服务器登录账号不能切换,切换LDAP服务器后用户无法登陆

最新推荐文章于 2023-06-07 17:09:27 发布
最新推荐文章于 2023-06-07 17:09:27 发布
阅读量804 收藏
点赞数
文章标签: 服务器登录账号不能切换

[简述你的问题]

在Web界面更改ldap配置后,除了LDAP地址外,其它参数配置不生效,造成用户无法登陆

使用版本

[请提供你使用的Jumpserver版本 1.x.x 注: 0.3.x不再提供支持]

1.4.4

系统是CentOS7.5

Python 3.6.7

问题复现步骤

1.我们早期使用的是自建的openldap服务器,配置参数如下

LDAP地址:ldap://10.xx.xx.xxx:389

绑定DN:uid=ldapusr,cn=users,cn=accounts,dc=company,dc=org123

密码:xxxxx

用户OU:dc=company,dc=org123

用户过滤器:(uid=%(user)s)

LDAP属性映射:{"username": "uid", "name": "cn", "email": "mail"}

2。 配置一直使用正常大半年,经历多次版本升级到1.4.4

后来为了管理方便,准备接入Windows AD,随即修改了LDAP认证参数如下:

LDAP地址:ldap://10.xx.xxx.xxx:389

绑定DN:CN=ldap02,OU=Pub,OU=XXX,DC=company,DC=org456

密码:xxxxx

用户OU:OU=部门3,OU=部门2,OU=部门1,DC=company,DC=org456

用户过滤器:(sAMAccountName=%(user)s)

LDAP属性映射:{"username": "sAMAccountName", "name": "cn", "email": "mail"}

3.Windows AD中的用户名和openldap里面的用户名是一致的,修改完成后,测试连接可以正常返回匹配用户数,执行./jms restart all,发现用户无法登陆,登陆日志

显示原因为“用户名/密码 校验失败”,使用tcpdump命令在网卡上抓包后发现,Jumpserver虽然在和WindowsAD通信,但仍然在使用原来和openldap对接的用户OU和用户过滤器参数,也就是说除了LDAP地址外,其他的参数修改后没有正常生效。

4.尝试重启Jumpserver所在的虚拟机,重新拉起各个组件,未能解决问题

具体表现[截图可能会更好些,最好能截全]

修改LDAP配置时产生的日志:

2018-12-13 15:37:44 [signals_handler DEBUG] Receive django ready signal

2018-12-13 15:37:44 [signals_handler DEBUG] - fresh all settings

2018-12-13 15:37:44 [signals_handler DEBUG] Receive django ready signal

2018-12-13 15:37:44 [signals_handler DEBUG] Receive django ready signal

2018-12-13 15:37:44 [signals_handler DEBUG] - fresh all settings

2018-12-13 15:37:44 [signals_handler DEBUG] - fresh all settings

2018-12-13 15:37:44 [signals_handler DEBUG] Receive django ready signal

2018-12-13 15:37:44 [signals_handler DEBUG] - fresh all settings

2018-12-13 15:42:01 [signals_handler DEBUG] Receive setting item change

2018-12-13 15:42:01 [signals_handler DEBUG] - refresh setting: AUTH_LDAP_SERVER_URI

2018-12-13 15:42:01 [signals_handler DEBUG] Receive setting item change

2018-12-13 15:42:01 [signals_handler DEBUG] - refresh setting: AUTH_LDAP_BIND_DN

2018-12-13 15:42:01 [signals_handler DEBUG] Receive setting item change

2018-12-13 15:42:01 [signals_handler DEBUG] - refresh setting: AUTH_LDAP_BIND_PASSWORD

2018-12-13 15:42:01 [signals_handler DEBUG] Receive setting item change

2018-12-13 15:42:01 [signals_handler DEBUG] - refresh setting: AUTH_LDAP_SEARCH_OU

2018-12-13 15:42:01 [signals_handler DEBUG] Receive setting item change

2018-12-13 15:42:01 [signals_handler DEBUG] - refresh setting: AUTH_LDAP_SEARCH_FILTER

