。これを行う唯一の方法は、検索フィルターを使用することであるため、検索フィルターで「memberOf」属性を使用することが唯一の選択肢であると考えています。「memberOf」属性は、サーバー上の「groupOfNames」エントリに対して新しい「member」属性が作成されるたびに、サーバーによって作成できる操作属性であると理解しています。私の主な目標は、既存の「groupOfNames」エントリに「member」属性を追加し、提供するDNに一致する「memberOf」属性を追加できるようにすることです。 これまでに達成できたこと： 私はまだLDAP管理にかなり慣れていませんが、openldap管理者ガイドに記載されている内容に基づいて、リバースグループメンバーシップメンテナンス（別名「memberof overlay」）がまさに探している効果を達成するようです。 私のサーバーは現在、「cn = config」スタイルのランタイム構成を使用するopenldap 2.4.15のパッケージインストール（ubuntuのslapd）を実行しています。私が見つけたほとんどの例は、静的構成の古い「slapd.conf」メソッドをまだ参照しており、新しいディレクトリベースのモデルに構成を適合させるために最善を尽くしています。 memberof overlayモジュールを有効にするために、次のエントリを追加しました。 olcModuleLoadでモジュールを有効にします cn=config/cn\=module\{0\}.ldif dn: cn=module{0} objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb olcModuleLoad: {1}memberof.la structuralObjectClass: olcModuleList entryUUID: a410ce98-3fdf-102e-82cf-59ccb6b4d60d creatorsName: cn=config createTimestamp: 20090927183056Z entryCSN: 20091009174548.503911Z#000000#000#000000 modifiersName: cn=admin,cn=config modifyTimestamp: 20091009174548Z データベースのオーバーレイを有効にし、デフォルト設定（groupOfNames、member、memberOfなど）を使用できるようにしました cn=config/olcDatabase={1}hdb/olcOverlay\=\{0\}memberof dn: olcOverlay={0}memberof objectClass: olcMemberOf objectClass: olcOverlayConfig objectClass: olcConfig objectClass: top …

18 ldap  openldap 

私はLDAPが比較的新しいので、構造を設定する方法の2つのタイプの例を見てきました。 1つの方法はdc=example,dc=com、ベースビーイングを使用することo=Exampleです。他の例では、ベースビーイングを使用します。続けて、次のようなグループを作成できます。 dn：cn = team、ou = Group、dc = example、dc = com cn：チーム objectClass：posixGroup memberUid：user1 memberUid：user2 ...または「O」スタイルを使用： dn：cn = team、o = Example objectClass：posixGroup memberUid：user1 memberUid：user2 私の質問は： あるメソッドを他のメソッドよりも使用することを指示するベストプラクティスはありますか？ どちらのスタイルを使用するかは好みの問題ですか？ どちらか一方を使用する利点はありますか？ 1つの方法は古いスタイルで、もう1つの方法は新しい改良バージョンですか？ これまでのところ、私はこのdc=example,dc=comスタイルに取り組んできました。コミュニティが問題について与えることができるどんなアドバイスも大歓迎です。

18 ldap  openldap 

ここで説明するように、現在、OpenLDAPはldapmodify cn = configで設定する必要があります。しかし、TLSトラフィックのみを受け入れるように設定する方法は見つかりません。サーバーが暗号化されていないトラフィックを受け入れることを確認しました（ldapsearchとtcpdumpを使用）。 通常、IPテーブルを使用して非SSLポートを閉じるだけですが、SSLポートの使用は推奨されないため、そのオプションはありません。 したがって、次のようなSSL構成コマンドを使用します。 dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem TLSを強制するためのパラメーターはありますか？ 編集：olcTLSCipherSuiteを試してみましたが、機能しません。デバッグ出力： TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. …

