openldap

mTLS(および選択性曲線)を使用したldapsearch
openldap

mTLS(および選択性曲線)を使用したldapsearch

LDAPサーバーを要求する必要があります。厳密な相互TLSで保護されています。 TLSにopensslを使用しようとすると機能します。ただし、機能するには、openssl s_clientに-cert、-key、および-curvesを指定する必要があります。 cuvesが明示的に設定されていない場合は失敗します。 ldapsearchにこれらのパラメータを提供する方法はありますか?証明書とキーが見つかりましたが、曲線はわかりません。 私はldap-utils 2.5とOpenSSL 3でDebian 12を実行しています。 ...

Admin

BDBからMDBバージョン2.4から2.6へのLDAPの移行
openldap

BDBからMDBバージョン2.4から2.6へのLDAPの移行

LDAP の移行に関して 2 つの問題が発生しました。私が理解したのは、openldap 2.6はBDBをサポートしていないため、動作している2.4 openldapからmdbに移行してから(新しいサーバーから)2.6に移行する必要があります。 BDBからMDBに移行するためにとった手順は次のとおりです。 systemctl stop slapd slapcat -n 0 -l backup.ldif | slapadd -F /etc/openldap/slapd.d slapd.conf ファイルを編集し、行を変更します。 database bdb ...

Admin

shibboleth 5 openldap ログイン
openldap

shibboleth 5 openldap ログイン

私の環境: Jetty 11サーブレット内で実行するように構成されたShibboleth 5 IdP(Apacheなし) openldap(同じサーバー上) 各種開発サーバーのmod_auth_mellon SP IdP自体が正常に動作しています。開発サーバーがSAMLホスティングの場所に移動しようとすると、401 Unauthorizedエラーが発生します。これは、SPとIdP間のSAMLハンドシェイクが有効であることを証明します。 私の質問は:SPが認証用にIdPにリダイレクトされたときにIdPにLDAPログインページを表示させるには、どのShibb...

Admin

N-wayマルチマスターシステムへのLDAPスレーブの追加
openldap

N-wayマルチマスターシステムへのLDAPスレーブの追加

N-wayマルチマスターモードでOpenldap 2.5を実行する2つのUbuntu 22.04 LTSサーバーがあります。それはうまく機能し、数年間使用されてきました。今このシステムにスレーブを追加したいと思います。 2つのマルチマスターノードはTLSを使用せず、両方ともバインディング/同期にcn = admin、dc = some、dc = domain、dc = comアカウントを使用します。 LDAP 管理者パスワードは終日プレーンテキストで前後に転送されますが、コンピュータは独自のプライベート VLAN で同期されるため、これは理想的ではありません...

Admin

nscd アクティブライブ時間を長く設定する際のリスクを理解する
openldap

nscd アクティブライブ時間を長く設定する際のリスクを理解する

私が述べたように他のスレッド、私は24のLinuxサーバーをサポートするLDAPシステムを持っています。さまざまな理由で(ファイアウォールルールの変更、停電など)LDAPサーバーが停止すると、システムの残りの部分も停止します。 私はいくつかの冗長性を構築しようとしましたが、ローカルキャッシュログインの使用に関するこの記事を誤って発見しましnscdたsssd。 私のすべてのサーバーにはnscdがインストールされており、次の設定があります。 enable-cache passwd yes positive-time-to-live...

Admin

OpenLDAP __db.00# ファイル権限を root にリセットする
openldap

OpenLDAP __db.00# ファイル権限を root にリセットする

CentOS 7仮想マシンにopenLDAPがインストールされています。 openLDAPを実行しているユーザーはですldap:ldap。 何らかの理由でサーバーが予期せず終了すると、以下にリストされているファイルはユーザーごとにリセットされldapますroot。 __db.001 __db.002 __db.003 正常に終了すると、この問題は発生しません。 明らかに、この問題によりslapd権限を手動で変更し、サーバーを再起動するまでサービスが開始されませんでした。 問題は、ネットワークドライブがマウントされず、そのユーザーがないとアプリケーションが起...

Admin

OpenLDAPでMemberOfオーバーライドを実装する方法は?
openldap

OpenLDAPでMemberOfオーバーライドを実装する方法は?

実装方法については、最初から最後まで段階的なガイドが必要です。会員OpenLDAPのオーバーレイ(バージョン 2.5.13)。 私は公式ガイドを含む多くのガイドを読んだ。残念ながら、それらのどれも動作しません。これ会員属性はまったく存在しません。 現在の状態は次のとおりです。 dn: cn=module{0},cn=config objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_mdb olcModuleLoad: {1}m...

Admin

Openldap:このアイテムを削除できますか?
openldap

Openldap:このアイテムを削除できますか?

