問題タブ [openldap]

Centos5.4でLDAPを介してsambaを設定しようとすると、以下のようなエラーが発生します。

/usr/lib/perl5/vendor_perl/5.8.8/smbldap_tools.pm行1071のsambaDomainName=sambaDomain、dc = server、dc = example、dc = com：invalidDNで次のuidを検索中にエラーが発生しました。

/etc/smbldap-tools/smbldap.confを編集して、SID = "％your_sid％"とuserSmbHome = "％samba_netbios_name％"を置き換えてみましたが、機能しませんでした。

認証に LDAP を使用しようとしています。これを行うために、Novell の OpenLDAP ライブラリを使用しています ( http://www.openldap.org/jldap/ )。

私の問題は、完全な識別名を認証する必要があることです。ただし、ユーザーの OU がない場合はどうすればよいですか?

コードの古いバージョンでは、次のように Perl から呼び出して LDAP 検索を行いました。

上記のコードにより、LDAP 検索が成功し、その検索結果がファイルに出力されます$lworkfile。

残念ながら、最近、このサーバーで openldap を再構成して、/etc/openldap/ldap.conf と /etc/ldap.conf で「BASE DC=」が指定されるようにしました。この変更は、ldapsearch が LDAP_BASEDN 環境変数を無視することを意味しているように思われるため、私の ldapsearch は失敗します。

私はいくつかの異なる修正を試みましたが、これまでのところ成功していません:

(1) ldapsearch に「-b」引数を使用することに戻ろうとしましたが、シェルのメタ文字をエスケープしました。私はエスケープコードを書き始めました：

Perlでこれらの正規表現を適切にエスケープしていないため、Perlエラーが発生しました（行番号は、バッククォートを含む正規表現と一致します）。

同時に、私はこのアプローチに疑いを持ち始め、より良いアプローチを探しました。

(2) 次に、より良い解決策を提案するいくつかの Stackoverflow の質問 (こことここ) を見ました。

コードは次のとおりです。

アプローチ（2）で私が抱えている2つの問題は次のとおりです。

a) 引数の配列を指定して open または system を呼び出す> $lworkfile 2>&1と、コマンドに渡すことができないため、ldapsearch の出力が画面に送信されるのを止めることができず、出力が見苦しくなります。

b) に渡されたファイル ハンドルの場所 (つまり、パスとファイル名) を選択する方法がopenわかりません。つまり、場所がわかりません$lldap_output。移動/名前変更、または検査してどこにあるか (または実際にディスクに保存されていないか) を調べることはできますか?

（2）の問題に基づいて、これは（1）のアプローチに戻るべきだと思いますが、どうすればよいかわかりません

openldap でのユーザーのマッピングについて質問があります。次のようなものを設定することは可能ですか？

グループ 1: cn=groups_name1,ou=groups,dc=company,dc=com およびこのグループの一部の memberUid: memberUid: test

そして2番目のグループでは、他のユーザー:

グループ 2: cn=groups_name2,ou=groups,dc=company,dc=com およびこのグループの一部の memberUid: memberUid: test2

その後、いくつかのプロジェクトとアクセスを設定します。

cn=projects_name,ou=projects,dc=company,dc=com で、このプロジェクトの memberUid: cn=groups_name1,ou=groups,dc=company,dc=com

これは可能ですか？

Open LDAP からの認証を使用して、asp.net で開発されたアプリケーションがいくつかあります。アプリケーションは正常に動作しており、認証に問題はありません。

主な問題は、ユーザーの役割と責任を管理することであり、要件は頻繁に変更されます。ユーザーロールを管理するためのオープンソースフレームワーク、またはユーザーロールを管理する他の方法、つまりオープンLDAPなどを提案できますか...

Visual Guard のような商用ソリューションはほとんど研究していませんが、オープン ソースを探しています。

OpenLdap とファイルへのアクセス許可に問題があります。

まず、slapd.conf で次のように設定します。

2 番目 - cn=test,ou=Projects,dc=example,dc=com を次のように作成します。

私にcn=testgroup,ou=Groups,dc=example,dc=comは memberuid: user1 と memberUid: user2 があります

3番目 - getent グループテストを作成したとき、次のものがありました:

しかし、id user1 を試してみると、このグループが表示されませんでした:(

次に、設定chmod 770 dirしchown root.test dirてこのディレクトリへのアクセスを試みます。

しかし、もちろん、ユーザーがこのグループ (つまり「id」) に属していないため、それは不可能です。

誰かが解決策を知っていますか？

LDAP サーバー (現在は OpenLDAP) にアクセスする Linux アプリケーションを作成しています。

また、運用環境で使用される可能性があるため、Active Directory サーバーを使用してアプリケーションをテストしたいと考えています。

VM でこのテストを実行できる Microsoft の無料のデモまたは試用版はありますか?

LDAP をいじっており、次のサービスに対してユーザーを認証するために使用できる LDAP サーバーをセットアップしようとしています。

• Linux ログイン (ubuntu)
• sshログイン
• Apacheログイン
• メール（ポストフィックスとクーリエ）
• バグジラ
• ウィキ
• ...

私は objectClasses の概念を理解しており、ユーザーに次の objectClasses を設定することが理にかなっていることを知っています。

しかし、Web アプリケーションをどのように扱うのでしょうか? ユーザー A が bugzilla にログインできるようにしたいが、wiki にはログインできないようにする必要があるとしますか? または、特定のユーザーがローカルで Ubuntu にログインできる必要がありますが、リモートからの ssh は許可されていません。objectClasses またはグループ メンバーシップでこれを解決しますか?

実際の例へのヒントやリンクは大歓迎です!

/etc/openldap/schema/slapd.conf に時々含まれるファイルは何ですか?

企業サーバーからの LDAP 応答をインターセプトし、イントラネット (つまり、http://intranet.biz/userPhoto. php?email=johnDoe@domain.com )。

私が最初に考えたのは、書き換えフィルターを使用して Squid プロキシーをセットアップすることです。OpenLDAP のマニュアル ページには、プロキシとして機能できることも記載されているようです (おそらく slapo-rwm を使用して jpegPhoto を追加しますか?)。私は OpenLDAP にあまり詳しくなく、これを実装する方法がわかりません。

最善の解決策は何ですか? 例はありますか？