问题[ldap](ubuntu)

我正在尝试在我的 ubuntu 客户端上启用 LDAP 身份验证。到目前为止，我尝试了以下说明： https ://www.tecmint.com/configure-ldap-client-to-connect-external-authentication/

https://www.howtoforge.com/linux_ldap_authentication

https://wiki.archlinux.org/index.php/LDAP_authentication#Client_Setup

https://computingforgeeks.com/how-to-configure-ubuntu-18-04-ubuntu-16-04-lts-as-ldap-client/

并且由于它不起作用，我遇到了一些解决方案，例如根据16.04 服务器将libnss-ldap更改为libnss-ldapd ：启用 LDAP 身份验证会导致 systemd-logind 失败

在某个时候，我开始将所有这些解决方案混合在一起等等，但到目前为止还没有运气。我可以在客户端机器上运行ldapsearch并在我的 ldap 服务器中获取用户的所有信息，但是在运行时我看不到passwd文件中的任何 ldap 用户getent passwd，因此我无法使用我的任何 ldap 用户登录到客户端机器。在我的 passwd 文件中添加的唯一新用户是 nslcd，其描述为“名称服务 LDAP 连接守护程序”。因此，如果有人可以帮助我解决这个问题，我将不胜感激。

我应该让你知道我的 openldap 在 docker 容器内的另一台机器上运行。到目前为止，我设法成功地将它连接起来，以便进行 keycloak、bookstack 和lime 调查。所以它实际上已经使用了相当长的一段时间了。

非常感谢您提前

我正在尝试在 20.04 中创建一个使用 LDAP 进行用户身份验证的 L2TP/IPSEC VPN 服务器。

我假设Strongswan会这样做。

在 Strongswan 或其他配置中，我应该在哪里添加 LDAP 服务器信息？

还是它只是使用 SSSD 或 PAM 或其他东西，而您只是将 Strongswan 指向它？

我专门寻找 LDAP，而不是 Radius。我知道半径是可能的。

任何帮助，将不胜感激。我意识到有几个问题接近这个问题。但他们所有的答案都需要一个 GUI。这是一个云服务器，所以没有 gui。谢谢！

我的机构想要使用 OpenLDAP 配置我们的一台 Ubuntu 服务器，以便与我们的 SSO 提供商 Okta 交互，使用他们拥有的服务器端代理将用户从他们的云服务配置到 LDAP。我一直在努力让我们的 LDAP 服务器与 Okta 对话，最近 Okta 的一名支持人员告知我的配置失败，因为我的服务器正在发送 TLSv1.1 数据包，而他们的服务器正在响应 TLSv1.2 数据包。出于这个原因，以及为了我们用户的安全，我想强制 LDAP 至少使用 TLSv1.2，但是，当我尝试将 ldap_modify 与以下 ldif 文件一起使用时：

dn: cn=config
add: olcTLSCipherSuite
olcTLSCipherSuite: ALL:!TLSv1:TLSv1.2:TLSv1.3:!NULL

LDAP 抛出错误：

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)

即使使用更简单的密码列表，我也会遇到相同的错误，例如：

olcTLSCipherSuite: ALL

我相信我的 SSL 配置正确并且似乎正在运行（即我可以使用 OpenSSL 从外部连接到它）并且我的证书标识如下：

dn: cn=config
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ca-certificates.crt
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/sasl2/my-ldap.crt

replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ldap/sasl2/my-ldap.key

并且 openldap 用户对所有这些都具有读取权限。

我不知道从这里去哪里，并且对 LDAP 的了解几乎不足以对正在发生的事情做出有根据的猜测。对于任何人可以提供的任何建议，我将不胜感激！我在 (-1) 处启用了 LDAP 的日志记录，并将转储下面 ldap_modify 命令的一些输出。

