Kein Schreibzugriff auf Eltern

2634
Jack Admin

Ich bin mit einem Problem konfrontiert, das versucht, einen Openldap-Server mit dem Koch einzurichten.

Aufbau:

  • Ubuntu 15.04
  • OpenLdap 2.4.31
  • Chef / OpenLdap 2.7.1

Zur Information: Wenn ich dkpg-reconfigure slapd ausführe (was beim Versuch, den Prozess zu automatisieren) keine Option ist, ist Teil 1 des Problems gelöst (ohne Änderung der Konfigurationsdatei phpldapadmin), aber Teil 2 bleibt erhalten.

Teil 1: Beim Zugriff auf das Administratorkonto auf phpldapadmin ist der Administratorbenutzer nicht erreichbar (Nachricht: Diese Basis kann nicht mit PLA erstellt werden.)

Teil 2: Beim Versuch, sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/db.ldifdie Fehlermeldung auszuführen, lautet:

STDERR: SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 ldap_add: Insufficient access (50) additional info: no write access to parent

slapd.conf

include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/nis.schema  pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args  loglevel 0  modulepath /usr/lib/ldap moduleload back_hdb  sizelimit 500 tool-threads 1  database hdb suffix "dc=a6,dc=com" rootdn "cn=admin,dc=a6,dc=com" rootpw a6a6aa66a6a6a6a6a6a6a6 directory "/var/lib/ldap" lastmod on  dbconfig set_cachesize 0 31457280 0  dbconfig set_lk_max_objects 1500 dbconfig set_lk_max_locks 1500 dbconfig set_lk_max_lockers 1500  index default pres,eq,approx,sub index objectClass eq index cn,ou,sn,uid,l,mail,gecos,memberUid,description index loginShell,homeDirectory pres,eq,approx index uidNumber,gidNumber pres,eq

db.ldif

dn: dc=a6,dc=com objectClass: top objectClass: dcObject objectClass: organization dc: a6 o: a6 description: A6  dn: cn=admin,dc=a6,dc=com cn: admin description: LDAP administrator objectclass: simpleSecurityObject objectclass: organizationalRole userpassword: Aa6a6aa66a6a6a6a6a6a6a6  dn: ou=users,dc=a6,dc=com objectClass: top objectClass: organizationalUnit ou: users  dn: ou=groups,dc=a6,dc=com objectClass: top objectClass: organizationalUnit ou: groups  dn: cn=administrators,ou=groups,dc=a6,dc=com objectClass: posixGroup cn: administrators gidNumber: 500  dn: uid=co,ou=administrators,dc=a6,dc=com objectclass: inetOrgPerson objectclass: posixAccount cn: co gidnumber: 500 givenname: Jack homedirectory: /home/co loginshell: /bin/bash uid: co uidnumber: 1000 userpassword: a6a6aa66a6a6a6a6a6a6a6

Danke für Ihre Hilfe. L.

2

2 Antworten auf die Frage

2

Ich habe den gleichen Fehler gefunden:

CMD: ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif

SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "dc=example,dc=com" ldap_add: Insufficient access (50) additional info: no write access to parent

Und mein base.ldif-Inhalt:

CMD: cat base.ldif  dn: dc=example,dc=com objectClass: dcObject objectclass: organization o: example.com dc: example description: My LDAP Root  dn: cn=admin,dc=example,dc=com objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin userPassword: secret description: LDAP administrator

Ich habe den Fehler mit dem Befehl behoben:

 ldapadd -x -D 'cn=admin,dc=example,dc=com' -w secret -H ldapi:/// -f base.ldif

Erfolgreich:

adding new entry "dc=example,dc=com"  adding new entry "cn=admin,dc=example,dc=com"
2
Torkel Bjørnson-Langen

Die Standard-ACL lässt dies nicht zu. Die externe Authentifizierung hat keinen Schreibzugriff auf den Baum. das hat nur der ldap admin / super-user (rootdn). (Eigentlich umgeht es alle ACL.)

Binden Sie also entweder den ldap-Administrator an - wie die andere Antwort vermuten lässt - oder fügen Sie Ihre eigenen Acl-Regeln hinzu.

Ich verwende dies als die erste acl-Regel:

to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth write by * break

Sie können auch manageanstelle von verwenden write.

Verwandte Probleme