16 ldap  openldap  tls 

最大150人のユーザー向けにワイヤレスネットワークをセットアップしています。要するに、LDAPに対してWPA2を認証するようにRADIUSサーバーを設定するためのガイドを探しています。Ubuntuで。 動作するLDAPを入手しましたが、実稼働では使用されていないため、このプロジェクトに必要な変更に非常に簡単に適合させることができます。 私はFreeRADIUSを見てきましたが、どんなRADIUSサーバーでも可能です。 WiFi専用の物理ネットワークを別に用意したので、その面のセキュリティについてあまり心配する必要はありません。 私たちのAPはHPのローエンドエンタープライズ向けのものです。あなたが考えうるものは何でもサポートしているようです。 すべてのUbuntuサーバー、ベイビー！ そして悪いニュース： 私は今や最終的に管理を引き継ぐよりも知識の乏しい誰かなので、セットアップは可能な限り「些細な」ものでなければなりません。 これまでのところ、LDAP管理Webアプリケーションといくつかの小さな特別なスクリプトを除き、Ubuntuリポジトリのソフトウェアのみに基づいてセットアップが行われています。したがって、回避可能な場合、「パッケージXのフェッチ、untar、。/ configure」-ものはありません。 更新2009-08-18： いくつかの有用なリソースを見つけましたが、重大な障害が1つあります。 Ignoring EAP-Type/tls because we do not have OpenSSL support. Ignoring EAP-Type/ttls because we do not have OpenSSL support. Ignoring EAP-Type/peap because we do not have OpenSSL support. 基本的に、FreeRADIUSのUbuntuバージョンはSSLをサポートしていません（バグ183840）。これにより、すべての安全なEAPタイプが役に立たなくなります。残念。 しかし、興味がある人のためのいくつかの有用なドキュメント： http://vuksan.com/linux/dot1x/802-1x-LDAP.html http://tldp.org/HOWTO/html_single/8021X-HOWTO/#confradius 更新2009-08-19： 昨日の夕方、私は自分のFreeRADIUSパッケージをコンパイルしました-http ://www.linuxinsight.com/building-debian-freeradius-package-with-eap-tls-ttls-peap-support.htmlに本当に良いレシピがあります（更新された手順については、投稿へのコメント）。 http://CACert.orgから証明書を取得しました（可能であれば、おそらく「実際の」証明書を取得する必要があります） その後、http：//vuksan.com/linux/dot1x/802-1x-LDAP.htmlの指示に従いました。これはhttp://tldp.org/HOWTO/html_single/8021X-HOWTO/にリンクしています。これは、WiFiセキュリティがどのように機能するかを知りたい場合に非常に有益です。 更新2009-08-27： 上記のガイドに従った後、FreeRADIUSがLDAPと通信できるようになりました。 …

16 ubuntu  openldap  radius  wpa 

これは、一元化されたユーザーデータベースを実装していない小規模企業（開発者12人）向けです。組織的に成長し、必要に応じてコンピューター上にアカウントを作成しただけです。 管理の観点から見ると、悪夢-すべてが異なるユーザーアカウントを持つ10台のコンピューターです。ユーザーが1台のコンピューターに追加された場合、他のすべてのユーザー（アクセスする必要がある）に手動で追加する必要があります。これは理想からかけ離れています。ビジネスを前進させ、成長させるには、コンピューター/ユーザーの追加/雇用が増えるにつれて指数関数的に作業が増えることを意味します。 ある種の集中ユーザー管理が非常に必要であることを知っています。ただし、Active DirectoryとOpenLDAPの間で議論しています。現在の2つのサーバーは、単純なバックアップサーバーおよびファイル共有サーバーとして機能し、どちらもUbuntu 8.04LTSを実行しています。コンピューターは、Windows XPとUbuntu 9.04が混在しています。 私はActive Directory（または実際にはOpenLDAPですが、Linuxには慣れています）の経験はありませんが、1つのソリューションが他のソリューションよりも優れている場合、それを学ぶことを保証します。 先行投資は実際には問題ではなく、TCOが問題です。Windows（SBSと思われますか？）により、増加した初期費用を補うのに十分な時間を節約できる場合は、そのソリューションを使用する必要があると思います。 私のニーズのために、どのソリューションを実装する必要がありますか？ 編集：メールはオフサイトでホストされるため、Exchangeは必要ありません。

16 ubuntu  active-directory  openldap  small-business 

私はopenldap 2.4.40を使用していますが、既存のldapデータベース、構成、およびスキーマ（基本的にはldapサーバーに関連するすべてのもの）を新しいマシンに移行する必要があります。 問題は、古いslapd.confファイルではなくcn = config構成を使用することです。 openldapおよび他のサードパーティのWebサイトで提供されるドキュメントは、slapd.conf LDAPサーバーの移行にのみ役立ち、新しいcn = config構成ファイルを使用したLDAPサーバーの移行には役立ちません。 また、新しいスキーマ（属性タイプとオブジェクトクラス）があります。これらをできるだけ簡単に新しいマシンに移行する方法はありますか？ 新しいマシンにスキーマを1つずつ手動で再構成および追加する以外の方法が必要です。 これは、おそらく古いマシンの電源を切るつもりで行われます。 TL; DR 古いマシンをオフにする目的で、LDAPデータベース、スキーマ、構成を1つのLDAPサーバーから新しいLDAPサーバーに便利に移行する方法はありますか ありがとうございました。 *以下の回答を投稿しました -フリオ

