ldap

一.安装开发库 客户机:vmcln(192.168.1.20) root@vmcln:/# apt-get install libkrb5-dev libldap2-dev libsasl2-dev 二.SASL/GSSAPI(不含krb5库) 1.源代码 //源文件名:testsasl.c #include <sasl/sasl.h> #include <ldap.h> #include <stdio.h> #include <stdlib.h> //回调函数 static int _ldap_sasl_interact( ) { return LDAP_SUCCESS; //#1 } int main() { LDAP *ld; int rc; unsigned long version = LDAP_VERSION3; if (( rc = ldap_initialize(&ld,"ldap://192.168.1.11/")) != LDAP_SUCCESS) //LDAP服务器地址 { return(1); } rc = ldap_set_option(ld,LDAP_OPT_PROTOCOL_VERSION,(void*)&version); //绑定 if ((rc=ldap_sasl_interactive_bind_s(ld,NULL, "GSSAPI",/

krb5 API有两个可用的库:MIT和Heimdal,两个库的API不一样,一方客户端的API连接上另一方服务端基本上是没问题的. API中的kadmin两个库则是完全不兼容,可从MIT和Heimdal两个的kadmin应用工具看出,连接对方的kadmin服务端是不成功的. kadmin目的是为远程操控Kerberos服务器,一般我们开发Kerberos应用很少以此为目标,都是直接使用它们各自的kadmin应用工具,所以kadmin不兼容也没多大问题. 我们的目标是Kerberos认证功能,所以使用MIT或是Heimdal都没问题. MIT是主流,本文以此为例 一.实验环境 平台 : debian 11 我已事先安装好一台Kerberos服务器(KDC),领域为CTP.NET,并创建了krblinlin@CTP.NET用户主体. 二.客户机安装开发库 root@debian:/# apt-get install libkrb5-dev 三.最简单krb5认证--不生成票据 1.源代码 //源文件名:krbonlylogin.c #include <stdio.h> #include <krb5.h> int main(void) { krb5_context context = NULL; krb5_error_code krberr; krb5_principal

Top NSD ADMIN DAY06 案例1：配置附加权限 案例2：配置文档的访问权限 案例3：绑定到LDAP验证服务 案例4：配置LDAP家目录漫游 1 案例1：配置附加权限 1.1 问题 本例要求创建一个某个组的用户共享使用的目录 /home/admins，满足以下要求： 此目录的组所有权是 adminuser adminuser 组的成员对此目录有读写和执行的权限，除此以外的其他所有用户没有任何权限（root用户能够访问系统中的所有文件和目录） 在此目录中创建的文件，其组的所有权会自动设置为属于 adminuser 组 1.2 方案 使目录的属组能够向下自动继承，只要对这个目录设置Set GID附件权限即可。 1.3 步骤 实现此案例需要按照如下步骤进行。 步骤一：创建目录并调整权限 1）新建文件夹 [root@server0 ~]# mkdir / home /admins 2）调整并确认权限 [root@server0 ~]# chown : adminuser / home /admins [root@server0 ~]# chmod ug =rwx ,o - rwx / home /admins [root@server0 ~]# chmod g + s / home /admins [root@server0 ~]# ls - ld / home /

MSP(Membership Service Provider)成员管理服务提供商 名词: 1。CSR(Cerificate Signing Request)：证书签署请求文件 CSR里包含申请者的 DN（Distinguished Name，标识名）和公钥信息（在第三方机构签署证书时要提供）。 证书颁发机构拿到 CSR 后使用其根证书私钥对证书进行加密并生成 CRT 证书文件，里面包含证书加密信息、申请者的 DN 、公钥信息。 一。概述 说明： MSP是Hyperledger Fabric1.0引入的一个组件。目的：抽象化各成员之间的控制结构关系。（MSP将证书颁发/用户认证/后台加密机制和协议都进行了抽象） 每个MSP可定义自己规则：身份认证/签名的生成/认证。 每个Hyperledger Fabric 1.0区块链网络可引入一个/多个MSP来进行网络管理。（即将成员本身和成员间操作、规则、流程都模块化） 1。成员身份是基于标准的x.509证书。利用PKI体系为每个成员颁发数字证书。结合所属MSP进行身份认证和权限控制。 2。根CA证书（Root Certificate）： 【1】自签名证书 【2】用根CA证书私钥签名的证书还可签发新的证书 3。中间CA证书（Intermediate Certificate） 【1】由其他CA证书签发 【2

