问题标签 [ldap]

我想使用 LDAP 服务器（可能是Apache 目录）来管理应用程序的登录名和凭据。有时，应用程序需要离线工作（在笔记本电脑上），而无需连接到 LDAP 服务器。

在本地复制凭据的最佳方法是什么？

我已经想过：

• 使用Mitosis在笔记本电脑上复制 LDAP 服务器。

  但这将是一个相当“沉重”和复杂的解决方案。而且有丝分裂似乎还没有完成。

• 将凭据导出为可以存储在笔记本电脑上的 LDIF 文件。

  但我需要一种方法来检查 LDIF 文件是否真的来自 LDAP 服务器（该文件应该包含一种签名）。此外，我想拒绝超过一周未更新的 LDIF 文件。如果我可以避免自己实施签名和年龄检查，那就太好了。

还有其他可以帮助我的想法或工具吗？

编辑编辑：我查看了 Kerberos，因为Java-Kerberos-API 的文档似乎说可以在本地缓存中使用缓存票证，我认为这可能是我的解决方案。此外，Kerberos 可以作为插件添加到 Apache Directory。但是 Kerberos 缓存存储解密的票据（旨在与其他应用程序共享它们）。我需要票证的加密版本才能在离线会话期间检查用户密码。结论：Kerberos 没有为我的问题提供简单的解决方案。

我在 Tomcat server.xml 文件的 Tomcat 安全领域中引用 LDAP。但是我遇到了一个不寻常的错误：Tomcat 没有启动，进入日志我看到它无法连接到 localhost:389 - Tomcat 的默认 LDAP URL。

但是，Tomcat 被配置为指向不同的 URL（不是同一台机器的外部 URL；完全不同），如下所示：

基本上我不知道为什么它还在看 localhost:389。如果有人以前遇到过这种情况，我将不胜感激！我已经用谷歌搜索了一段时间，但是当人们将错误粘贴到页面中时，似乎没有很多答案。如果有人有任何建议，我将不胜感激。

这是日志文件：

How do you check if a computer account is disabled in Active Directory using C#/.NET

目前，我们有一小群用户设置在 Microsoft SBS 机器上，因此可以在活动目录下使用。

这些用户以及其他一些用户在第二个 LDAP 服务器 (openLDAP) 上也有条目。这第二台服务器用于对一些不同的事物进行身份验证和访问控制，例如我们内部的基于 Web 的时间表系统、足球小费系统、论坛和颠覆存储库控制。

因此，对于办公室中的组，他们有两个单独的帐户，他们必须记住其 ID 和密码。其中一些内部系统不容易配置为针对多个 LDAP 服务器 (mod_authnz_ldap) 进行身份验证。

由于各种原因，我们不希望额外的用户和组在 SBS 机器上弄乱 Active Directory。

我希望能够以某种方式设置一个可以跨两个现有 LDAP 服务器工作并提供统一视图的虚拟 LDAP 服务器。它会从 AD 中提取用户信息，也可以从 openLDAP 服务器中提取用户信息，或者在内部维护其他用户和组。

（实际上，内部可能会更好，因为有些组仅存在于聚合服务器上，我们希望将 AD 服务器中的用户分配为成员。）

我所知道的唯一一个接近于做我想做的事情的想法是Penrose 虚拟目录服务器，但在我进一步调查之前，我想看看是否还有其他选择。

使用在 Linux 上运行的 Ruby LDAP，我可以毫无问题地创建一个新的 Active Directory 用户帐户。现在我想重命名一个用户帐户用户名。

当我尝试更改时sAMAccountName，它不起作用。是否可以使用 Ruby LDAP 更改 AD 用户帐户？如果是这样，怎么做？

我正在开发一个使用 Windows 身份验证的 C# 和 ASP.Net 应用程序。

即在 Web.config 中：

我想从 Active Directory 中获取当前用户的详细信息（全名、电子邮件地址等）。

我可以通过使用获取他们的预 Windows 2000 用户登录名（例如SOMEDOMAIN\someuser：）

我已经为用户制定了 LDAP 查询，使用他们当前的登录名（不是他们之前的 Windows 2000 用户登录名）：

但是，我不知道如何使用他们的预 W2K 登录名搜索用户的 AD，或者以“someuser@somedomain.com.au”格式获取他们的登录名。

有任何想法吗？

我对 LDAP 和 AD 还很陌生。我想创建一个 LDAP 过滤器来显示 AD 中的所有学生。但问题是学生在不同的BASE DN中：

即对于每个学生来说就像

如您所见，来自不同学院的学生在不同的地方。给定用户名，我如何搜索并查找给定用户是否在目录中？

对objectClass所有学生来说是'user'。

我可以使用我的 IDE 添加两个描述（属性），但在 Java 中我只能添加一个描述。如何添加第二个？

我正在使用 JDK LDAP 库。

我有一个 LDAP 查询，我用它在 C# 中执行搜索。它使用两个字符串变量（用户名和域），出于安全原因需要对其进行转义。

我应该如何逃避字符串？C#.NET 中是否有可用的函数来执行此操作？

LDAP 搜索条件示例：

C# 中的示例 LDAP 查询字符串：

编辑：我已经有 LDAP 查询工作，并返回结果。我想要的只是转义参数。

对于我正在处理的 Django 应用程序，我希望允许由 Active Directory 组确定组成员身份。在浏览了 pywin32 文档一段时间后，我想出了这个：

不过，在我弄清楚这一点之前，我花了一段时间谷歌搜索，而我发现的示例几乎完全使用 LDAP 来处理这类事情。有什么理由比这种方法更受欢迎吗？请记住几件事：

1. 我没有使用 Active Directory 来实际执行身份验证，只使用权限。身份验证由另一台服务器执行。
2. 虽然拥有一些跨平台功能会很好，但这可能几乎只在 Windows 上运行。