私のRocky Linux 9.3システムでは、LDAP認証が有効になっていてauthselect正常に動作します。ローカルアカウントとLDAP専用アカウントを介してSSH経由でこのコンピュータにログインできます。しかし、/etc/pam.d/password-authmyを含めることは/etc/pam.d/sshd 現在の動作と矛盾するようです。これには以下が含まれます。 account required pam_unix.so account sufficient ...
LDAPサーバーを要求する必要があります。厳密な相互TLSで保護されています。 TLSにopensslを使用しようとすると機能します。ただし、機能するには、openssl s_clientに-cert、-key、および-curvesを指定する必要があります。 cuvesが明示的に設定されていない場合は失敗します。 ldapsearchにこれらのパラメータを提供する方法はありますか?証明書とキーが見つかりましたが、曲線はわかりません。 私はldap-utils 2.5とOpenSSL 3でDebian 12を実行しています。 ...
LDAP の移行に関して 2 つの問題が発生しました。私が理解したのは、openldap 2.6はBDBをサポートしていないため、動作している2.4 openldapからmdbに移行してから(新しいサーバーから)2.6に移行する必要があります。 BDBからMDBに移行するためにとった手順は次のとおりです。 systemctl stop slapd slapcat -n 0 -l backup.ldif | slapadd -F /etc/openldap/slapd.d slapd.conf ファイルを編集し、行を変更します。 database bdb ...
私の環境: Jetty 11サーブレット内で実行するように構成されたShibboleth 5 IdP(Apacheなし) openldap(同じサーバー上) 各種開発サーバーのmod_auth_mellon SP IdP自体が正常に動作しています。開発サーバーがSAMLホスティングの場所に移動しようとすると、401 Unauthorizedエラーが発生します。これは、SPとIdP間のSAMLハンドシェイクが有効であることを証明します。 私の質問は:SPが認証用にIdPにリダイレクトされたときにIdPにLDAPログインページを表示させるには、どのShibb...
Fedora 39サーバーは、LDAPユーザーが特定のLDAPグループのメンバーである場合にログインを許可するように構成されています。 sudoersファイルにも同じldapグループがあるため、ユーザーはログイン後にsudoを実行できます(パスワードなしのsudoを許可するように設定)。 ldap 構成は sssd.conf ファイルに設定されます。 SSHログインすべてがうまく動作します。 私の問題は、SSHを介してログインできるユーザーがコックピットWeb GUIにログインできないことです。 「許可拒否」エラーが発生します。 コックピットにログインするた...
N-wayマルチマスターモードでOpenldap 2.5を実行する2つのUbuntu 22.04 LTSサーバーがあります。それはうまく機能し、数年間使用されてきました。今このシステムにスレーブを追加したいと思います。 2つのマルチマスターノードはTLSを使用せず、両方ともバインディング/同期にcn = admin、dc = some、dc = domain、dc = comアカウントを使用します。 LDAP 管理者パスワードは終日プレーンテキストで前後に転送されますが、コンピュータは独自のプライベート VLAN で同期されるため、これは理想的ではありません...
私の目標は、LDAP検索を実行し、gMSAアカウントのパスワードを取得することです。 Ubuntu仮想マシンがありますDev_Linux。 私のユーザーアカウントはですsja。 Dev_Linuxこのアカウントを使用してLDAP検索を実行したいと思います。私はこのアカウントをシステムアカウントまたはコンピュータアカウントと呼びます。 アカウントがsja許可されたプリンシパルとして追加されたら、パスワードを検索できました。私が意図した設定は、許可されたプリンシパルのホストグループにコンピュータアカウントを追加することです。したがって、コンピュータアカウント...
私が述べたように他のスレッド、私は24のLinuxサーバーをサポートするLDAPシステムを持っています。さまざまな理由で(ファイアウォールルールの変更、停電など)LDAPサーバーが停止すると、システムの残りの部分も停止します。 私はいくつかの冗長性を構築しようとしましたが、ローカルキャッシュログインの使用に関するこの記事を誤って発見しましnscdたsssd。 私のすべてのサーバーにはnscdがインストールされており、次の設定があります。 enable-cache passwd yes positive-time-to-live...
CentOS 7仮想マシンにopenLDAPがインストールされています。 openLDAPを実行しているユーザーはですldap:ldap。 何らかの理由でサーバーが予期せず終了すると、以下にリストされているファイルはユーザーごとにリセットされldapますroot。 __db.001 __db.002 __db.003 正常に終了すると、この問題は発生しません。 明らかに、この問題によりslapd権限を手動で変更し、サーバーを再起動するまでサービスが開始されませんでした。 問題は、ネットワークドライブがマウントされず、そのユーザーがないとアプリケーションが起...
AWS の 30 台のサーバーでユーザーを管理するのに問題があります。調査の結果、FreeIPAとSSSDを使用してこれを行うことができますが、LinuxサーバーとActive Directory間の通信は直接的であることを発見しました。セキュリティ上の理由から、私はこの種の設定をしたくありません。 私のネットワークにはすでにDMZにADFSプロキシがあります。ユーザーがLinuxサーバーに認証できるように、ADの代わりにADFSと統合できますか? LinuxサーバーとADFSサーバー間の「中間」にサーバーを配置する方が簡単ですか? ...
実際、ADを介してLinuxホストを認証するためにUbuntuホストとActive Directoryの間に接続を確立しようとしています。 これにはSSSDとRealmdを使用しますが、ADSysは使用しません。私たちはディストリビューションとは独立して作業したいと思います。 だから私はあなたに2つのコマンドを与えます。これは有効なコマンドです。 sudo realm join domain.de --user linuxad --computer-name linux006 --computer-ou "OU=Linux,OU=domain,DC=de" ...
Ubuntu 22.04.3 LTS で LDAP ユーザーの資格情報を使用してログインすると、他のtestuserプログラムによってはディレクトリパスが$HOME変更されません~(ローカルユーザーの場合と同様)。 いくつかの例は次のとおりです。 のbash値はPS1デフォルトです。 \[\e]0;\u@\h: \w\a\]${debian_chroot:+($debian_chroot)}\[\033[01;32m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ しかし、それは次のように表示され...
Windows ADに接続されたUbuntuノートブックがあります。 SSH(たとえば)を使用してサーバーに接続し、ssh 192.168.1.1LDAPアカウントを使用してログインするとエラーが発生します。 No user exits for uid 213321 ローカルアカウント(など)を使用すると、SSHログインが正しく機能しますroot。 SSHを再インストールして再構成しようとしましたが、sssd成功しませんでした。 ...
実装方法については、最初から最後まで段階的なガイドが必要です。会員OpenLDAPのオーバーレイ(バージョン 2.5.13)。 私は公式ガイドを含む多くのガイドを読んだ。残念ながら、それらのどれも動作しません。これ会員属性はまったく存在しません。 現在の状態は次のとおりです。 dn: cn=module{0},cn=config objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_mdb olcModuleLoad: {1}m...
.png)
私たちは20のLinuxシステム(RaspberryPI、NAS、デスクトップコンピュータ)で小規模の研究室を運営しており、すべてsudo権限を必要とする4人の科学者と共に研究を進めています。 私たちは、4人のユーザーがすべてsudo権限と物理アクセス権を持っているので信頼します。ラボネットワークはローカルネットワークなので、インターネットからアクセスできません。 今、資格情報を同期しようとしています。あるユーザーがパスワードを変更する場合は、他の19のシステムでパスワードを手動で変更しないでください。 LDAPのような複雑なソリューションは避けたいです。私...