Feb 13 14:47:27 poster slapd[20666]: #011#011one value, length 32
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=1 MOD dn="cn=config"
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=1 MOD attr=olcTLSCipherSuite
Feb 13 14:47:27 poster slapd[20666]: => access_allowed: result not in cache (olcTLSCipherSuite)
Feb 13 14:47:27 poster slapd[20666]: => access_allowed: add access to "cn=config" "olcTLSCipherSuite" requested
Feb 13 14:47:27 poster slapd[20666]: => acl_get: [1] attr olcTLSCipherSuite
Feb 13 14:47:27 poster slapd[20666]: => acl_mask: access to entry "cn=config", attr "olcTLSCipherSuite" requested
Feb 13 14:47:27 poster slapd[20666]: => acl_mask: to value by "gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth", (=0)
Feb 13 14:47:27 poster slapd[20666]: <= check a_dn_pat: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
Feb 13 14:47:27 poster slapd[20666]: <= acl_mask: [1] applying manage(=mwrscxd) (stop)
Feb 13 14:47:27 poster slapd[20666]: <= acl_mask: [1] mask: manage(=mwrscxd)
Feb 13 14:47:27 poster slapd[20666]: => slap_access_allowed: add access granted by manage(=mwrscxd)
Feb 13 14:47:27 poster slapd[20666]: => access_allowed: add access granted by manage(=mwrscxd)
Feb 13 14:47:27 poster slapd[20666]: slap_queue_csn: queueing 0x7f58dc103a30 20200213194727.142704Z#000000#000#000000
Feb 13 14:47:27 poster slapd[20666]: oc_check_required entry (cn=config), objectClass "olcGlobal"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "objectClass"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "cn"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcArgsFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcPidFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcTLSCACertificateFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcTLSCertificateFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcTLSCertificateKeyFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcToolThreads"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "structuralObjectClass"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "entryUUID"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "creatorsName"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "createTimestamp"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcLogLevel"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcTLSCipherSuite"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "entryCSN"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "modifiersName"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "modifyTimestamp"
Feb 13 14:47:27 poster slapd[20666]: send_ldap_result: conn=1017 op=1 p=3
Feb 13 14:47:27 poster slapd[20666]: send_ldap_result: err=80 matched="" text=""
Feb 13 14:47:27 poster slapd[20666]: send_ldap_response: msgid=2 tag=103 err=80
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=1 RESULT tag=103 err=80 text=
Feb 13 14:47:27 poster slapd[20666]: slap_graduate_commit_csn: removing 0x7f58dc103a30 20200213194727.142704Z#000000#000#000000
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on 1 descriptor
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on:
Feb 13 14:47:27 poster slapd[20666]:  12r
Feb 13 14:47:27 poster slapd[20666]:
Feb 13 14:47:27 poster slapd[20666]: daemon: read active on 12
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_get(12)
Feb 13 14:47:27 poster slapd[20666]: connection_get(12): got connid=1017
Feb 13 14:47:27 poster slapd[20666]: connection_read(12): checking for input on id=1017
Feb 13 14:47:27 poster slapd[20666]: op tag 0x42, time 1581623247
Feb 13 14:47:27 poster slapd[20666]: ber_get_next on fd 12 failed errno=0 (Success)
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_read(12): input error=-2 id=1017, closing.
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_closing: readying conn=1017 sd=12 for close
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on 1 descriptor
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on:
Feb 13 14:47:27 poster slapd[20666]: connection_close: deferring conn=1017 sd=12
Feb 13 14:47:27 poster slapd[20666]:
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=2 do_unbind
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=2 UNBIND
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_resched: attempting closing conn=1017 sd=12
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_close: conn=1017 sd=12
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: daemon: removing 12
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on 2 descriptors
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on:
Feb 13 14:47:27 poster slapd[20666]:
Feb 13 14:47:27 poster slapd[20666]: conn=1017 fd=12 closed
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=10 active_threads=0 tvp=zero

刚尝试从 Linux Mint 切换到 Ubuntu 18.10，但遇到了许多帐户问题。下面详细介绍了重新创建的所有步骤。

我很想知道 Ubuntu 18.10 与 LDAP 服务器上的用户相比如何区分本地创建的用户，以及为什么 LDAP 用户会破坏这么多功能。

问题：

1. 无法使用默认 gdm3 显示管理器登录 LDAP 帐户。使用下面描述的方法设置 LDAP 后，您可以在终端中以用户身份登录没有问题，但您无法通过 gdm3 登录。如果您尝试，它会立即将您踢回锁定屏幕。通过该接口在本地创建的用户没有这样的问题。切换到 lightdm 可以让您使用 LDAP 帐户登录。
2. 本地管理员帐户可以使用 GUI 管理元素，例如“设置 - 用户”中的解锁按钮、“打印机”中和整个界面中的相同解锁按钮。另一方面，LDAP 帐户没有使用 GUI 管理元素的策略，即使通过visudo添加到 sudoers 并添加到/etc/groups中的所有相关行。这可能与polkit 有关，但我不知道如何修改和解决问题。我尝试从 2012 年开始执行这些步骤，但无济于事。
3. LDAP 帐户存在一些损坏的功能，例如：重新启动/关闭的 GUI 按钮不起作用，没有识别出声音设备，重新启动/安装 pavucontrol 也无济于事。即使与 sudo 一起使用，它也会给你一个权限错误（不应该被需要/使用）。打印机默认也不工作。

