Правка cn=config через phpldapadmin

cn=config отдельная база. Ей так же надо прописывать

olcRootDn
olcRootPw

olcAccess: {0} to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
by dn.base="cn=admin,dc=rfc,dc=local" manage
by * none

Jessie:

# ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcAccess
olcAccess: to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
,cn=auth manage by dn.base=cn=admin,dc=rfc,dc=local manage by * break

EOF

$ ldapsearch -LLLxD cn=admin,dc=rfc,dc=local -w 'pass' -b cn=config

:)

mos, Ivan_qrt
Спасибо за ответы

Ага, то-есть таки надо дополнительно прописать права для доступа. Правда, не совсем понятно, запись:

by dn.base=«gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth» manage

ведь дает локальному руту права на редактирование? Эта запись исключительно для утилит типа ldapmodify?

А команда

ldapmodify -Y EXTERNAL -H ldapi:/// ...

Выдает:

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0
ldapmodify: invalid format (line 5) entry: «olcDatabase={0}config,cn=config»

Попробуй dn: olcDatabase={0}config

Без cn=config. Я не совсем понимаю взаимоотношения cn=config и описаний БД, но у меня в cn=config/olcDatabase={0}config.ldif dn такой.

Пробовал и так - нет. Теперь ругается на

ldapmodify: invalid format (line 5) entry: «olcDatabase={0}config»

Да и должно быть, судя по этой схеме именно olcDatabase={0}config,cn=config

Весь ldif выложи.

olcDatabase={0}config.ldif

# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 0043065d
dn: olcDatabase={0}config
objectClass: olcDatabaseConfig
olcDatabase: {0}config
olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=extern
 al,cn=auth manage by * break
olcRootDN: cn=admin,cn=config
structuralObjectClass: olcDatabaseConfig
entryUUID: 201ab204-7632-1034-9f56-0d12560d915e
creatorsName: cn=config
createTimestamp: 20150413140712Z
entryCSN: 20150413140712.301684Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20150413140712Z

У меня работает так:

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcAccess
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
 by dn.base="cn=admin,dc=rfc,dc=local" manage by * none

Ерунда какая-то:

ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcAccess
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
 by dn.base="cn=admin,dc=rfc,dc=local" manage by * none
EOF

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
	additional info: <olcAccess> handler exited with 1

Что-то криво установилось, похоже. Завтра на чистой сборке попробую.

Спасибо за помощь.

http://serverfault.com/questions/490638/ldap-modify-other-e-g-implementation-...

У меня чуть другая строка olcAccess, я её копипастил. Не учёл пробелы, а они важны.

ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcAccess
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
  by dn.base="cn=admin,dc=rfc,dc=local" manage by * none
EOF

ведь дает локальному руту права на редактирование? Эта запись исключительно для утилит типа ldapmodify?

это у тебя и так есть. к ACL *добавляется* указание разрешить управление базой cn=config «манагеру» собственно дерева.

Выдает:

а это была домашка. номер строки указан же. в начале следующей должен быть пробел. ты же начитался документации...

короче тут как обычно рашн-бистро-админ. в аглицкий не умеем, доки читаем иногда, если что-то не фурычит. и то не те и не так.

mos

[off-topic]

Спасибо за помощь, но вот «наезжать», пожалуй, не стоит. Я просто пытаюсь полноценно разобраться и свои мозаичные знания как-то упорядочить, свести воедино ну в очень сжатые сроки. И о своих непонятках спрашиваю знающих людей.

Если я что-то упустил, не заметил, не дочитал, ступил - наверное не стоит пинать и диагнозы ставить, а лучше подскажите, натолкните, исправьте. Мануальным терапевтом быть несложно...

[/off-topic]

Ivan_qrt

Спасибо, увидел, где была ошибка.

Установил openldap на новой машине, выполнил

ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcAccess
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
  by dn.base="cn=admin,dc=rfc,dc=local" manage by * none
EOF

ldapsearch -LLLxD cn=admin,dc=rfc,dc=local -w 'password'-b cn=config

тоже все норм: выдал «внутренности» cn=config, там прописало как положено olcRootDN, olcRootPW, olcAccess.

Но тем не менее, логин через phpldapadmin c cn=admin,cn=config не пускает. Пробовал и cn=admin,dc=rfc,dc=local,cn=config , и cn=admin,cn=config,dc=rfc,dc=local - в ответ лишь

Invalid credentials (49) for user

olcDatabase={0}config.ldif

dn: olcDatabase={0}config
objectClass: olcDatabaseConfig
olcDatabase: {0}config
olcRootDN: cn=admin,cn=config
structuralObjectClass: olcDatabaseConfig
entryUUID: 70a86242-76e2-1034-8f7c-59dc562dbfdc
creatorsName: cn=config
createTimestamp: 20150414110918Z
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external
 ,cn=auth" manage by dn.base="cn=admin,dc=rfc,dc=local" manage by * none
entryCSN: 20150414111018.765423Z#000000#000#000000
modifiersName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
modifyTimestamp: 20150414111018Z

Так, здесь написано, что phpldapadmin не поддерживает cn=configи cn=monitor. Виндовый LdapAdmin тоже не хочет коннкетиться. Попробуем что другое...

Установил ldap account manager - успешно зашло с cn=admin,cn=config

Еще раз спасибо за помощь.