我需要从 CentOS 6.5 查询 Active Directory DC 的 ldap 部分。ldapsearch 允许我这样做,但我在“ldapsearch”道路上发现了两个颠簸:
我需要这两件事来自动化一个经常性的任务。
我已经用谷歌搜索了一个解决方案,但我还没有找到一个。有些页面告诉我一些 CentOS 6.5 的 ldapsearch 似乎没有实现的命令行开关。有什么方法可以强制 centos 6.5 的 ldapsearch 做我想做的事,或者我必须去别的地方看看?是否有任何其他替代 ldapsearch 可以满足任何人都知道的我的需求?
当我在 CentOS 6.4 的 bash 提示符下执行此操作时
ldapsearch -LLL -H ldap://adserver.example.com -x -D [email protected] -w somepass -b 'OU=Users,DC=example,DC=com' '(&(objectClass=person)(sAMAccountName=testuser))'
我明白了
dn: CN=TestUser Surname,OU=Area,OU=Users,DC=example,DC=com
...
objectClass: person
...
cn: TestUser Surname
sn: Surname
...
distinguishedName: CN=TestUser Surname,OU=Area,OU=Users,DC=example,DC=com
...
memberOf: CN=Group1,OU=Area,OU=Users,DC=example,DC=com
memberOf: CN=Gropu2,OU=Users,DC=example,DC=com
...
sAMAccountName: testuser
我只想在 testuser 属于名为 X 的组时得到响应,而不管组 X 在 AD 层次结构中的位置。例如:我想要一个名为 testuser 的用户的数据,该用户是名为 Group1 的组的成员。
我尝试将过滤器更改为:
无济于事。
从上面的输出可以看出,testuser 属于组
当我使用过滤器 '(&(objectClass=person)(sAMAccountName=testuser)(memberOf=CN=Group1,OU=Area,OU=Users,DC=example,DC=com))' 时,它可以工作,但我需要一个仅使用组名查询(不使用完整的“路径”)。
有什么办法吗?
我正在尝试这样做,因为我需要使用 Active Directory 定义的组作为 squid(linux 代理)ACL。为此,我需要定义一个外部 ACL 类型,例如
external_acl_type ADGroup %LOGIN /usr/lib64/squid/squid_ldap_group -R -b "OU=Users,DC=example,DC=com" -D [email protected] -w somepass -f "(&(objectclass=person)(sAMAccountName=%u)(memberof=CN=%g,OU=Users,DC=example,DC=com))" -h adserver.example.com
然后使用该类型来定义诸如此类的 ACL
acl ADGroup_Group1 external ADGroup Group1
acl ADGroup_Group2 external ADGroup Group2
...
http_access allow ADGroup_Group1;
http_access deny ADGroup_Group2;
当 squid 检查这个“允许”时,它会将 %u 替换为用户登录名,并将 %g 替换为 ACL (Group1,Group2) 中定义的组名,然后进行上面的 LDAP 查询。
从上面可以看到“http_access allow ADGroup_Group1;” 将按预期工作,但“http_access deny ADGroup_Group2;” 不起作用,因为 Group1 和 Group2 的父 OU 不同。
所以我有3个选择:
我需要将运行/加载的 selinux 规则/转换/标签/等与定义它们的 selinux 策略模块相匹配(semodules -l)。我需要这个,因为我想在上下文中研究一些 selinux 策略模块,并且我需要知道我应该检查哪些。
有没有比下载所有与 selinux 相关的“src”包、过滤掉未使用的模块并 grep 生成的文件以获取该信息更简单的方法?
我需要了解与运行系统当前规则中的 selinux 类型相关的所有内容:
...以及任何其他信息。
是否有任何命令可以用来查询该信息,或者我应该下载所有与 selinux 相关的“src”包,过滤掉未使用的模块并 grep 每个文件以获取该信息?必须有一种更简单的方法来做到这一点。
我的互联网连接是这样的:
Internet <-128kbps 链接-> Cisco 路由器(公共 IP)<-LAN-> Linux 路由器/服务器(公共 IP)<-LAN-> 普通 PC(公共 IP)
思科路由器:
Linux 路由器
普通 PC(其中 4 台):
我在 Linux 路由器上启用了 iptables 数据包日志记录,有时我发现:
现在,我如何配置 Linux 路由器以通过以下方式调整流量:
我已经标记(使用 IP 表 --set-xmark 选项)每台 PC 的每个传出数据包:
... 等等。
每个传入的数据包也使用从 16 开始的此方案进行标记。
对于这个冗长的问题,我很抱歉,但我已经放弃使用 tc 命令进行设置,关于流量整形的文档太少,我不知道下一步该去哪里。
有没有办法强制 Windows 重新检查其数据库中的驱动程序(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\DevicePath)中的所有设备并更新到可用的最新驱动程序?类似于第一次启动克隆的高清映像时 sysprep 所做的事情。
例如:当您在主板上安装 windows 时,某些设备会被识别并使用 windows CD 中的驱动程序自动安装。其他一些无法识别,因此未安装。通常,您使用 MB CD 更新所有驱动程序。有两种方法可以做到这一点:
.exe 文件:只需运行它并(通常)它会更新所有驱动程序(识别与否)。
.inf 文件:如果设备无法识别,驱动程序安装向导会自动在光盘上找到驱动程序,否则您必须手动更新(设备管理器 -> 设备属性 -> ... -> 更新驱动程序)如果您知道哪些设备已更新 MB CD 上的驱动程序。您可以检查 CD 上的 .inf 文件以查找受支持的文件,但这是一个痛苦的过程。
我通常会修改 DevicePath 注册表项并在创建 PC 映像以稍后进行克隆时使用驱动程序包(我在 IT 部门工作),其余的由 sysprep 负责。但是,当您想要安装与保存的高清图像不同的 PC(因此,您不使用 sysprep)时,此过程不适用。
我想做的是:
windows安装好后,将驱动包解压到一个文件夹中。
修改设备路径
强制 Windows 更新到较新的驱动程序(_already_recognized_devices_ 是这里最重要的事情,无法识别的驱动程序没有痛苦)。
这是第三步,我不知道该怎么做。