名词解释 Objectclass 　　LDAP对象类，是LDAP内置的数据模型。每种objectClass有自己的数据结构，比如我们有一种叫“电话薄”的objectClass，肯定会内置很多属性(attributes)，如姓名(uid)，身份证号(uidNumber)，单位名称(gid)，家庭地址(homeDirectory)等，同时，还有一种叫“同学录”的objectClass，具备“电话薄”里的一些attributes(如uid、homeDirectory)，还会具有“电话薄”没有的attributes(如description等)。 Entry 　　entry可以被称为条目，一个entry就是一条记录，是LDAP中一个基本的存储单元；也可以被看作是一个DN和一组属性的集合。注意，一条entry可以包含多个objectClass，例如zhang3可以存在于“电话薄”中，也可以同时存在于“同学录”中。 DN 　　Distinguished Name，LDAP中entry的唯一辨别名，一条完整的DN写法：uid=zhang3,ou=People,dc=163,dc=com。LDAP中的entry只有DN是由LDAP Server来保证唯一的。 LDAP Search filter 　　使用filter对LDAP进行搜索。 Filter一般由 (attribute=value)

这是我看到的最浅显的一篇LDAP入门介绍，特意转载过来。 原文链接 首先要先理解什么是LDAP，当时我看了很多解释，也是云里雾里，弄不清楚。在这里给大家稍微捋一捋。 首先LDAP是一种通讯协议，LDAP支持TCP/IP。协议就是标准，并且是抽象的。在这套标准下，AD（Active Directory）是微软出的一套实现。 那AD是什么呢？暂且把它理解成是个数据库。也有很多人直接把LDAP说成数据库(可以把LDAP理解成存储数据的数据库)。像是其他数据库一样，LDAP也是有client端和server端。server端是用来存放资源，client端用来操作增删改查等操作。 而我们通常说的LDAP是指运行这个数据库的服务器。 可以简单理解AD =LDAP服务器＋LDAP应用。 那LDAP这种数据库有什么特殊的呢？ 我们知道，像MySQL数据库，数据都是按记录一条条记录存在表中。而LDAP数据库，是树结构的，数据存储在叶子节点上。看看下面的比喻： 假设你要树上的一个苹果（一条记录），你怎么告诉园丁它的位置呢？当然首先要说明是哪一棵树（dc，相当于MYSQL的DB），然后是从树根到那个苹果所经过的所有“分叉”（ou），最后就是这个苹果的名字（uid，相当于MySQL表主键id）。好了！这时我们可以清晰的指明这个苹果的位置了，就是那棵“歪脖树

https://blog.csdn.net/caoyujiao520/article/details/82762097 来源： https://www.cnblogs.com/lijianda/p/12454067.html

http://hi.baidu.com/kaisep/item/0e4bf6ee5da001d1ea34c986 源地址 启动weblogic的错误：Could not obtain an exclusive lock to the embedded LDAP data files directory 启动weblogic时报以下错误： <2004-12-22 上午05时25分29秒 CST> <Critical> <WebLogicServer> <BEA-000364> <Server failed during initialization. Exception:weblogic.server.ServiceFailureException: Could not obtain an exclusive lock to the embedded LDAP data files directory: .\myserver\ldap\ldapfiles because another WebLogic Server is already using this directory. Ensure that the first WebLogic Server is completely shutdown and restart the server. weblogic.server

文章目录 一、什么是LDAP？ （ 二）了解完目录服务后，我们再来看看LDAP的介绍： （三）为什么要使用 一、什么是LDAP？ （一）在介绍什么是LDAP之前，我们先来复习一个东西：“什么是目录服务？” 1. 目录服务是一个特殊的数据库，用来保存描述性的、基于属性的详细信息，支持过滤功能。 2. 是动态的，灵活的，易扩展的。 如：人员组织管理，电话簿，地址簿。 （ 二）了解完目录服务后，我们再来看看LDAP的介绍： LDAP（Light Directory Access Portocol），它是基于X.500标准的轻量级目录访问协议。 目录是一个为查询、浏览和搜索而优化的数据库，它成树状结构组织数据，类似文件目录一样。 目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。所以目录天生是用来查询的，就好象它的名字一样。 LDAP目录服务是由目录数据库和一套访问协议组成的系统。 （三）为什么要使用 LDAP是开放的Internet标准，支持跨平台的Internet协议，在业界中得到广泛认可的，并且市场上或者开源社区上的大多产品都加入了对LDAP的支持，因此对于这类系统，不需单独定制，只需要通过LDAP做简单的配置就可以与服务器做认证交互。“简单粗暴”，可以大大降低重复开发和对接的成本。 我们拿开源系统（YAPI）做案例

以下是从网上搜集到的内容 概念： 1、 DC AND AD 　　DC是Domain Controller的缩写,即域控制器,AD是active directory的缩写,即活动目录. 　　Domain Controller是一台计算机,实现用户,计算机,目录的统一管理. 　　AD（活动目录）是一种存储协议,基于LDAP. 　　两者完全是两种概念,DC也可以不基于AD实现,比如基于数据库或文件,当然目前微软还没有这样的实现. 在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管 对等网络 上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。 　　不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源