我在虚拟机中运行 RHDS,但想将数据和日志存储在 SAN 上的单独卷上。分区是 /sdb1 上的 ext4fs,并挂载为 /data。 我尝试了这里描述的不同方法的多种变体。首先,在全新安装 RHDS 之后,在创建任何实例之前,我在 /data 上创建了文件夹并从 /var 链接到它们,如下所示: mkdir /data/lib mkdir /data/log mkdir /data/lib/dirsrv mkdir /data/log/dirsrv rmdir /var/log/dirsrv rmdir /var/lib/dirsrv ln -s /...
我在 Fedora 18 上使用 389 目录服务器。我能够使用 让 389 DS 在启动时启动systemctl enable dirsrv.target。但是,这只会启动目录服务器本身,而不会启动管理服务器。我知道可以使用 手动启动管理服务器start-ds-admin,但如何在启动时自动启动管理服务器? ...
我有一个 Fedora 客户端,正在向运行 389 ds 和 kerberos 的 Centos 服务器进行身份验证 我可以kinit <my-user-principal>在 Fedora 客户端上成功运行并获取票证,但无论我如何尝试,我都无法使用 Kerberos 向 389 服务器进行身份验证。 每当我尝试时ldapwhoami -I -Y GSSAPI都会收到以下错误: SASL/GSSAPI authentication started SASL Interaction Please enter your authorizatio...
我已经在 Centos 6 上设置了一个 389 目录服务器。用户身份验证工作正常,但是,我必须在目录服务器上创建用户后,在每台客户端计算机上创建单独的用户。 如果用户已经存在于本地系统中,pam_mkhomedir.so 模块似乎会创建主目录。 ...
我在云中创建了一个负载均衡器,后端服务器运行 FreeIPA。 当我尝试运行: $ ldapsearch -x -H ldap:<IP-ADDRESS> -b "dc=example,dc=com ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) 但是,可以联系每个服务器: $ ldapsearch -x -H ldap:<NODE1-ADDRESS> -b "dc=example,dc=com # extended LDIF # # LDAPv3 ... $ ldaps...
我目前正在尝试在 389 目录服务器实例(均在 Fedora 37 上运行)之间设置 LDAP 复制,在下面我将其称为 $SUPPLIER 和 $CONSUMER(分别在域 supplier.mydomain.example 和 consumer.mydomain.example 上提供服务)。 $SUPPLIER 和 $CONSUMER 的配置相同,并且使用 Let's Encrypt 证书。我已成功配置了 $SUPPLIER 的几个客户端,它们都运行良好(都使用 ldaps:// 与 $SUPPLIER 进行通信,并要求其提供 TLS 证书)。 但是,从...
我有一台 Postfix 服务器,它通过 LMTP 将所有电子邮件转发到 Dovecot 服务器。用户名/组保存在 389 目录服务器 (LDAP) 中 在 /etc/postfix/transport 中我有几行(每个我托管的域一行): mydomain.com lmtp:inet:[192.168.50.223]:10025 在 /etc/postfix/main.cf 中我有: relay_recipient_maps = proxy:ldap:/etc/postfix/ldap-users-389.cf ... ...
我试图了解 389-DS 中的“密码策略”与 OpenLDAP 2.4 相比如何工作: 在 OpenLDAP 2.4 中,我可以定义多个“命名”密码策略条目,并将它们分配给用户条目。例如,我有一个策略“交互式用户”(个性化)和一个策略“系统用户”(共享帐户),两者都具有不同的设置。 在 389-DS 中(尽管整个概念看起来很不一样)我只能有两个选择: 定义一个全球的适用于每个用户的政策 定义每个用户个人属性 因此,当我想验证用户是否有特定策略时,这项工作会非常繁重。更新策略时也是如此。 那么我的理解正确吗?即使在 389-DS 中,我也想定义和使用“命名...
在 OpenLDAP 中,我有一个访问规则,使用roleOccupant属于特定类型的用户organizationalRole,如下所示(该示例仅为片段): olcAccess: to * by group/organizationalRole/roleOccupant.exact="cn=Manager,dc=roles,dc=example,dc=org" write 不幸的是,我无法将其转换为 389-DS 的 ACI。我尝试过但没有成功: aci: (targetattr = "*")(version 3.0; acl "Manager test"...
SLES15 SP3附带的389-DS版本是1.4.4.19,不知道在哪里可以找到相应的文档: 389 目录服务器指的是Red Hat Directory Server 12 产品文档我想知道 SLES 版本是否对应于 Red Hat 的版本 11 或 12,因为这些是唯一列出产品版本。 或者我应该参考389 目录服务器文档? 在发行说明没有版本 11 或 12。 我有点困惑。SLES 没有提供足够的文档来配置和使用该产品来替代 OpenLDAP。 ...
抱歉,如果之前有人问过这个问题,但是当我搜索类似的问题时,我得到了如下结果这些(对我来说这毫无意义)。 我一直在尝试使用 Red Hat 的 Directory Server 11 文档在两台完全更新的 Rocky Linux 8.6 服务器上设置 389-ds。我的服务器是 supplier1.example.com 和 supplier2.example.com,它们位于同一子网中。我已使用每个服务器的私有 IP 和主机名设置了它们的 /etc/hosts 文件,并通过 ping 另一台服务器的 IP 和主机名验证了连接性。端口 389 和 636 已对...
我正在设置一个 Open Ldap 服务器 (ds-389),但是,我找不到很多好的资源来定义可以应用于目录的配置或模式的安全性或强化指南。 有没有人有任何好的链接或参考资料来讨论如何适当强化 Open Ldap 服务器配置? 我找到了一些参考资料和一个旧的 CIS 基准,但似乎 CIS 不再为 Open LDAP 提供基准。 ...
我想用 389DS 多主复制替换我们现有的目录服务器。此外,还需要为 sssd 客户端配置启用 TLS。 我在网上搜索过,也做过单 389DS,但无法正确配置 TLS。有人能分享一个链接给我参考一下吗? ...
我的组织389 Directory Server LDAP到目前为止一直在使用 来管理身份验证。我被要求Kerberos为此目的切换,但我仍然想保留LDAP与身份验证无关的数据。 我的问题在于播种现有用户。 据我了解,LDAP保留散列密码,但Kerberos生成一个钥匙基于创建用户时的纯文本密码。有没有办法改用哈希密码?我知道在 中是可行的LDAP。 一位朋友遇到了类似的问题,他的解决方案是在每次身份验证尝试时捕获用户/纯文本密码请求,并使用该信息在他的Kerberos数据库中播种几个月(以获取所有“活跃”用户),但这会带来一些安全风险。 另一种选择...
我正在尝试将旧的 Fedora Core 8 机器迁移到 CentOS 7。它运行 Samba 和 Fedora Directory 服务器。它用于对 Windows 用户进行身份验证。我想迁移到 Samba4。最好的方法是什么? 我尝试使用 db2ldif 从旧实例导出 userRoot 和 NetscapeRoot,然后将它们导入到新系统上的新 389-ds-base 安装中。但是,当我尝试导入时似乎什么也没发生: [root@localhost ~]# ldif2db -n userRoot -i /tmp/master-fds-vm-userRo...