Articles of openldap

我无法向LDAP添加多个logging。 我有一个新的DN入口之前的空白行，但似乎它不适用于某个季节。 ldapadd -x -D cn = Manager，dc = hadoop，dc = local -w -f ldap.ldif ldapadd：attributeDescription“dn”:(可能缺less第10行之后的换行符，entry“uid = impala，ou = Users，dc = hadoop，dc = local“？）添加新条目”uid = impala，ou = Users，dc = hadoop，dc = local“ldap_add：types或值存在（20）附加信息：cn：value＃0提供多次 $vi ldap.ldif dn: uid=impala,ou=Users,dc=hadoop,dc=local objectClass: inetOrgPerson uid: impala sn: impala givenName: impala cn: impala displayName: impala dn: cn=impala,ou=Groups,dc=hadoop,dc=local objectClass: top objectClass: groupOfNames cn: […]

我正在尝试通过我的Java代码在OpenLDAP中创build一个用户（它适用于迄今为止我尝试过的所有LDAP环境）。 当我尝试OpenLDAP时，我得到了以下错误： LDAP: error code 50 – no write access to parent 我正在尝试在testldap子域中创build用户。 我的控制ACL的LDIF文件如下： dn: olcDatabase={1}bdb,cn=config changetype: modify replace: olcAccess olcAccess: {0}to dn.subtree="dc=testldap,dc=mydomain,dc=com" by self write by dn="cn=Manager,ou=People,dc=testldap,dc=mydomain,dc=com" write by dn="cn=Manager,ou=People,dc=testldap,dc=mydomain,dc=com" write by dn="cn=Manager,ou=People,dc=testldap,dc=mydomain,dc=com" read by dn="cn=Manager,ou=People,dc=testldap,dc=mydomain,dc=com" search by anonymous auth olcAccess: {1}to * by self write by dn="cn=admin,cn=config" write by dn.children="ou=People,dc=mydomain,dc=com" read by dn.children="ou=People,dc=mydomain,dc=com" […]

我正在努力为新的OpenLDAP服务器设置TLS。 系统是Debian Jessie（已更新到最新的8.7版本），并且通过安装slapd软件包来设置服务器，到目前为止几乎没有修改。 我试图configuration的一件事是TLS密码套件。 这是LDIF： dn: cn=config changetype: modify add: olcTLSCipherSuite olcTLSCipherSuite: HIGH 当我尝试使用以下命令提交此更改时： ldapmodify -Y EXTERNAL -H ldapi:/// -f set-cipher-suite.ldif 我得到这个错误： ldap_modify: Server is unwilling to perform (53) 我也尝试使用以下LDIF设置证书文件： dn: cn=config changetype: modify add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/foo.crt 在这里，我得到一个错误80，而不是一个错误53。 ldap_modify: Other (eg, implementation specific) error (80) 我仔细检查文件是否存在，并且slapd有权访问该文件。 我将olcLogLevel更改为any （因此certificate我能够修改configuration）并检查debugging输出，但是我所看到的对于未经训练的眼睛没有任何信息价值。 这里是错误53发生的片段： […] 6月8日16:46:21 pelargir slapd [36937]：slap_queue_csn：排队0x7f3648f4a430 […]

我如何在所有configuration的域中进行sssdsearch组成员身份？ 给定下面的configuration，alice（@bar）和bob（@foo）应该是testgroup（@bar）的成员。 但是，只有爱丽丝被sssd认为是testgroup的成员。 看一个tcpdump捕获它看起来，爱丽丝只search(&(&(member=uid=alice,ou=users,dc=bar,dc=example,dc=com)(objectClass=posixGroup))(cn=*))范围内ou=groups,dc=bar,dc=example,dc=com和bob只search(&(&(member=uid=bob,ou=users,dc=foo,dc=example,dc=com)(objectClass=posixGroup))(cn=*))在范围内ou=groups,dc=foo,dc=example,dc=com 。 我如何改变sssd（或我的OpenLDAP后端）的行为以允许跨域成员？ dn: cn=testgroup,ou=groups,dc=bar,dc=example,dc=com objectClass: groupOfNames objectClass: posixGroup cn: testgroup gidNumber: 54321 member: uid=alice,ou=users,dc=bar,dc=example,dc=com member: uid=bob,ou=users,dc=foo,dc=example,dc=com [sssd] config_file_version = 2 services = nss, pam, autofs domains = FOO.EXAMPLE.COM, BAR.EXAMPLE.COM [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 [autofs] [domain/FOO.EXAMPLE.COM] id_provider = ldap auth_provider = krb5 […]

