Ich habe ein Problem, Chen, beim Versuch, mit Chef einen OpenLDAP-Server einzurichten.
Aufbau:
- Ubuntu 15.04
- OpenLdap 2.4.31
- Chef/OpenLdap 2.7.1
Zur Information: Wenn ich „dkpg-reconfigure slapd“ ausführe (was keine Option ist, wenn ich versuche, den Vorgang zu automatisieren), wird Teil 1 des Problems gelöst (ohne eine phpldapadmin-Konfigurationsdatei zu ändern), Teil 2 bleibt jedoch bestehen.
Teil 1: Beim Zugriff auf das Administratorkonto von phpldapadmin ist der Administratorbenutzer nicht zugänglich (Meldung: Diese Basis kann nicht mit PLA erstellt werden.)
Teil 2: Beim Versuch der Ausführung sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/db.ldiflautet die Fehlermeldung:
STDERR: SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
ldap_add: Insufficient access (50)
additional info: no write access to parent
slapd.conf
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
loglevel 0
modulepath /usr/lib/ldap
moduleload back_hdb
sizelimit 500
tool-threads 1
database hdb
suffix "dc=a6,dc=com"
rootdn "cn=admin,dc=a6,dc=com"
rootpw {SSHA}a6a6aa66a6a6a6a6a6a6a6
directory "/var/lib/ldap"
lastmod on
dbconfig set_cachesize 0 31457280 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index default pres,eq,approx,sub
index objectClass eq
index cn,ou,sn,uid,l,mail,gecos,memberUid,description
index loginShell,homeDirectory pres,eq,approx
index uidNumber,gidNumber pres,eq
db.ldif
dn: dc=a6,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
dc: a6
o: a6
description: A6
dn: cn=admin,dc=a6,dc=com
cn: admin
description: LDAP administrator
objectclass: simpleSecurityObject
objectclass: organizationalRole
userpassword: {SSHA}Aa6a6aa66a6a6a6a6a6a6a6
dn: ou=users,dc=a6,dc=com
objectClass: top
objectClass: organizationalUnit
ou: users
dn: ou=groups,dc=a6,dc=com
objectClass: top
objectClass: organizationalUnit
ou: groups
dn: cn=administrators,ou=groups,dc=a6,dc=com
objectClass: posixGroup
cn: administrators
gidNumber: 500
dn: uid=co,ou=administrators,dc=a6,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
cn: co
gidnumber: 500
givenname: Jack
homedirectory: /home/co
loginshell: /bin/bash
uid: co
uidnumber: 1000
userpassword: {SSHA}a6a6aa66a6a6a6a6a6a6a6
Danke für Ihre Hilfe. L.
Antwort1
Mir ist der gleiche Fehler begegnet:
CMD:ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "dc=example,dc=com"
ldap_add: Insufficient access (50)
additional info: no write access to parent
Und mein base.ldif-Inhalt:
CMD: cat base.ldif
dn: dc=example,dc=com
objectClass: dcObject
objectclass: organization
o: example.com
dc: example
description: My LDAP Root
dn: cn=admin,dc=example,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
userPassword: secret
description: LDAP administrator
Ich habe den Fehler behoben, indem ich die Bindung als Administratorbenutzer durchgeführt habe:
ldapadd -x -D 'cn=admin,dc=example,dc=com' -w secret -H ldapi:/// -f base.ldif
Erfolgreich:
adding new entry "dc=example,dc=com"
adding new entry "cn=admin,dc=example,dc=com"
Antwort2
Die Standard-ACL lässt dies nicht zu. Externe Authentifizierung hat keinen Schreibzugriff auf den Baum; nur der LDAP-Administrator/Superuser (RootDN) hat diesen. (Tatsächlich werden dadurch alle ACLs umgangen.)
Führen Sie die Bindung also entweder als LDAP-Administrator durch – wie in der anderen Antwort vorgeschlagen – oder fügen Sie Ihre eigenen ACL-Regeln hinzu.
Ich verwende dies als erste ACL-Regel:
to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth write by * break
Sie können auch manageanstelle von verwenden write.