【发布时间】:2022-01-16 23:30:10
【问题描述】:
在我们的 ldap 数据库突然无缘无故损坏后,我不得不恢复一个较旧的数据库。这似乎奏效了,我可以使用 LDAP 资源管理器客户端访问、浏览甚至更新 LDAP 中的条目。甚至可以匿名浏览条目。
但是,尝试根据 LDAP 对用户进行身份验证的应用程序现在失败并显示 LDAP: error code 50 - Insufficient Access Rights
我可以使用 ldapwhoami 重现该问题:
$ ldapwhoami -vvv -h ldap.localnet -D
'uid=username,cn=users,dc=unimatrix1,dc=localnet' -x -W
ldap_initialize( ldap://ldap.localnet )
Enter LDAP Password:
ldap_bind: Insufficient access (50)
对新添加的用户尝试此操作时,我得到了相同的结果。所以我假设 ACL 丢失或错误,但是,我没有对它们进行任何更改,并且 ldif 文件仍然可以追溯到 3 年前。
如何为 LDAP 中的所有用户重新建立身份验证?
它是 macOS Sierra (OpenLDAP-523.30.2) 上的开放目录,以防万一。
附录
/etc/openldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif中有最后一个条目
olcAccess: {22}to * by set.exact="user/uid & [cn=admin,cn=groups,dc=unimatrix
1,dc=localnet]/memberUid" write by dn.base="uid=_ldap_replicator,cn=users,dc
=unimatrix1,dc=sssnet" write by sockurl.exact="ldapi://%2Fvar%2Frun%2Fldapi"
write by * read
我想我应该以某种方式在by * read 之前添加by anonymous auth?
还有这个条目我不确定是否会影响身份验证?
olcAccess: {14}to dn.one="cn=computers,dc=unimatrix1,dc=localnet" attrs=entry
,apple-realname,cn,description,macAddress,authAuthority,userPassword by set.
exact="user/uid & [cn=admin,cn=groups,dc=unimatrix1,dc=localnet]/memberUid" w
rite by sockurl.exact="ldapi://%2Fvar%2Frun%2Fldapi" write by dnattr=creato
rsName write by * read
更新
我刚刚发现,使用 ApacheDirectoryStudio,我可以使用“CRAM-MD5 (SASL)”进行身份验证,但如果我选择“简单身份验证”,则会收到错误 50。我能够像这样使用 ldapwhoami 进行验证:
$ ldapwhoami -vvv -h ldap.localnet -U username -W
ldap_initialize( ldap://ldap.localnet )
Enter LDAP Password:
SASL/SRP authentication started
SASL username: username
SASL SSF: 256
SASL data security layer installed.
dn:uid=username,cn=users,dc=unimatrix1,dc=localnet
Result: Success (0)
所以现在在我看来,LDAP 曾经允许简单身份验证,但在我恢复数据库时不知何故丢失了此配置。我什至不知道这是在哪里以及如何配置的?
【问题讨论】:
标签: authentication ldap openldap