Tengo una configuración de OpenLDAP en Debian 7.1 (OpenLDAP 2.4.31) y estoy intentando configurar la superposición de miembros. Mi configuración es tal como la he leído en muchos sitios de Internet, sin embargo, todavía no me funciona.
El problema es que los atributos memberOf de las entidades solo se actualizan cuando creo un grupo, pero no cuando modifico o elimino un grupo. En realidad, esta misma pregunta se preguntó una vez aquí:¿Cómo configuro el mantenimiento inverso de membresía de grupo en un servidor openldap? (miembro de), pero incluso si está marcado como respondido, no pude encontrar ninguna información útil en las respuestas. (Incluso el cartel original no pudo hacer nada con las respuestas según los comentarios...)
Mi configuración es así: cn=config/cn=module{0}.ldif
dn: cn=module{0}
objectClass: olcModuleList
cn: module{0}
olcModulePath: /usr/lib/ldap
olcModuleLoad: {0}back_hdb
olcModuleLoad: {1}memberof
structuralObjectClass: olcModuleList
Y para el módulo: cn=config/olcDatabase={1}hdb/olcOverlay={0}memberof.ldif
dn: olcOverlay={0}memberof
objectClass: olcMemberOf
objectClass: olcOverlayConfig
olcOverlay: {0}memberof
structuralObjectClass: olcMemberOf
olcMemberOfGroupOC: groupOfNames
olcMemberOfMemberAD: member
olcMemberOfMemberOfAD: memberOf
olcMemberOfRefInt: TRUE
El grupo que agrego:
dn: cn=test,ou=services,dc=x,dc=y
cn: test
objectClass: groupOfNames
objectClass: top
description: test group
member: cn=Almafa Teszt,ou=users,dc=x,dc=y
La consulta que ejecuto:
$ ldapsearch -LLL -h localhost -x -D cn=admin,dc=x,dc=y -b u=users,dc=x,dc=y -W '(memberOf=cn=test,ou=services,dc=x,dc=y)' memberOf
Entonces el problema no es cómo consultar el atributo, sino que después de modificar o eliminar el grupo, el resultado de la búsqueda no cambia...
Actualizar: En cuanto a la respuesta de Brian, también configuré la superposición de refinamiento, con la siguiente configuración:
$ ldapsearch -LLL -b cn=module{0},cn=config
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModulePath: /usr/lib/ldap
olcModuleLoad: {0}back_hdb
olcModuleLoad: {1}memberof.la
olcModuleLoad: {2}refint
$ ldapsearch -LLL -b olcOverlay={1}refint,olcDatabase={1}hdb,cn=config
dn: olcOverlay={1}refint,olcDatabase={1}hdb,cn=config
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: {1}refint
olcRefintAttribute: memberof member manager owner
Pero ni fijó el miembro de la superposición ni funcionó por sí solo. Cuando modifiqué el nombre de un miembro de un grupo, el atributo de miembro del grupo no se actualizó. ¿Podrían estar relacionados estos dos problemas?
Respuesta1
Parece que es posible que necesite configurar la superposición de refinamiento, que ayuda a mantener la integridad referencial de un directorio en situaciones como la que describió. Hay una página enhttp://www.zarafa.com/wiki/index.php/OpenLDAP_referential_integritylo que puede ser útil para configurar esta superposición.
Respuesta2
Tuvimos el mismo problema (los mismos síntomas que usted describe). Resultó que nos faltaba olcRootDNnuestro dn: olcDatabase={1}hdb,cn=configEntonces agregue (por ejemplo) olcRootDN: cn=admin,cn=configallí.