2018-12-13 15:42:01 [signals_handler DEBUG] Receive setting item change

2018-12-13 15:42:01 [signals_handler DEBUG] - refresh setting: AUTH_LDAP_USER_ATTR_MAP

2018-12-13 15:42:01 [signals_handler DEBUG] Receive setting item change

2018-12-13 15:42:01 [signals_handler DEBUG] - refresh setting: AUTH_LDAP

2018-12-13 15:42:01 [signals_handler DEBUG] Enable LDAP auth

用户登录失败时没有日志产生

其他

[注:] 完成后请关闭 issue

Sleep No More 上海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
archery集成ldap无法登陆
linuxlsq的博客
06-24 971
archery集成ldap无法登陆
LDAP单点登录
12-04
4. **SSO组件选择**:选择合适的SSO组件,如CAS(Central Authentication Service)、PingFederate等,这些组件能处理用户登录认证和会话管理,实现跨系统的身份验证。 5. **集成应用系统**:对每一个需要实现SSO的...
【人在运维囧途_13】由LDAP服务器无法登陆来谈谈分析问题的思路
数据库
04-22 187
今天监控报障,LDAP某个机房部分机器无法登陆 过去看了一下,总结一下思考路径:㈠ 定位问题、确定问题范围 LDAP无法登陆,本地账户可以登陆,说明ssh认证本身ok,应该是LDAP服务器连接有问题 strace id xx,的确连接LDAP服务器报错 telnet LDAP服务器端口不通 同一机房里面部分正常服务器OK ㈡ 从变更角度来看问题 ...
记录一次LDAP单点登录后系统无法登出问题排查及解决方案
qq_42392337的博客
10-10 571
ldap单点登录系统无法登出问题排查及解决方案
LDAP配置成功,账号不能登陆,密码不对问题;
max_hello的博客
06-05 9233
用户过滤里边填写如下: 用户过滤:(&(|(sAMAccountName={login})(userPrincipalName={login}))) ; sAMAccountName:代表用户名,userPrincipalName:域账号
openldap 普通用户切换root
weixin_33728268的博客
07-16 182
【服务端】先新增vim /etc/openldap/schema/sudoer.schemaattributetype ( 1.3.6.1.4.1.15953.9.1.1 NAME 'sudoUser' DESC 'User(s) who may run sudo' EQUALITY caseExactIA5Match SUBSTR caseExac...
利用Spring进行LDAP验证登录遇到的问题及其解决方式
热门推荐
程序员进阶之路
10-25 2万+
有些系统需要使用公司内部的域帐号登录,那么就需要连接LDAP进行验证,Spring Secutiry提供了使用LDAP验证的方式(就相比登录验证来说,Spring提供的LDAP验证,比自己实现LDAP验证真是麻烦了不少),能完美契合Spring Secutiry的可参考这篇文章:https://www.ibm.com/developerworks/cn/java/j-lo-springsecurit
服务器不死账号建立工具.
12-03
5. 安全性:安全性是服务器账号管理的关键。不死账号建立工具需要有强大的安全机制,包括密码策略、访问控制、审计日志等,以防止未授权访问和数据泄露。 6. 自动化管理:为了减轻管理员的工作负担,这些工具通常...
基于LDAP统一用户管理系统的研究与应用
05-24
LDAP环境中,SSO的实现通常是通过在应用系统和LDAP服务器之间建立信任关系,当用户登录时,应用系统会向LDAP服务器发送认证请求,服务器验证成功后返回一个令牌,该令牌用于在其他系统中标识用户身份。 在实际...
单点登录CAS及LDAP整合的实现.doc
10-03
一旦配置完成,CAS Server将能够从OpenLDAP中获取用户信息,验证用户身份,并在用户登录后提供SSO服务。 整合CAS与LDAP的好处在于,它提供了集中式的用户管理,降低了运维复杂性,同时增强了安全性。由于所有的身份...
yp2ldap:NIS 到 LDAP 的转换工具-开源
07-19
通过 `yp2ldap`,用户可以继续使用熟悉的 NIS 命令,但背后的数据来源已经切换LDAP 目录。 **yp2ldap 的工作原理** 1. **ypwhich**:此命令通常用于查找当前系统正在使用的 NIS 域。在 `yp2ldap` 中,它会查询 ...