所以，我认为我的LDAP工作是完美的，但今天我去login，并validation我，但它显示我是本地pipe理员帐户，甚至whoami这样说，我有本地用户帐户完全的根访问。 任何想法什么寻找？ 这是以甜甜圈login的输出，他不是本地用户，而是之前login的。 sysadmin@BASICTEMPLATE:~$ whoami sysadmin sysadmin@BASICTEMPLATE:~$ pwd /home/donut 并输出tail -f / var / log / auth作为甜甜圈login Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: Accepted publickey for donut from 192.168.1.210 port 50472 ssh2: RSA 9c:a7:b6:3c:a8:2d:96:21:e8:d2:47:cb:6f:8f:a0:91 Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: pam_unix(sshd:session): session opened for user donut by (uid=0) Oct 7 21:01:15 BASICTEMPLATE systemd-logind[471]: New session 4 of […]

我已经创build了这个自定义和非常基本的模式： objectclass ( 2.25.2.2.1 NAME 'myObjectClass' DESC 'myObjectClass objectclass' STRUCTURAL MUST ( cn ) ) 我已经添加了这个myObjectClass.ldif文件没有问题： dn: cn=myObjectClass,cn=schema,cn=config objectClass: olcSchemaConfig cn: myObjectClass olcObjectClasses: {0}( 2.25.2.2.1 NAME 'myObjectClass' DESC 'myObjectClass objectclass' STRUCTURAL MUST cn ) 使用ldapmodify： sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f myObjectClass.ldif 现在我试图用delete.ldif删除它： dn: cn=schema,cn=config changetype: modify delete: objectClass objectClass: 2.25.2.2.1 使用ldapmodify总是得到ldap_modify：服务器不愿意执行（53）： sudo ldapmodify […]

我有一个连接到LDAP的RedHat 7服务器，应该自动创build主文件夹。 根据RedHat的build议，我使用pam_oddjob_mkhomedir.so 。 如果用户从未login到系统，一切工作正常。 如果主文件夹已被删除，则会出现问题，它们被视为此系统上的暂存区域。 删除后主文件夹不会重新创build，用户欢迎使用 Could not chdir to home directory /home/users/username: No such file or directory 有人可以解释一下吗？ 更新：我发现SELinux正在造成这种情况。 如果SELinux处于宽容模式，一切正常。 我不想禁用SELinux，我将不胜感激在正确configuration它的任何帮助。 ANOTER更新： 在/var/log/audit/audit.log中find了一些相关的日志 type=AVC msg=audit(1493820202.276:178): avc: denied { add_name } for pid=2631 comm="mkhomedir" name="robot" scontext=system_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023 tcontext=system_u:object_r:nfs_t:s0 tclass=dir type=AVC msg=audit(1493820202.276:178): avc: denied { create } for pid=2631 comm="mkhomedir" name="robot" scontext=system_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023 tcontext=system_u:object_r:nfs_t:s0 tclass=dir type=AVC msg=audit(1493820202.276:179): […]

尽pipe设置了olcTLSProtocolMin: 3.1 ，但是我的CentOS7 OpenLDAP服务器只提供了TLS1.2。 我目前需要TLSv1.0来支持一个不能被replace的遗留应用程序。 如何在CentOS7下的OpenLDAP上使用TLSv1.0？ $ ldapsearch -b cn=config cn=config olcTLSCipherSuite olcTLSProtocolMin dn: cn=config olcTLSCipherSuite: HIGH:!3DES:!aNull:!MD5:@STRENGTH olcTLSProtocolMin: 3.1 $ nmap -Pn –script ssl-enum-ciphers -p 636 ldap.example.com Nmap scan report for ldap.example.com (198.51.100.1). Host is up (0.00068s latency). rDNS record for 198.51.100.1: ldap.example.com PORT STATE SERVICE 636/tcp open ldapssl | ssl-enum-ciphers: | TLSv1.2: | ciphers: […]

我正在尝试设置多主OpenLDAP（PoC）群集。 某处我创build了错误的configuration，现在slapd无法启动。 由于cn=config / olc config是CRC32标记的，它不会接受手动更改。 那么，如何在没有守护进程的情况下进行configuration更改呢？ 有slapadd ，但我需要修改，而不是添加…对不对？ 我觉得我可能会错过一些明显的东西。 如果重要，我认为olcModuleLoad和olcServerID中的一个或两个都是错误的。 在Ubuntu 16.04上运行openldap-2.4.42。 更新 我错误的编辑不被接受。 configuration被拒绝的原因不同（找不到serverID / URL匹配），校验和错误被logging，但不阻止守护进程启动。 我能够手动编辑/etc/ldap/slap.d/cn=config ldif文件并启动服务器。 （虽然我还没有得到多主复制工作。）

我正在search的方式实现自动添加一些属性和值（所有相同的）在用户的search响应，如果用户是组的成员（成员的覆盖被启用）。 例如：用户是uid=test,ou=users,dc=test,dc=local它具有操作属性 memberOf : cn=testgroup,ou=groups,dc=test,dc=local 如果我searchuid=test,ou=users,dc=test,dc=local ，则需要在结果对象属性列表中获取属性/值testattribute : testvalue 。 我发现dynamic列表覆盖可以实现类似的东西。 有谁知道如何执行它？