iT邦幫忙

0

OpenLDAP on Windows 操作

各位好 目前正在windows環境使用OpenLDAP
目前已成功建立domain、新增刪除修改user
但不知該如何新增memberof這個attribute
有參考幾篇教學:

  1. 如何启用 OpenLDAP 的 memberOf 特性, 但不曉得文章中的remote_access.ldif在哪?
  2. How to enable MemberOf using OpenLDAP, 文章中指令有個'-Y EXTERNAL'有錯誤訊息:sasl(-4) no mechanism available

補充:OpenLDAP是從這裡下載的, 會是版本問題嗎

看更多先前的討論...收起先前的討論...
froce iT邦大師 1 級 ‧ 2019-10-28 11:38:39 檢舉
ㄜ...結果你還是真的在linux裡建LDAP server去當帳號系統?
至少也用windows ad吧,這樣你連管理介面都得自己建嗎?
阿薩姆 iT邦新手 5 級 ‧ 2019-10-28 11:39:40 檢舉
請問在windows 10可以建windows AD嗎?
我之前是在windows server上試過
阿薩姆 iT邦新手 5 級 ‧ 2019-10-28 11:43:35 檢舉
目前我是在windows使用openldap不是linux
阿薩姆 iT邦新手 5 級 ‧ 2019-10-28 11:45:20 檢舉
管理介面是看到有免費的LDAP管理軟體, 我做這些只是一個demo, 還不是真正要公開的系統
花輪 iT邦大師 1 級 ‧ 2019-12-20 13:37:16 檢舉
windows 10 不可以建 windows AD !
0
海綿寶寶
iT邦大神 1 級 ‧ 2019-10-28 12:56:46

Google 另外一篇設定 memberOf給你參考

我先說:OpenLDAP 我連一套都沒安裝過
/images/emoticon/emoticon25.gif

可以設定的話
選我正解

看更多先前的回應...收起先前的回應...
froce iT邦大師 1 級 ‧ 2019-10-28 12:59:23 檢舉

我也是...裝AD又快又實際。

阿薩姆 iT邦新手 5 級 ‧ 2019-10-28 13:30:00 檢舉

froce
那要如何用網站後端來連接AD? 如何做到新增刪除修改?

froce iT邦大師 1 級 ‧ 2019-10-28 14:33:59 檢舉

我說過啦,我應用系統只是登入前先經過AD來檢查這個人帳戶密碼是不是還沒失效,在不在組織裡,然後應用系統再存一份資訊在資料庫,剩下的就是一樣操作資料庫。

使用者的新增刪除修改都在AD介面...跟web介面沒關係。

AD的真正價值是在管理個人電腦、派送GPO...帳號管理只是順便的。
如果你顧客的公司已經有AD的話,那做這個才有意義,否則真的自己處理就好。

阿薩姆 iT邦新手 5 級 ‧ 2019-10-28 14:50:38 檢舉

那以我的需求來說 要透過web來新增修改刪除
就不適合用AD囉?
要使用資料庫或是ldap

froce iT邦大師 1 級 ‧ 2019-10-28 16:17:39 檢舉

AD是依照LDAP弄出來的,所以你可以視為基本上一樣的東西,只是AD有擴充成管理windows的利器而已。
phpldapadmin應該也可管windows ad,只是沒試過,通常也不會這樣管就是了。
http://phpldapadmin.sourceforge.net/wiki/index.php/LDAP_Servers

你還是可以自己在web上刻增刪修的功能,幾乎主流語言都有和LDAP介接的套件。
你顧客的公司如果已經有AD/LDAP的話,你可以把這種介接服務當成加值項目,但是沒有的話,自己搞一般資料庫的會員系統比你用AD做來的簡單。

