Chef を使用して OpenLDAP サーバーをセットアップしようとしているときに問題が発生しています。
構成:
- ウブントゥ 15.04
- オープンLDAP 2.4.31
- シェフ/OpenLdap 2.7.1
参考までに、dkpg-reconfigure slapd を実行すると (プロセスを自動化しようとする場合のオプションではありません)、問題のパート 1 は解決されます (phpldapadmin 構成ファイルを変更せずに) が、パート 2 は残ります。
パート 1: phpldapadmin の管理者アカウントにアクセスすると、管理者ユーザーにアクセスできません (メッセージ: このベースは PLA では作成できません。)
パート 2: 実行しようとすると、sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/db.ldifエラー メッセージは次のようになります。
STDERR: SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
ldap_add: Insufficient access (50)
additional info: no write access to parent
slapd.conf
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
loglevel 0
modulepath /usr/lib/ldap
moduleload back_hdb
sizelimit 500
tool-threads 1
database hdb
suffix "dc=a6,dc=com"
rootdn "cn=admin,dc=a6,dc=com"
rootpw {SSHA}a6a6aa66a6a6a6a6a6a6a6
directory "/var/lib/ldap"
lastmod on
dbconfig set_cachesize 0 31457280 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index default pres,eq,approx,sub
index objectClass eq
index cn,ou,sn,uid,l,mail,gecos,memberUid,description
index loginShell,homeDirectory pres,eq,approx
index uidNumber,gidNumber pres,eq
db.ldif
dn: dc=a6,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
dc: a6
o: a6
description: A6
dn: cn=admin,dc=a6,dc=com
cn: admin
description: LDAP administrator
objectclass: simpleSecurityObject
objectclass: organizationalRole
userpassword: {SSHA}Aa6a6aa66a6a6a6a6a6a6a6
dn: ou=users,dc=a6,dc=com
objectClass: top
objectClass: organizationalUnit
ou: users
dn: ou=groups,dc=a6,dc=com
objectClass: top
objectClass: organizationalUnit
ou: groups
dn: cn=administrators,ou=groups,dc=a6,dc=com
objectClass: posixGroup
cn: administrators
gidNumber: 500
dn: uid=co,ou=administrators,dc=a6,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
cn: co
gidnumber: 500
givenname: Jack
homedirectory: /home/co
loginshell: /bin/bash
uid: co
uidnumber: 1000
userpassword: {SSHA}a6a6aa66a6a6a6a6a6a6a6
ご協力ありがとうございました。L.
答え1
同じエラーが発生しました:
CM:ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "dc=example,dc=com"
ldap_add: Insufficient access (50)
additional info: no write access to parent
そして、base.ldif の内容は次のとおりです。
CMD: cat base.ldif
dn: dc=example,dc=com
objectClass: dcObject
objectclass: organization
o: example.com
dc: example
description: My LDAP Root
dn: cn=admin,dc=example,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
userPassword: secret
description: LDAP administrator
管理者ユーザーとしてバインドすることでエラーを修正しました。
ldapadd -x -D 'cn=admin,dc=example,dc=com' -w secret -H ldapi:/// -f base.ldif
成功:
adding new entry "dc=example,dc=com"
adding new entry "cn=admin,dc=example,dc=com"
答え2
デフォルトの ACL ではこれは許可されません。外部認証にはツリーへの書き込みアクセス権がありません。LDAP 管理者/スーパーユーザー (rootdn) のみが書き込みアクセス権を持ちます。(実際にはすべての ACL をバイパスします。)
したがって、他の回答が示唆しているように、ldap 管理者としてバインドするか、独自の ACL ルールを追加します。
これを最初の ACL ルールとして使用します。
to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth write by * break
manageの代わりにを使用することもできますwrite。