问题标签 [ldap]

如何使用 Python + LDAP 对 AD 进行身份验证。我目前正在使用 python-ldap 库，它所产生的只是眼泪。

我什至无法绑定执行一个简单的查询：

运行它myusername@mydomain.co.uk password username会给我两个错误之一：

Invalid Credentials- 当我输入错误或故意使用错误的凭据时，它无法进行身份验证。

ldap.INVALID_CREDENTIALS: {'info': '80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 52e, vece', 'desc': 'Invalid credentials'}

或者

ldap.OPERATIONS_ERROR: {'info': '00000000: LdapErr: DSID-0C090627, 注释：为了执行此操作，必须在连接上成功绑定。, data 0, vece', 'desc': '操作错误'}

我错过了什么才能正确绑定？

我在 Fedora 和 Windows 上遇到了同样的错误。

我正在设置一个服务器来提供 JIRA 和 SVN。我想，我将使用 LDAP 来简化身份管理。

所以，在我写之前......有没有一个好的应用程序可以让用户更改他们的 ldap 密码？我想要一些可以让用户使用 ldap 进行身份验证并更新他们的密码的东西。包含用户名、旧密码、新密码和验证的表单就足够了。

我可以自己写，但如果已经有一个很好的应用程序可以处理这个问题，那么这样做似乎很愚蠢......

谢谢您的帮助。

我实际上是这个论坛的新手，我一直在尝试几天来找到一种将整个 LDAP 子树复制到另一棵树的简单方法。由于我找不到任何有用的东西，我也想在这里提出一个问题。有人知道如何以编程方式执行此操作吗？

对于添加、删除、搜索等正常操作，我一直在使用 Spring LDAP。

非常感谢 ！

我想将用户放入 ADAM 的实例中，以便 ADAM 看起来类似于典型的、真实的 Active Directory 服务器。

我正在开发一个与 LDAP 集成的应用程序。我已经使用 OpenLDAP 及其 core.schema 进行了测试。现在我想使用 Active Directory 进行测试，但使用我的设备最接近的方法是使用 Microsoft ADAM 进行测试。

我不知道如何从 ADAM 开始。它和 Active Directory 的零经验。我猜我需要导入 MS-AdamSchemaW2K3.LDF 因为我在那里看到“sAMAccountName”，我想我希望它像 Active Directory？

在阅读了几个答案后添加...

到目前为止，答案对于我正在寻找的内容还不够具体。我确实让 ADAM 工作并且我的应用程序可以与之对话，但我想做的是让 ADAM 以典型（如果有的话）Active Directory 安装的方式工作，相同的架构，身份验证，即使我只是在 Windows XP 上的工作组网络中使用 ADAM。

我正在寻找一种通过 LDAP 和 PHP 对用户进行身份验证的方法（Active Directory 是提供者）。理想情况下，它应该能够在 IIS 7 上运行（adLDAP在 Apache 上运行）。有人做过类似的事情，成功了吗？

• 编辑：我更喜欢带有可以使用的代码的库/类......当有人已经这样做时，发明轮子是愚蠢的。

我知道我可以问，但这会涉及官僚纠葛。

我们正在尝试将 Linux 机器（debian 4.0）绑定到 W2k3 AD。我们已经正确配置了 kerberos，以便我们可以获取 TGT。并且用户正确地进行身份验证。但是，PAM 似乎是粘性检票口。例如，当我们尝试以 AD 用户之一的身份通过 SSH 连接到 linux 机器时，身份验证成功（根据 auth.log），但我从来没有得到 shell。默认环境配置正确，PAM 甚至可以正确创建 Homedir。作为参考，我们大致遵循：

https://help.ubuntu.com/community/ActiveDirectoryHowto

我需要能够使用 Java 类更新 OpenLDAP 上的属性。

我尝试创建一个 LDAP 条目，但它看起来像一个 Java 对象，而不是一个正确的 LDAP 条目。（咕咕咕）

请帮忙！

我正在专业地开发一个包含联系人等数据的 php Web 应用程序。我想知道使用 LDAP 协议将这些数据提供给外部程序会有多难。

有没有专门的工具可以解决这个问题？我真的找不到任何东西，但我无法想象我是第一个想到这个的人。

编辑 1：我正在寻找的是一种让应用程序（如邮件客户端）能够使用标准 ldap 查找从我的数据中查找联系人的方法。

在我这边使用第三方软件或单独的 ldap 服务器没有任何限制，但我希望客户端能够简单地使用他们选择的应用程序的内置 ldap 连接。

我可以看到一个 ldap 服务器，它在我的应用程序中使用我的数据库或服务来提供数据，就好像我的应用程序本身就是一个 ldap 服务器一样。我更喜欢这样的解决方案，因为如果我可以为此使用外部服务器，我认为使用 ldap 功能使应用程序膨胀是不对的。

我正在尝试以递归方式通过 Active Directory 获取用户的所有直接报告。因此，给定一个用户，我最终会得到一个列表，其中列出了所有将此人作为经理或将某人作为经理、将某人作为经理......最终将输入用户作为经理的所有用户的列表。

我目前的尝试相当缓慢：

本质上，这个函数将一个可分辨的名称作为输入（CN=Michael Stum, OU=test, DC=sub, DC=domain, DC=com），因此对 ds.FindOne() 的调用很慢。

我发现搜索 userPrincipalName 要快得多。我的问题：sr.Properties["directReports"] 只是一个字符串列表，这就是 distinctName，搜索起来似乎很慢。

我想知道，有没有一种快速的方法可以在 distinctName 和 userPrincipalName 之间进行转换？或者，如果我只有 distinctName 可以使用，是否有更快的方法来搜索用户？

编辑：感谢答案！搜索经理字段将功能从 90 秒提高到 4 秒。这是新的和改进的代码，它更快，更易读（请注意，elapsedTime 功能中很可能存在错误，但该函数的实际核心工作）：