अभिभावक तक कोई पहुंच न लिखें


2

मैं एक समस्या का सामना कर रहा हूँ, जो कि शेफ के साथ एक ओपनडैप सर्वर सेटअप करने की कोशिश कर रहा है।

विन्यास:

  • उबुन्टु 15.04
  • OpenLdap 2.4.31
  • शेफ / ओपनलाडैप 2.7.1

जानकारी के लिए, जब मैं dkpg-reconfigure slapd चलाता हूं (जो प्रक्रिया को स्वचालित करने का प्रयास करते समय कोई विकल्प नहीं है), तो समस्या का भाग 1 हल किया जाता है (w / o किसी भी phpldapadmin कॉन्फ़िगरेशन फ़ाइल को बदलते हुए) लेकिन भाग 2 रहता है।

भाग 1: जब एडमिन अकाउंट को phpldapadmin में एक्सेस करते हैं, तो एडमिन यूजर एक्सेस नहीं करता है (संदेश: यह आधार PLA के साथ नहीं बनाया जा सकता है।)

भाग 2: जब निष्पादित करने की कोशिश कर रहा है sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/db.ldif त्रुटि संदेश है:

STDERR: SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
ldap_add: Insufficient access (50)
    additional info: no write access to parent

slapd.conf

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/nis.schema

pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd/slapd.args

loglevel        0

modulepath      /usr/lib/ldap
moduleload  back_hdb

sizelimit 500
tool-threads 1

database        hdb
suffix          "dc=a6,dc=com"
rootdn          "cn=admin,dc=a6,dc=com"
rootpw          {SSHA}a6a6aa66a6a6a6a6a6a6a6
directory       "/var/lib/ldap"
lastmod         on

dbconfig set_cachesize 0 31457280 0

dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500

index default pres,eq,approx,sub
index objectClass eq
index cn,ou,sn,uid,l,mail,gecos,memberUid,description
index loginShell,homeDirectory pres,eq,approx
index uidNumber,gidNumber pres,eq

db.ldif

dn: dc=a6,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
dc: a6
o: a6
description: A6

dn: cn=admin,dc=a6,dc=com
cn: admin
description: LDAP administrator
objectclass: simpleSecurityObject
objectclass: organizationalRole
userpassword: {SSHA}Aa6a6aa66a6a6a6a6a6a6a6

dn: ou=users,dc=a6,dc=com
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=a6,dc=com
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: cn=administrators,ou=groups,dc=a6,dc=com
objectClass: posixGroup
cn: administrators
gidNumber: 500

dn: uid=co,ou=administrators,dc=a6,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
cn: co
gidnumber: 500
givenname: Jack
homedirectory: /home/co
loginshell: /bin/bash
uid: co
uidnumber: 1000
userpassword:  {SSHA}a6a6aa66a6a6a6a6a6a6a6

आपकी सहायता के लिए धन्यवाद। एल

जवाबों:


2

मैं उसी त्रुटि से मिला:

अध्यक्ष एवं प्रबंध निदेशक: ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "dc=example,dc=com"
ldap_add: Insufficient access (50)
        additional info: no write access to parent

और मेरा आधार।

CMD: cat base.ldif

dn: dc=example,dc=com
objectClass: dcObject
objectclass: organization
o: example.com
dc: example
description: My LDAP Root

dn: cn=admin,dc=example,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
userPassword: secret
description: LDAP administrator

मैंने कमांड के साथ त्रुटि को ठीक किया:

 ldapadd -x -D 'cn=admin,dc=example,dc=com' -w secret -H ldapi:/// -f base.ldif

सफल:

adding new entry "dc=example,dc=com"

adding new entry "cn=admin,dc=example,dc=com"

2

डिफ़ॉल्ट ACL इसकी अनुमति नहीं देता है। बाहरी प्रमाणीकरण में पेड़ तक पहुंच नहीं है; केवल ldap व्यवस्थापक / सुपर-उपयोगकर्ता (rootdn) के पास ही है। (वास्तव में यह सभी एसीएल को बायपास करता है।)

तो या तो ldap व्यवस्थापक के रूप में बाँधें - जैसा कि अन्य उत्तर सुझाता है - या अपने स्वयं के acl नियम जोड़ें।

मैं इसे पहले acl नियम के रूप में उपयोग करता हूं:

to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth write by * break

आप भी उपयोग कर सकते हैं manage के बजाय write

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.