1 votes

Joel S avatar

Comment configurer LDAP dans ApacheDS pour utiliser l'uid pour l'authentification ?

Demandé el 10 de Mars, 2013
Quand la question a-t-elle été
4861 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Lors de l'ajout d'un nouvel utilisateur sous l'onglet dc=example,dc=com en utilisant Apache Directory Studio, j'ai cette arborescence :

dc=example,dc=com
|-- ou = engineering
     |-- cn = Lawrence K.H Loh+o=IKEA+sn=Loh+uid=lawrence+displayName=Lawrence

Vous trouverez ci-dessous la liste des attributs de l cn .

  1. objectClass = inetOrgPerson
  2. objectClass = organizationalPerson
  3. objectClass = personne
  4. objectClass = top
  5. cn = Lawrence K.H Loh
  6. sn = Loh
  7. displayName = Lawrence
  8. o = IKEA
  9. uid = lawrence
  10. userPassword = Mot de passe haché SSHA

Il y a cette erreur LDAP: error code 49 - INVALID_CREDENTIALS: Bind failed: Attempt to lookup non-existant entry quand je connecte cette entrée par uid=lawrence,ou=engineering,dc=example,dc=com . Mais cela fonctionne bien si j'utilise ceci. cn=Lawrence K.H Loh+o=IKEA+sn=Loh+uid=lawrence+displayName=Lawrence,ou=engineering,dc=example,dc=com . Puis-je savoir comment je peux passer à uid=lawrence au lieu du nom long pour l'authentification ?

Demandé el 10 de Mars, 2013 par Joel S

Réponse

Trop de publicités?

2voto

Isaac Dontje Lindell avatar
Isaac Dontje Lindell Points 409

Avec cet objet particulier, il est peu probable que vous puissiez le faire. LDAP cherche à ce que vous vous liiez à l'objet nom distingué (DN) de l'objet, et l'attribut primaire dans ce cas est cn . Il s'agit d'une décision de conception délibérée car il n'y a aucune garantie qu'un attribut donné des objets dans un conteneur sera unique, autre que celui qui est associé à leur DN.

Cela n'empêchera pas les services d'effectuer une recherche dans votre répertoire et de déterminer que uid=lawrence est associé à ce DN particulier (et donc capable de trouver tous les autres attributs nécessaires pour cet objet), mais tous les appels qui doivent explicitement être exécutés contre un DN ne peuvent l'être que contre l'attribut primaire.

Cela ne veut pas dire qu'il n'existe pas de moyens d'éviter de spécifier un DN. La mise en œuvre de l'authentification SASL et la définition d'une correspondance entre les ID SASL et les DN viennent à l'esprit. Mais dans le contexte de votre question, non, vous ne pouvez pas passer à l'utilisation d'un attribut non primaire du DN auquel vous vous authentifiez à la place du DN.

Répondu el 10 de Mars, 2013 par Isaac Dontje Lindell (409 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X