ldap服务安装,客户端安装,ldap用户登录验证测试
javaMylife的博客
06-07 1368
5、验证LDAP,使用客户端计算机上的LDAP用户“ hiveuser” 登录。2、配置ladp账号密码域名。3、重启LDAP客户端服务器
yapi接入ldap
who__are__you_的博客
09-30 913
yapi接入ldap,以及mongodb备份
YApi开启LDAP
小诸葛的博客
02-28 1325
修改/api/config.json文件,添加ldap配置
LDAP和AD域用户身份认证问题
虚心求教
11-16 5879
最近用LDAP和AD域做一个用户身份认证问题;     域服务器使用的是Windows server 2003 ,客户端是Windows xp ,这两个系统都是装在Windows虚拟机上运行的!   在没有设置域用户的账户属性中的“登录到”属性的时候,windows xp 客户端能正常登录LDAP认证也能正常登录进去; 当设置了账户属性中的登录属性后,windows xp能登录上...
LDAP操作过程中出现的错误代码
weixin_34121304的博客
08-19 449
为什么80%的码农都做不了架构师?>>> ...
启动TDS LDAP 服务器遇到的问题总结
weixin_33747129的博客
10-21 415
    在启动TDS LDAP服务器时遇到一些问题,由于习惯使用Oracle数据库,而对DB2数据库比较陌生,在遇到这些问题时也是摸不到头脑,好在现在解决了,并把所遇到的问题罗列如下: 使用命令启动TDS LDAP 服务器:./ibmslapd -I ldapdb2 ,执行结果如下: 从上面的执行结果,很明显可以看到两个错误: 1、SQL1032N 未发出启动数据库管理器的命令。 SQL...
LDAP技术报告
linnet2000的专栏
07-05 3818
LDAP技术报告  一、目录和目录服务       LDAP(Lightweight Directory Access Protocol)轻型目录访问协议是目录访问协议的一种。因此下面首先介绍什么是目录和目录服务。       目录是一个以一定规则排列的对象的属性集合,是一个存储着关于对象各种属性的特殊数据库,这些属性可以供访问和管理对象时使用,类似电话簿和图书馆卡片分类系统。这里,我们所谈的目录
ldap错误状态码
weixin_45397609的博客
04-26 7579
正常情况LDAP返回的错误信息一般是下面这个样子的: “The exception is [ LDAP: error code 49 - 80090308: LdapErr: DSID-0Cxxxxxx , comment: AcceptSecurityContext error, data xxx , vece ].” 或者是这个样子的: “errorMessage:80090308:ldaperr:DSID-0Cxxxxxx , comment: AcceptSecurityContext er
如何在centos7上配置apache服务器通过LDAP进行用户认证
最新发布
09-20
### 回答1: 下面是在CentOS 7上配置Apache服务器通过LDAP进行用户认证的步骤: 1. 安装Apache和mod_authnz_ldap模块: ``` sudo yum install httpd mod_authnz_ldap ``` 2. 修改Apache配置文件,启用LDAP模块: ``` sudo vim /etc/httpd/conf/httpd.conf ``` 找到以下行并取消注释(去掉前面的#): ``` LoadModule authnz_ldap_module modules/mod_authnz_ldap.so ``` 3. 配置LDAP连接信息: 在Apache的配置文件中添加以下内容: ``` LDAPTrustedGlobalCert CA_BASE64 /etc/pki/tls/certs/ca-bundle.crt LDAPVerifyServerCert off <Location /secure> AuthType Basic AuthName "LDAP Authentication" AuthBasicProvider ldap AuthLDAPURL "ldap://ldap.example.com:389/dc=example,dc=com?cn" AuthLDAPBindDN "cn=admin,dc=example,dc=com" AuthLDAPBindPassword "password" Require valid-user </Location> ``` 说明: - `LDAPTrustedGlobalCert`:指定SSL/TLS连接时使用的证书。 - `LDAPVerifyServerCert`:是否验证LDAP服务器的证书。开启验证可以提高安全性,但需要正确配置证书。 - `Location`:指定需要进行LDAP认证的URL路径。 - `AuthType`:指定认证类型为Basic。 - `AuthName`:指定认证名称。 - `AuthBasicProvider`:指定使用LDAP进行认证。 - `AuthLDAPURL`:指定LDAP服务器的地址和搜索条件。 - `AuthLDAPBindDN`:LDAP服务器的管理员账号。 - `AuthLDAPBindPassword`:LDAP服务器的管理员密码。 - `Require`:指定需要认证的用户。 4. 重启Apache服务器: ``` sudo systemctl restart httpd ``` 现在,您可以通过访问配置的URL路径来进行LDAP认证。如果认证成功,用户将可以访问受保护的内容。 ### 回答2: 在CentOS 7上配置Apache服务器通过LDAP进行用户认证需要以下步骤: 1. 安装和配置LDAP服务器:首先,需要安装和配置一个LDAP服务器,例如OpenLDAP。你可以使用以下命令安装OpenLDAP: sudo yum install openldap-servers openldap-clients 安装完成后,你需要配置LDAP服务器的基本设置,并创建一个LDAP用户和组。 2. 配置Apache服务器:在安装和配置LDAP服务器后,你需要在Apache服务器上进行一些配置。你可以使用以下命令安装Apache服务器: sudo yum install httpd 安装完成后,在Apache的配置文件`httpd.conf`中进行一些设置。你需要启用LDAP模块并指定LDAP服务器的地址和端口。例如: LoadModule authnz_ldap_module modules/mod_authnz_ldap.so <Location "/"> AuthName "LDAP Authentication" AuthType Basic AuthBasicProvider ldap AuthLDAPURL "ldap://ldap.example.com:389/dc=example,dc=com?uid?sub?(objectClass=*)" AuthLDAPBindDN "cn=admin,dc=example,dc=com" AuthLDAPBindPassword "password" Require valid-user </Location> 在以上配置中,你需要根据你实际的LDAP服务器地址和认证需求进行相应的修改。例如,`ldap.example.com`是LDAP服务器的域名,`dc=example,dc=com`是LDAP服务器的根目录,`AuthLDAPBindDN`是一个具有读取LDAP目录的管理员账号。 3. 重启Apache服务器:在完成以上配置后,你需要重启Apache服务器使其生效。你可以使用以下命令重启服务器: sudo systemctl restart httpd 注意确保没有任何错误信息。 4. 进行LDAP用户认证:现在你可以通过访问Apache服务器来进行LDAP用户认证。当访问需要认证的网页时,你将被提示输入用户名和密码。这些用户信息将会与LDAP服务器进行比对,如果认证成功,则可以访问受限资源。 通过以上步骤,在CentOS 7上配置Apache服务器通过LDAP进行用户认证。请确保设置正确并保护好服务器LDAP的凭证,以确保安全性。 ### 回答3: 在CentOS 7上配置Apache服务器通过LDAP进行用户认证,需要以下步骤: 1. 安装Apache服务器:在CentOS 7上安装Apache服务器,可以使用以下命令: ``` sudo yum install httpd ``` 2. 配置LDAP模块:安装LDAP模块以启用用户认证功能。使用以下命令安装LDAP模块: ``` sudo yum install mod_ldap ``` 3. 配置LDAP服务器信息:在Apache配置文件中,找到`httpd.conf`文件并打开进行编辑。添加以下内容来配置LDAP服务器信息: ``` LDAPTrustedGlobalCert CERT_BASE64 /etc/ssl/certs/ca-certificates.crt LDAPVerifyServerCert on <Location "/"> AuthType Basic AuthName "LDAP Authentication" AuthBasicProvider ldap AuthLDAPURL ldap://ldap.example.com/o=example?uid AuthLDAPBindDN "cn=admin,dc=example,dc=com" AuthLDAPBindPassword "password" Require valid-user </Location> ``` 4. 重启Apache服务器:保存配置文件并重启Apache服务器使其生效。使用以下命令重启Apache服务器: ``` sudo systemctl restart httpd ``` 以上是在CentOS 7上配置Apache服务器通过LDAP进行用户认证的步骤。请根据你的LDAP服务器信息和需求进行相应的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值