このアイテムを作成しました。 # AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify. # CRC32 2c768a98 dn: cn=module{2} objectClass: olcModuleList cn: module{2} olcModulePath: /usr/lib64/openldap olcModuleLoad: {0}back_monitor structuralObjectClass: olcModuleList entryUUID: 343d1582-20cf-103e-9530-...

Admin

ビット名/openldapにldapPublicKeyがありません。
openldap

ビット名/openldapにldapPublicKeyがありません。

ldapPublicKeyがあるtruecharts / openldapで実行されているopenldapサーバーがあります。 ldapsearch -H ldap://10.1.5.5:389 -x -s base -b "cn=subschema" objectclasses|grep -i ldapPublicKey objectClasses: ( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' DESC 'MAND ユーザーアカウントにsshPublicKeyプロパティを追加できます。 ただ...

Admin

Kerberosを長期間管理しないとレンガになりますか?
openldap

Kerberosを長期間管理しないとレンガになりますか?

奇妙な問題があります。 kerberos / openldap環境はレンガで覆われています。私が試しているすべての結果が、、SERVER_NOT_FOUND PERMISSION_DENIEDにINSUFFICIENT ACCESSさまざまに変更されるため、新しいユーザー、コンピュータ、またはその他の項目を追加することはできません。 CLIENT_NOT_FOUND Kerberos環境を変更していない場合(例:1年間)、これは通常発生しますか? その目的は、NFS共有を保護することです。これで、データを複製するために別のNFS共有を追加したいのですが、ど...

Admin

Red Hat ディレクトリサーバーと LDAP
openldap

Red Hat ディレクトリサーバーと LDAP

タイトルが示すように、OpenLDAPがインストールされているRed Hat Directory Serverがあります。 Windows Active Directory(混合ネットワーク)もあります。 Red Hat側で新しいユーザーを作成するスクリプトを作成したいと思います。 redhat-idm-consoleこのプロセスを経てユーザーを追加すると、セクションでNTユーザーを作成するオプションを確認できます。NTデフォルトドライブ文字(H例:)を設定する場所もあります。 つまり、両方にLDAPコマンドがあるようですが、Webを検索すると、そのコマンド...

Admin

AD LDAPSサーバーが認証されていないため、ldapsearchはAD LDAPSに自動的に接続できません。
openldap

AD LDAPSサーバーが認証されていないため、ldapsearchはAD LDAPSに自動的に接続できません。

次のように確認できる大企業AD LDAPの証明書チェーンがあります。 $ openssl rehash tmp_cert_dir/ $ echo | openssl s_client -showcerts -connect 10.188.1.101:636 2</dev/null \ | openssl verify -CApath tmp_cert_dir/ stdin: OK $ したがって、ディレクトリに2つの証明書がある場合は、tmp_cert_dirLDAPサーバーを認証するのに十分です。 ただし、Commandoを使...

Admin

kpasswdでパスワードを変更する方法は?
openldap

kpasswdでパスワードを変更する方法は?

パスワードを変更すると、kpasswdKerberosサーバーに保存されているパスワードは変更されますか、それともOpenLDAPサーバーに保存されているパスワードが変更されますか? ...

Admin

GNU sedが "e"修飾子で実行されたコマンドに一致しない行の内容を追加するのはなぜですか?
openldap

GNU sedが "e"修飾子で実行されたコマンドに一致しない行の内容を追加するのはなぜですか?

次のコマンドは、テキストのユーザー名とグループ名をUIDとGIDに正しく置き換えます。 echo "uidNumber=root" | sed -E 's/((u|g)idNumber=)([^,+]+)/echo -n \1; id -\2 \3/eg' uidNumber=0 ただし、パターンに一致するテキストの前にテキストを追加すると、代替コマンドが実行される前に追加され、エラーが発生します。 echo "anotherAttr,uidNumber=root" | sed -E 's/((u|g)idNumber=)([^,+]+)/echo -n ...

Admin

LDIFメソッドを使用してSSLを使用してOpenLDAPをActive Directoryのプロキシとして構成する方法
openldap

LDIFメソッドを使用してSSLを使用してOpenLDAPをActive Directoryのプロキシとして構成する方法

編集:開発者を除いて、OpenLDAPがどのように機能するかを知っている人がいないので、最終的に単純な設定ファイルに設定するのがはるかに簡単なGLAuthを好むことによってOpenLDAPをあきらめました。私は数分で問題を解決できました。 OpenLDAPがより強力であるか、より多くの機能を持っている可能性があることを知っていますが、プロキシADの場合、OpenLDAPを使用することは大きなハンマーでクルミを壊すのと同じであるため、避けたいかもしれません。 私たちの会社には、ユーザーを管理するためのActive DirectoryとLDAPを介してログインシ...

Admin