nss
使用多个 LDAP 基础进行 ssh 登录
我有一个 OpenLDAP 目录,其中包含两个不同的域 (DN)。我想让用户使用 ssh 和他们的 LDAP 帐户访问计算机。当我在 LDAP 中只有一个目录时,这可以正常工作,但我无法让它在两个目录中工作。 我搜索并尝试过解决方案,但没有任何结果。有人能帮我吗?我尝试在 /etc/libnss-ldap.conf 中添加第二个基础,但它只允许我在后者的 LDAP 目录中查找条目。 ...
nss
nss
根据用户登录的位置,NSS 的结果会有所不同
当我调用它时,getpwuid它会从告诉它的位置返回数据NSS。在PAM启用的系统中,我们可以对从控制台登录的用户和通过 ssh 登录的用户进行不同的身份验证,但使用 NSS 时,这个问题已经解决了(据我所知)。 当我通过控制台登录时,login二进制文件首先通过 PAM 进行身份验证,然后尝试通过 NSS 获取用户数据。我可以在 中为login和设置自定义规则,但对于 NSS 似乎没有办法做到这一点。ssh/etc/pam.d/ 如何getpwuid根据用户登录的位置获取用户的数据()? ...
nss
针对多个(postgres)数据库验证 ftp
当前状态 给定一个主机,该主机有几个 IPv4 地址,每个地址都有 HTTP 和 FTP 访问权限;每个虚拟主机都可以访问 PostgreSQL 数据库。Web 和 ftp 身份验证是针对相应的数据库进行的;对于 proftpd,我对每个 IP 地址/虚拟主机使用此设置($VALUES 不是变量,但隐藏了实际值): SQLConnectInfo $VHOST@localhost $SQLUSER $SQLPASS SQLUserInfo login Login Password 33 33 "CONCAT('/var/www/$VHOST/upload/',...
nss
nss-pam-ldapd 密码验证仅在使用“su”时在 CentOS 7 上不起作用
语境 我这里有 2 台不同的机器,它们的主要区别在于一台运行 CentOS6,另一台运行 CentOS7。两台机器都运行最新的发行版 lib 版本:COS7 为 0.8.13,CentOS6 为 0.7.5 两台机器都运行“正常”配置的 nss-pam-ldapd: /etc/nslcd.conf uid nslcd gid ldap uri ldap://ldap.example.org/ base dc=example,dc=org ssl no tls_cacertdir /etc/openldap/cacerts idle_timelimit 2...
nss
NSS 响应程序未使 memcache 失效
我正在删除一个用户。 # userdel u1 The memcache was not invalidated by nss responder. 但最后该用户被删除了。“The memcache was not invalidated by nss responder”是什么意思? Fedora 34 谢谢 ...
nss
OpenSSH / NSS 如何确定具有多个 DNS 条目的主机名使用的地址?
假设我有一些具有多个地址的设备,如下所示(由于 AD 和 VMWare NAT 名称解析的某种组合,但这不相关): [centos@localhost ~]$ getent hosts my-weird-AD-device.company.com 192.168.1.10 my-weird-AD-device.company.com 192.168.4.13 my-weird-AD-device.company.com 我有一条路由到的地址是192.168.1.10,来自与 位于同一网段的设备192.168.4.13。 如果我尝试直接通过 SSH ...
nss
授予特定用户 LDAP 组文件的权限
情况如下: 我想要用户用户拥有与组相同的权限组,在系统中的任何位置。 组不是本地组,它来自 LDAP 服务器,我无法控制它。 我对 Linux 没有太多经验,因此我做了一些研究并找到了两种可能的方法来实现此目的: 创建同名的本地组并用户一部分。但是,我不太确定这会对来自原始组。我需要更改 NSS 配置文件才能使其正常工作吗?在这种情况下,配置应该是什么? 使用 ACL 给予用户权限。我的问题是它看起来有点复杂。据我所知,没有自动的方法可以做我想做的事情,我必须编写一个脚本来遍历文件系统,检查每个文件和目录的组权限,然后给出用户相同的权限。我是否遗漏了什...
nss
不明白为什么 libnss-pam-ldapd 找不到 LDAP 库
我正在尝试交叉编译libnss-pam-ldapd对于 arm 架构。configure 命令总是给出以下错误: checking for library containing ldap_search_ext... no checking for ldap_search_ext... no configure: error: could not locate a valid LDAP library 很明显,它没有找到 ldap 库,尽管在 configure 命令中已使用LDFLAGS环境变量提供了该库。我确信该问题的解决方案很简单,但到目前为止我还没能...
nss
为 SSH 和 Samba 身份验证设置可组合 POSIX 组的最简单方法是什么?
