अभिभावक तक कोई पहुंच न लिखें

मैं एक समस्या का सामना कर रहा हूँ, जो कि शेफ के साथ एक ओपनडैप सर्वर सेटअप करने की कोशिश कर रहा है।

विन्यास:

• उबुन्टु 15.04
• OpenLdap 2.4.31
• शेफ / ओपनलाडैप 2.7.1

जानकारी के लिए, जब मैं dkpg-reconfigure slapd चलाता हूं (जो प्रक्रिया को स्वचालित करने का प्रयास करते समय कोई विकल्प नहीं है), तो समस्या का भाग 1 हल किया जाता है (w / o किसी भी phpldapadmin कॉन्फ़िगरेशन फ़ाइल को बदलते हुए) लेकिन भाग 2 रहता है।

भाग 1: जब एडमिन अकाउंट को phpldapadmin में एक्सेस करते हैं, तो एडमिन यूजर एक्सेस नहीं करता है (संदेश: यह आधार PLA के साथ नहीं बनाया जा सकता है।)

भाग 2: जब निष्पादित करने की कोशिश कर रहा है sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/db.ldif त्रुटि संदेश है:

STDERR: SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
ldap_add: Insufficient access (50)
    additional info: no write access to parent

slapd.conf

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/nis.schema

pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd/slapd.args

loglevel        0

modulepath      /usr/lib/ldap
moduleload  back_hdb

sizelimit 500
tool-threads 1

database        hdb
suffix          "dc=a6,dc=com"
rootdn          "cn=admin,dc=a6,dc=com"
rootpw          {SSHA}a6a6aa66a6a6a6a6a6a6a6
directory       "/var/lib/ldap"
lastmod         on

dbconfig set_cachesize 0 31457280 0

dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500

index default pres,eq,approx,sub
index objectClass eq
index cn,ou,sn,uid,l,mail,gecos,memberUid,description
index loginShell,homeDirectory pres,eq,approx
index uidNumber,gidNumber pres,eq

db.ldif

dn: dc=a6,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
dc: a6
o: a6
description: A6

dn: cn=admin,dc=a6,dc=com
cn: admin
description: LDAP administrator
objectclass: simpleSecurityObject
objectclass: organizationalRole
userpassword: {SSHA}Aa6a6aa66a6a6a6a6a6a6a6

dn: ou=users,dc=a6,dc=com
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=a6,dc=com
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: cn=administrators,ou=groups,dc=a6,dc=com
objectClass: posixGroup
cn: administrators
gidNumber: 500

dn: uid=co,ou=administrators,dc=a6,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
cn: co
gidnumber: 500
givenname: Jack
homedirectory: /home/co
loginshell: /bin/bash
uid: co
uidnumber: 1000
userpassword:  {SSHA}a6a6aa66a6a6a6a6a6a6a6

आपकी सहायता के लिए धन्यवाद। एल

मैं उसी त्रुटि से मिला:

अध्यक्ष एवं प्रबंध निदेशक: ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "dc=example,dc=com"
ldap_add: Insufficient access (50)
        additional info: no write access to parent

और मेरा आधार।

CMD: cat base.ldif

dn: dc=example,dc=com
objectClass: dcObject
objectclass: organization
o: example.com
dc: example
description: My LDAP Root

dn: cn=admin,dc=example,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
userPassword: secret
description: LDAP administrator

मैंने कमांड के साथ त्रुटि को ठीक किया:

 ldapadd -x -D 'cn=admin,dc=example,dc=com' -w secret -H ldapi:/// -f base.ldif

सफल:

adding new entry "dc=example,dc=com"

adding new entry "cn=admin,dc=example,dc=com"

डिफ़ॉल्ट ACL इसकी अनुमति नहीं देता है। बाहरी प्रमाणीकरण में पेड़ तक पहुंच नहीं है; केवल ldap व्यवस्थापक / सुपर-उपयोगकर्ता (rootdn) के पास ही है। (वास्तव में यह सभी एसीएल को बायपास करता है।)

तो या तो ldap व्यवस्थापक के रूप में बाँधें - जैसा कि अन्य उत्तर सुझाता है - या अपने स्वयं के acl नियम जोड़ें।

मैं इसे पहले acl नियम के रूप में उपयोग करता हूं:

to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth write by * break

आप भी उपयोग कर सकते हैं manage के बजाय write।