因為現在不知道你們專案後面要怎麼搞、情況怎樣、推的目標是哪種客戶,也很難判別到底需不需要LDAP,不過說真的,看你現在問的問題,我覺得你們最好好好考慮一下。

1
Kert
iT邦新手 3 級 ‧ 2019-10-28 14:30:11

我沒有在AD環境用open LDAP 成功過,因為AD很多參數我懶得找 雖然考了MCSE 但十多年都用 Ulinx/Linux 公司都是反MS 倒是用 AD LDS 安裝過 讓 centos 用AD認證

https://blogs.msdn.microsoft.com/microsoftrservertigerteam/2017/04/10/step-by-step-guide-to-setup-ldaps-on-windows-server

阿薩姆 iT邦新手 5 級 ‧ 2019-10-28 14:45:48 檢舉

謝謝您的回覆~

1
runan5678
iT邦新手 1 級 ‧ 2019-10-28 16:04:03

memberOf 就是把帳號放入群組的功能
連結1.中的add_user.ldif就是新增一個user
add_group.ldif就是新增一個群組並且把剛剛新建的user加入此群組
詳見add_group.ldif的第五行
.ldif就是針對openldap操作需要的檔案

針對需求來說,LDAP我有限的經驗下,都是拿來驗證帳戶用,帳號的權限是另外一回事
AD主要是電腦管理的功能,只是剛好也可以拿來當驗證帳戶用也支援ldap protocol
要透過自行撰寫程式異動資料都是可以的

大概是這樣參考看看,每種決定的背後都有一定的思維在,當事人才清楚當下所碰到的問題

看更多先前的回應...收起先前的回應...
froce iT邦大師 1 級 ‧ 2019-10-28 16:23:02 檢舉

帳號的權限是另外一回事

本來我也是這麼想,不過web應用程式的權限也可以靠AD/LDAP去做,其實應該也不錯。

阿薩姆 iT邦新手 5 級 ‧ 2019-10-28 17:20:46 檢舉

runan5678
謝謝您的回覆~

連結1.中的add_user.ldif就是新增一個user

不過我是詢問remote_access.ldif部分

帳號的權限是另外一回事

不太懂這句意思, 能否多說明一些

froce iT邦大師 1 級 ‧ 2019-10-29 08:32:28 檢舉

帳號的權限是另外一回事

因為AD的帳號權限你還得自己寫程式去找出來,沒有什麼好用的api可用,通常也沒什麼人會用ad的group管應用程式的權限,要做也是可以,效益不大,除非你同時有10幾個系統都用AD去管控,又需要一個介面去集中管控權限,有這種需求的通常也是資安稽核要求才會去做。

阿薩姆 iT邦新手 5 級 ‧ 2019-10-29 08:47:27 檢舉

確實目前是打算先在該user屬於哪個group再以程式控管權限

froce iT邦大師 1 級 ‧ 2019-10-29 16:05:25 檢舉

user屬於哪個group

這根本不用ldap也能做到啊,除非你要弄的是「很多個系統,要有統一的權限管理介面」,這樣ldap才開始有效益。

runan5678 iT邦新手 1 級 ‧ 2019-10-29 16:36:46 檢舉

我覺得froce說明的很清楚,應該有一些腹案可供解決問題了

1
echochio
iT邦高手 1 級 ‧ 2019-10-28 20:29:33

要研究 OpenLDAP 與 windows AD 架構 直接用 zentyal 來試試比較快
之前搞過 前人的 OpenLDAP 認證 mail 搞到最後重建比較快 .... 搞不清楚認證順序
搞定 memberOf attribute 搞好久
用 zentyal 搞定 .....

阿薩姆 iT邦新手 5 級 ‧ 2019-10-29 08:48:12 檢舉

謝謝提供關鍵字~

2
門神JanusLin
iT邦超人 1 級 ‧ 2019-10-29 08:12:32

no mechanism available
是告訴你沒有這個機制
sasl 是 ssl ca 的相關東西
意思就是你沒有做加密相關的機制

阿薩姆 iT邦新手 5 級 ‧ 2019-10-29 08:49:45 檢舉

確實是還沒有做加密相關的設定
原來這會影響!
我原本計畫使用StartTLS來加密, 雖然還沒找到設定方法, 但應該也可以吧?
謝謝提供方向~

Welcome

我要發表回答

立即登入回答