問題タブ [lds]

Active Directory で SSL をセットアップする必要があります。私はたくさんグーグルで調べましたが、これを行う方法についてのまともな記事を見つけることができませんでした. これに関する優れたリソースを知っている場合は、お知らせください。ありがとう！

これは私の状況です：

現在、Sun の iPlanet でホストされている証明書ストアを、Microsoft の Lightweight Directory Services (新しいバージョンの ADAM with Server 2008) に置き換える作業を進めています。

これらの証明書は、LDS のアプリケーション パーティション (o=myorg、C=AU など) にインポートされています。この構造の下に、約 40,000 の OU があり、各顧客 OU の下の顧客を表す各 OU は、1 つ以上のユーザー (iNetOrg) オブジェクト (全部で約 60,000) です。各ユーザーには、UserCertificate 属性に 1 つ以上の証明書があります。

社内で作成されたアプリケーション コードと独自の PKI コードの組み合わせが、これらの証明書を読み取って公開し、金融取引を検証します。

証明書の LDAP パスは顧客証明書内 (およびアプリケーション コード内) に格納されており、コードを変更する必要がないため、iPlanet ディレクトリ全体を取得して LDS にダンプする必要がありました。同じ構造。

(Microsoft CA を使用またはホストするつもりはありません。これらの証明書をホストするために LDAP 準拠のディレクトリを実装するだけです)

LDS のデータを使用してアプリケーションを完全にテストしましたが、すべて正常に動作します。

取り消された、または有効期限が切れた証明書を削除するためのプロセスが導入されていなかったため、データの大部分は完全に役に立たず、システムは約 8 年間稼働しています。簡単な分析を行ったところ、データの少なくとも 80% はもはや有効ではないと見積もっています。

私はディレクトリを管理する責任を負っているので、クリーンなディレクトリから始めたいと思います。これらの期限切れの証明書をクリーンアップする方法を知っている人はいますか? 私は経験豊富なスクリプターではありませんが、VB のバックグラウンドがあります。私はCAPICOMの使用を研究しており、これが使用できる可能性があると感じていますが、正確にはどのように使用できるかわかりません??

有効期限 (2010 年より前に有効期限が切れた証明書など) を指定して、LDS パーティションに対して実行できるスクリプトを作成することをお勧めします。このようにして、スクリプトを定期的に再利用してディレクトリをクリーンアップできます（上記のように、証明書を作成しているアプリケーションを調整する方法はありません。これはサードパーティによるものです）。

もう 1 つのあまり魅力的ではない代替手段は、LDIF ファイル (270 万行!) をマッサージして、インポートの前に証明書を取り除くことです。

どんな助けやアドバイスも大歓迎です。

乾杯

ジョン

C# で DirectoryServices.AccountManagement ライブラリを使用して、PrincipalContext を確立し、そのコンテキストを使用してユーザーを検証しています。

コンテキストを確立しているユーザー名が断続的に破損/リセットされているか、他の何かが原因でコンテキストの確立が失敗しているようです。

ADSIEdit を使用するようにパスワードを手動でリセットした後、通常どおりコンテキストを確立できます。

次のようにコンテキストを確立しています。

PrincipalContext ldsUserContext = new PrincipalContext( ContextType.ApplicationDirectory, "[サーバー名]:389", "CN=USERS,CN=XXX,O=XXX", ContextOptions.SimpleBind, "CN=[ユーザー名],CN=PEOPLE,CN=XXX ,O=XXX", "[パスワード]");

次に、次のように ValidateCredentials を使用します。

context.ValidateCredentials("CN=[ログイン]、CN=USERS、CN=XXX、O=XXX"、[ユーザーパスワード]、ContextOptions.SimpleBind)

現在、約 15 人のユーザーが 1 日に約 5 回ログインしています。問題が発生するまでに数日または数か月かかる場合があります。

何が起こっているのかについてのアイデアはありますか?

ありがとう、

マット

LDAP（LDS）に接続するWebアプリを実行しています。アプリでは、ユーザークラスで属性userAccountControlの値を確認する必要があります。

私のインストールでは、インスタンスの作成時にMS-User * .ldfファイルをインポートしましたが、ユーザークラスにはそのような属性がありません。

したがって、この属性をユーザークラスに作成する必要があります。ADSI Editを使用してLDSインスタンスに接続していますが、新しい属性を作成する機能がありません。私は何をすべきか？

MVCアプリのユーザー認証にADLDSを使用しようとしています。ユーザーとグループを作成/編集/削除できるコードを書くことができましたが、それらを認証できないようです。これが私のサンプルコードです：

残念ながら、これが「Writeline」に到達することはなく、パスワードまたはユーザー名のいずれかが正しくないというエラーのみが表示されます。

私はContextOptionsをいじってみましたが、運がありませんでした。

何か案は？

私はこの問題を解決するために何日もインターネットを検索してきました。

私は、ユーザーがASP.NETWebアプリケーションを使用してパスワードを変更できるようにする必要があるプロジェクトに取り組んでいます。

パスワード履歴を適用する必要があるため、「SetPassword」ではなく「ChangePassword」を使用する必要があります。また、LDS内のユーザーに必要以上の特権を許可しないようにする必要があります。私は開発環境でこのタスクを完了しようとしています。「Server1」（LDS、PingFederate、CA）と「Server2」（IIS）の2台のマシンがあります。2つのボックスの間にSSLが設定されていなかったため、問題が発生する可能性があると考えたため、昨日半日かけてCAを設定し、両方のマシンの証明書を作成しました。エラーログにエラーが表示されなくなったため、動作していると確信しています。SSLをオンにしたポート636を使用してLDPを使用してLDSにログインできます。また、これらのマシンはドメイン環境にありません。テストネットワーク上のすべてのマシンでhostsファイルを編集しました。