重现方式：

全新安装 Ubuntu 18.10

通过以下方式设置 LDAP：

sudo apt-get install libnss-ldap libpam-ldap

编辑 /etc/nsswitch.conf 文件并将ldap添加到 passwd、group 和 shadow 行

编辑 /etc/pam.d/common-session 文件以添加以下行

session required pam_mkhomedir.so skel=/etc/skel umask=0022

打开终端并尝试切换到不同的用户（LDAP）。它应该工作。

使用 ubuntu 界面，注销并尝试使用同一用户（LDAP）登录，它不应该工作并且应该引导循环。

使用普通的“本地”管理员帐户重新登录并切换到 lightdm：

sudo apt install lightdm

为了能够使用 LDAP 用户名实际登录，请创建 /etc/lightdm/lightdm.conf 并添加

[Seat:*]
allow-guest=true
greeter-show-manual-login=true

重新启动机器并使用 LDAP 帐户登录。

看到上面描述的问题是存在的。然后尝试通过将 LDAP 用户添加到 sudoer 和相关组来修复它们。

全新安装和更新 && 升级后，我已按照本指南将机器添加到我们的 AD 基础设施，但在基本配置realm join -v [domain]返回后

! Can't contact LDAP server
realm: No such realm found

所以我启动了一个 CentOS 最小的虚拟机，并且能够通过它注册机器。交叉引用这两个输出，我注意到在 Ubuntu 上realm查找 LDAP 服务器时，相同的命令正在查询错误的 IP，但我没有找到任何有关如何在配置文件中或通过man realm.

所以我尝试ldapsearch -h [server IP]了，手动指定服务器并返回：

ldap_sasl_interactive_bind_s: Local error (-2)
    additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (No Kerberos credentials available (default cache: FILE:/tmp/krb5cc_0))

这应该不是问题，因为 CentOS VM 给出了相同的结果，尽管它已成功加入。所以，我从 CentOS 机器上复制了 krb5.conf、sssd.conf 和 realmd.conf 的配置文件（备份后），但给出了相同的原始错误。

我认为错误的 LDAP DSE 查找是问题所在，但我无法在任何地方找到要更改的参数。

谢谢你的帮助。

AD 服务器运行 Windows Server 2016。提供以下 .conf 文件：

krb5.conf

[libdefaults]
    default_realm = MYDOMAIN.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    forwardable = true
    rdns = false    

[realms]
    MYDOMAIN.COM = {
                kdc = server.mydomain.com
                admin_server = server.mydomain.com
                default_domain = mydomain.com
    }

[domain_realm]
    .mydomain.com = MYDOMAIN.COM
    mydomain.com = MYDOMAIN.COM

sssd.conf

[sssd]
services = nss, pam
domains = mydomain.com
config_file_version = 2


[domain/mydomain.com]
id_provider = ad
access_provider = ad
ad_domain = mydomain.com
krb5_realm = MYDOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u

领域配置文件

[users]
    default-home = /home/%D/%U
    default-shell = /bin/bash

[active-directory]
    default-client = sssd
    os-name = Ubuntu
    os-version = 18.04

[service]
    automatic-install = no

[mydomain.com]
    fully-qualified-names = yes
    automatic-id-mapping = no
    user-principal = yes
    manage-system = yes

是否可以以 LDAP 用户身份在 Ubuntu 16.04 上运行 snap 应用程序？

我总是得到“许可被拒绝”，我不知道该怎么办。

$ sudo snap install postman
postman 6.7.1 from Postman, Inc. (postman-inc✓) installed

$ postman
cannot create user data directory: /home/DOMAIN/user/snap/postman/81: Permission denied

每个快照应用程序都会发生这种情况，而不仅仅是 Postman。

编辑：

与--classic标志安装相同。

我正在尝试在 ubuntu 16.04 上设置 ldap 服务器。在安装 ldap-utils 和 slapd 期间，我得到以下信息：

Setting up slapd (2.4.42+dfsg-2ubuntu3.2) ...
  Moving old database directory to /var/backups:
  - directory unknown... done.
  Creating initial configuration... done.
  Creating LDAP directory... done.
Job for slapd.service failed because the control process exited with error code. See "systemctl status slapd.service" and "journalctl -xe" for details.
invoke-rc.d: initscript slapd, action "start" failed.
● slapd.service - LSB: OpenLDAP standalone server (Lightweight Directory Access Protocol)
   Loaded: loaded (/etc/init.d/slapd; bad; vendor preset: enabled)
   Active: failed (Result: exit-code) since Fri 2018-06-01 15:04:58 CDT; 4ms ago
     Docs: man:systemd-sysv-generator(8)
  Process: 3107 ExecStart=/etc/init.d/slapd start (code=exited, status=1/FAILURE)

