Недостаточный доступ для редактирования OpenLDAP cn = config с внешней аутентификацией SASL

Я хочу добавить схему в базу данных OpenLDAP, которую я унаследовал.

ldapadd -vY EXTERNAL -H ldapi:/// -f schema.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 ... adding new entry "cn=openssh-lpk,cn=schema,cn=config" ldap_add: Insufficient access (50) 

Обсуждение списка рассылки в отношении той же внешней проблемы аутентификации SASL приводит меня к мысли, что мне нужно «сопоставить идентификатор SASL EXTERNAL с cn=config rootdn». Как бы я это сделал?

Пытаясь понять это, я создал аналогичную виртуальную машину и установил slapd из репозиториев Ubuntu. Внешние requestы SASL, как и выше, работают прямо из коробки. Я попытался compare настройки cn=config между двумя системами, но не смог определить какие-либо очеviewные подсказки для выполнения этой задачи. База данных изначально была запущена на Gentoo. Я перенес его в Ubuntu и с удовольствием редактировал учетные записи и использовал их. Однако я не смог изменить базу данных конфигурации с момента преобразования в format cn=config во time миграции.

Убедитесь, что существует один атрибут olcAccess в базе данных {0}config ( /etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif ), который выглядит следующим образом:

 olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break 

В конфигурации по умолчанию на Ubuntu это единственная запись olcAccess для базы данных config. Если у вас больше записей, убедитесь, что первое, что я упомянул, первое (т.е. {0} ), а остальные следуют ( {1} , {2} и т. Д.). В противном случае один из других может соответствовать, назначать слишком низкие разрешения и останавливать перемещение списка.

Если в этом списке есть какой-то другой user / DN с достаточными разрешениями ( write , manage ), вы должны попытаться изменить olcAccess с LDIF fileом, используя ldapmodify с этим пользователем / DN.

В противном случае вы можете:

 sudo service slapd stop sudo sensible-editor /etc/ldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif sudo service slapd start 

Но впоследствии вы должны исправить CRC32 в этом fileе.

  • Переход пользователя LDAP на клиента
  • Аутентификация Exchange с помощью OpenLDAP
  • Проблемы с OpenLDAP-репликацией
  • Переkeyение OpenLDAP из cn = config в slapd.conf
  • Настройка Openldap olcOverlay: ppolicy
  • Поддерживается ли поддержка SSL в двоичные fileы openldap для RHEL?
  • Настройка OpenLDAP + slapo-translucent на Ubuntu 11.04
  • ls -l замораживает terminal локально и удаленно
  • OpenLDAP как proxy для Active Directory не связывается с bindDN из slapd.conf
  • ldapsearch возвращает результат, но getent не
  • Slapd не работает
  • Давайте будем гением компьютера.