背景 我正在整合我认为相当普通的基础设施,但是遇到了太多问题,我不禁想知道是否有更简单的方法。 我需要能够执行以下操作: 通过委派身份验证和基于组的权限,安全地将文件从 Linux 服务器共享给 OSX、Linux 和 Windows 计算机上的数百名用户。 允许基于组的 SSH 访问数十台 Linux 服务器,并具有委派身份验证和基于组的权限。 能够创建由其他组和用户组成的组,最好是任意深度。 能够允许自助完成基本任务(更改和恢复密码、有限地编辑自己的信息等) 能够以最少的配置迁移现有服务器(运行各种版本的 Linux)-因此尽可能坚持“标准”配置,尤...
nss
Slapd 的其他用户如何登录 Samba?
我们运行一个开源图像处理 Web 应用程序。它为用户提供了一个 Windows 网络驱动器,用于上传 GB 级的图像数据。该应用程序提供了便利,即会自动为在 Web 应用程序中创建的新用户提供网络驱动器。底层技术结构相当复杂:Web 应用程序将新用户写入本地 LDAP。 LDAP 记录: dn: cn=my.user,ou=users,dc=nodomain sambaLMPassword: CAA85EBCA5013DA4E39701B5DB7D953C sambaPrimaryGroupSID: S-1-5-21-2939508899-399288318...
nss
使用任何应用程序升级 NSS 后,无法访问具有自签名证书的网站
我们最近将 NSS 从版本 3.44 ( nss-3.44.0-4.el7.x86_64) 升级到了版本 3.53 ( nss-3.53.1-3.el7_9.x86_64)。升级后,使用自签名证书的任何内部网站调用都会失败。我们在 curl 或尝试使用 GIT 等任何应用程序访问时看到以下错误 - #When Curling curl https://internalsite.com -k curl: (35) security library: invalid arguments. #When using GIt git clone https://in...
nss
如何定制 NSS 过滤器来根据多种属性匹配用户?
我的背景:我有一个 OpenSMTPD 实例,它使用 PAM 作为其身份验证后端。我的 PAM 配置使用 NSS 根据 LDAP 目录对用户进行身份验证。 我想让 NSS 根据用户uid或其mailLDAP 属性来匹配用户。 根据我看到的日志,默认过滤器似乎是(&(objectClass=posixAccount)(uid=xxxxxx)) 其中 xxxxx 是用户登录名。 手册nslcd.conf页描述了该filter参数,但似乎无法使用变量。另外,无论我配置什么过滤器,(uid=xxxxx)最后都会添加(例如,如果我filter passwd (...
nss
我如何更改 nsswitch.conf?
我一直在 CentOS 6 上使用 RADIUS 和 TACACS+ AAA,需要在 CentOS 8 上复制该功能。但是,现在配置 NSS 的方式的变化让我感到困惑。如何更改 nsswitch.conf?具体来说,在 CentOS 6 上,我已经passwd: files在 /etc/nsswitch.conf 中用passwd: tacplus filesTACACS+ 支持和 替换passwd: mapname files mapuid了 RADIUS 支持。(我还在 /etc/pam.d/sshd 和 login 中包含了相应的规则。)在 CentO...
nss
检查 SLAB 的内容
有没有一种方法,最好是简单的,如何检查 SLAB 缓存的内容,尤其是牙髓缓存?我可以想象这可以通过内核模块来实现,但我高度怀疑安全性是否会允许我将定制的内核模块安装到生产系统中。 我 99% 确定我们受到了 NSS dentry 泄漏的影响,但想查看缓存条目才能 100% 确定。 rhel,2.6.32 nss-softokn-3.14.3-23.3.0.1.el6_8.x86_64 谢谢! ...
nss
使用带有代理授权的 GSSAPI 对 OpenLDAP 服务器进行 NSS 查询
如果使用,SASL/GSSAPI 需要使用代理授权对 LDAP 服务器进行 Kerberos 身份验证使用 nss-pam-ldapd 进行 LDAP 身份验证在 Debian Buster 操作系统上。我尝试在我的 Raspberry Pi 上配置它以实现单点登录,但无法使其工作。 我的 ldap 服务器配置为如何在 Debian 上使用 OpenLDAP 服务器设置 SASL 代理授权.我命名了代理用户代理用户因此它的专有名称是uid=proxyuser,ou=people,ou=home,dc=hoeft-online,dc=de。 根据使用 ns...