Jun 01 15:04:58 TBG-Magic systemd[1]: Starting LSB: OpenLDAP standalone server (Lightweight Directory Access Protocol)...
Jun 01 15:04:58 TBG-Magic slapd[3107]:  * Starting OpenLDAP slapd
Jun 01 15:04:58 TBG-Magic slapd[3115]: @(#) $OpenLDAP: slapd  (Ubuntu) (May 30 2017 19:20:53) $
                                               buildd@lgw01-18:/build/openldap-JXEADB/openldap-2.4.42+dfsg/debian/build/servers/slapd
Jun 01 15:04:58 TBG-Magic slapd[3115]: daemon: bind(9) failed errno=98 (Address already in use)
Jun 01 15:04:58 TBG-Magic slapd[3107]:    ...fail!
Jun 01 15:04:58 TBG-Magic systemd[1]: slapd.service: Control process exited, code=exited status=1
Jun 01 15:04:58 TBG-Magic systemd[1]: Failed to start LSB: OpenLDAP standalone server (Lightweight Directory Access Protocol).
Jun 01 15:04:58 TBG-Magic systemd[1]: slapd.service: Unit entered failed state.
Jun 01 15:04:58 TBG-Magic systemd[1]: slapd.service: Failed with result 'exit-code'.
dpkg: error processing package slapd (--configure):
 subprocess installed post-installation script returned error exit status 1
Setting up ldap-utils (2.4.42+dfsg-2ubuntu3.2) ...
Processing triggers for libc-bin (2.23-0ubuntu10) ...
Processing triggers for systemd (229-4ubuntu21.2) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for ufw (0.35-0ubuntu2) ...
Rules updated for profile 'OpenSSH'
Skipped reloading firewall
Errors were encountered while processing:
 slapd
E: Sub-process /usr/bin/dpkg returned an error code (1)

运行的日志journalctl -xe如下所示：

-- Subject: Unit slapd.service has begun start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit slapd.service has begun starting up.
Jun 01 15:16:33 TBG-Magic slapd[7009]:  * Starting OpenLDAP slapd
Jun 01 15:16:33 TBG-Magic slapd[7018]: @(#) $OpenLDAP: slapd  (Ubuntu) (May 30 2017 19:20:53) $
                                               buildd@lgw01-18:/build/openldap-JXEADB/openldap-2.4.42+dfsg/debian/build/servers/slapd
Jun 01 15:16:33 TBG-Magic slapd[7018]: daemon: bind(9) failed errno=98 (Address already in use)
Jun 01 15:16:33 TBG-Magic slapd[7018]: daemon: bind(9) failed errno=98 (Address already in use)
Jun 01 15:16:33 TBG-Magic slapd[7018]: slapd stopped.
Jun 01 15:16:33 TBG-Magic slapd[7018]: connections_destroy: nothing to destroy.
Jun 01 15:16:33 TBG-Magic slapd[7009]:    ...fail!
Jun 01 15:16:33 TBG-Magic systemd[1]: slapd.service: Control process exited, code=exited status=1
Jun 01 15:16:33 TBG-Magic systemd[1]: Failed to start LSB: OpenLDAP standalone server (Lightweight Directory Access Protocol).
-- Subject: Unit slapd.service has failed
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit slapd.service has failed.
-- 
-- The result is failed.
Jun 01 15:16:33 TBG-Magic systemd[1]: slapd.service: Unit entered failed state.
Jun 01 15:16:33 TBG-Magic systemd[1]: slapd.service: Failed with result 'exit-code'.

运行sudo apt-get remove --purge slapd并重新安装后。安装时我仍然遇到同样的错误。我该如何解决这个问题？

• 我使用 OpenLDAP 安装并配置了一个测试服务器，并创建了一个用户名（uid）“jdoe”的用户，遵循以下指南： https ://help.ubuntu.com/lts/serverguide/openldap-server.html 。
• 我使用 phpLDAPadmin 创建了我的 OU 和用户。
• 我按照指南安装和配置libnss-ldap。
• 我可以su - jdoe而且效果很好。
• 我配置/etc/lightdm/lightdm.conf为显示手动登录。
• 我可以以“jdoe”的身份（使用 LightDM 欢迎程序）以图形方式登录 Ubuntu，直到将 jdoe 的 uid 更改为 5000。我更改了此设置，因为我注意到他和我的 uid 都设置为 1000，我认为这会导致一些奇怪的问题。现在，当我尝试以图形方式以 jdoe 登录时，我听到声音并且屏幕闪烁，但它并没有将 jdoe 登录到他的 Ubuntu 桌面。我注意到当我在 phpLDAPadmin 中创建一个新用户时，他们的 uid 默认为 1000 - 与我的 uid 相同......这是它应该如何工作的吗？

如何在 Ubuntu 16.04 上配置 TACACS+ tac_plus 服务器以针对 Microsoft Active Directory 进行身份验证？

sssd 具有以下配置来设置 sudo 规则刷新的间隔：

ldap_sudo_full_refresh_interval

设置从 LDAP 检索网络组定义的间隔的配置是什么？