16 configuration  ldap  migration  openldap  schema 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 4年前に閉鎖されました。 組織で集中認証のためにLDAPを実装します。利用可能な最もシンプルなLDAP管理ツールはどれですか？

16 linux  ldap  openldap 

私はopenldapが初めてですが、linux / unix環境に非常に精通しています。ここのガイドを使用して最初のテストopenldap環境を設定しようとしています。また、管理者ガイドのほとんどをここで読みましたが、認める必要があります。 そこで、ubuntuの基本的なセットアップガイドに従って、次のようなldifファイルを作成しました。 dn: ou=People,dc=example,dc=com objectClass: organizationalUnit ou: People dn: ou=Groups,dc=example,dc=com objectClass: organizationalUnit ou: Groups dn: cn=engineers,ou=Groups,dc=example,dc=com objectClass: posixGroup cn: engineers gidNumber: 5000 dn: uid=john,ou=People,dc=example,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: john sn: Doe givenName: John cn: John Doe displayName: John Doe uidNumber: 10000 gidNumber: 5000 userPassword: johnldap …

15 linux  ubuntu  openldap 

以前openldapを使用したことがないので、テスト用のopenldapサーバーをセットアップしようとしています。Redhatベースのマシンで標準のopenldap-serversパッケージを使用しています（Oracle Linuxを使用）。パッケージをインストールし、サーバーを起動しました。 サーバーに実際に何か有用なことをさせる方法を私は今は知りません。ルマ（トップレベルエントリにアクセスしようとすると「そのようなオブジェクトはありません」）を使用してそれを参照することはできません。新しいslapd.dおよびcn = configではなく、古いslapd.confファイル用です。 lumaでルートDNを参照できるバニラパッケージのopenldapインストールを機能させるにはどうすればよいですか？

14 openldap  slapd 

だから、私はかなり奇妙な問題を抱えています。サーバーがあり、SSHを試行したときに、最初の試行で正しいパスワードを入力するとすぐに接続が閉じられます。ただし、最初の試行で意図的に間違ったパスワードを入力し、2番目または3番目のプロンプトで正しいパスワードを入力すると、コンピューターに正常にログインできます。同様に、公開鍵認証を使用しようとすると、すぐに接続が閉じられます。ただし、キーファイルに間違ったパスワードを入力し、パスワード認証に戻った後に別の間違ったパスワードを入力した場合、2番目または3番目のプロンプトで正しいパスワードを入力すれば、正常にログインできます。 マシンはRed Hat Enterprise Linux Serverリリース6.2（Santiago）を実行しており、認証にLDAPとPAMを使用しています。これのデバッグを開始する場所についてのアイデアはありますか？提供する必要がある設定ファイルを教えてください。喜んで提供します。 デバッグ情報を次に示します。次のコードブロックは、これらの3つのシナリオを順番に表しています：1）最初の試行で秘密キーのパスワードを修正する、2）最初の試行で秘密キーをスキップする、通常のパスワードを修正する、3）秘密キーをスキップして意図的に不正なパスワードを入力する、良いものを入力してください...これは実際に接続させてくれる唯一のシナリオです。 OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to [removed for privacy]. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/home/trevor/.ssh/id_rsa" as …

13 ssh  ldap  authentication  openldap  pam 

organizationalunit新しくインストールしたOpenLDAP（Ubuntu 12.04）に次のようなものを追加する必要があります。 dn: ou=MYREGION, ou=MYAPP, ou=GROUPS, o=myorganization, c=fr ou: MYREGION objectClass: top objectClass: organizationalunit 新しいLDAPなので、最初にfr国を追加する必要があると思います。そのファイルを作成します。 dn: c=fr c: fr objectClass: top objectClass: country 今、私はそのコマンドでそれをインポートしようとします（そのサーバーのドメインがありません）： ldapadd -x -D cn=admin,dc=nodomain -W -f country_fr.ldif しかし、OpenLDAPはそのコマンドを次のように拒否します。 adding new entry "c=fr" ldap_add: Server is unwilling to perform (53) additional info: no global superior knowledge ヒントはありますか？

13 ldap  openldap  country 

# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld ldap_start_tls: Can't contact LDAP server (-1) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. # openssl s_client -connect ldap.domain.tld:636 -CApath /etc/ssl/certs <... successful tls negotiation stuff ...> Compression: 1 (zlib compression) Start Time: 1349994779 Timeout …

12 centos  openldap  openssl  tls