私はさまざまなバリエーションのコードを試しました：

Object obj=de.NativeObject;の最初のバージョンで例外が発生します。これを使用してバインドが正しく行われているかどうかを判断し、これがポート389を介してユーザーを認証する方法であるため、デバッグ手順として挿入されました。例外は「ログオンの失敗：不明なユーザー名または不正なパスワード」です。

2番目のバージョンでde.Options.PasswordEncoding=PasswordEncodingMethod.PasswordEncodingSsl;で例外が発生します。例外は「ログオンの失敗：不明なユーザー名または不正なパスワード」です。

SearchResult sr = ds.FindOne（）;の3番目のバージョンで例外が発生します。例外は「ログオンの失敗：不明なユーザー名または不正なパスワード」です。

AuthenticatioTypes.Noneを使用してポート389でこのコードを実行しようとした場合| AuthenticationTypes.FastBind、de.Invoke（ "ChangePassword"、new object [] {pwd、newPwd}）;で失敗します。「不明な名前」を除いて。これをSSLで実行するか、少なくともパスワードを平文で送信しないようにしたいと思います。HTTPS経由でサイトを実行しています。非SSL接続でパスワードを変更できるようにLDSのdsHeuristics値を変更しようとしましたが、それも機能しませんでした。

誰かが持っているかもしれないどんな提案でも大いに感謝されるでしょう。

拡張ユーザー クラス (アプリケーション固有のカスタム属性) を含む AD LDS (ADAM) を使用するアプリケーションがあります。クライアントの 1 人が、ユーザーをドメイン ユーザー (AD) にリンクすることを望んでいます。彼らがシステムでユーザーを作成するとき、私たちの側でユーザーを作成する必要があります。彼らがシステム上のユーザーを削除するとき、対応するユーザーは私たちの側で削除されるべきです。基本的なプロパティ (名前、電子メールなど) と同じです。アプリケーション固有の属性は、ツールによって変更されます。

これらのユーザーの同期を維持するための最良または最も信頼できる方法は何ですか? クライアントは、私たちがスキーマを変更することを許可していません。

システム内から呼び出すことができる、私たちの側でユーザーを追加/削除/変更するためのWebサービスを作成することを考えていました。しかし、もっと良い解決策があるかもしれません。ありがとう。

USACO Training の TEXT Dynamic Programming セクションに書かれている、古典的な問題 (最大減少部分列の検索) に関するコードと混同してしまいました。記事リンクです。手に入れるのを手伝ってください！

コードは次のとおりです。

私はそれに3つの問題があります：

1) 14 行目から 17 行目は正確には何をしているのですか? たとえば、シーケンス 10, 2, 8, 9, 4, 6, 3 の場合、そのコードの結果は 4 ですが、サブシーケンスは 10, 8, 4, 2 であり、元のシーケンスの要素 2 は8 と 4 の前ですが、結果のサブシーケンスでは 8 と 4 の後です!

2) シーケンス 5、10、8、9、4、6、3 を考えます。上記のコードによると、最大減少サブシーケンスの長さは 4 で、このサブシーケンスは 10、5、4、3 です。しかし、このサブシーケンスでは反対です元のシーケンスの 5 は 10 の後です。

num[i] < bestrun[j+1]3)内側のループの状態をチェックする必要がありますか? 条件的には満足できると思いますnum[i] > bestrun[j]。

役立つ回答をお待ちしています。
ご協力いただきありがとうございます！

ADAM 環境からユーザー属性を取得する作業を行っています。具体的には、「manageddepartmentnumber」と「manageddepartment」が必要です。何時間も経っても、この情報を引き出す最善の方法は何なのか、まだ迷っています??

現在試みている

これはもちろん...動作しません。どんな助けでも大歓迎です。

ありがとう

Windows Server 2008 R2 で AD-LDS インスタンスを生成し、Windows 7 マシンで ADSI Edit を介して正常に接続しました (両方のコンピューターが同じドメインにあります)。

私の目標は、すべてのドメイン ユーザーによって実行される軽量の .NET プログラムを作成し、特定のユーザーが特定のアクション (役割とグループ) を実行できるかどうかを判断することです。

これまでのところ、ほとんどのことを書くことができましたが、現在、小さなセキュリティの問題に直面しています: サーバー自体から実行する場合、資格情報は必要ありませんが、別のユーザー (もちろん同じドメイン内) から実行する場合、LDS接続にはインスタンスの管理者の資格情報が必要です。この種のものを自分のコードに残しておくのはあまり好きではありません。

それをバイパスする方法 (Active Directory バインディング?/SimpleBinding?) について Web をかなり検索しましたが、見つかったすべてのソリューションには SSL と証明書のインストールが含まれていました。

ドメイン内のユーザーが自分のサーバーの資格情報を公開せずに LDS インスタンスに接続する簡単な方法はありますか?

ありがとう。