openldap：访问权限不足

Question

我对 OpenLdap 和导入 ldiff 有疑问。我有在 Windows 上运行的 Openldap。

我的 slapd.conf：

database    mdb
suffix      "dc=aaa,dc=com"
rootdn      "cn=Manager,dc=aaa,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw    secret

# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory ./data
searchstack 20
# Indices to maintain
index mail pres,eq
index objectclass pres
index default eq,sub
index sn eq,sub,subinitial
index telephonenumber
index cn

我可以使用 apache 活动目录查看我的连接。

我可以看到 dc=aaa,dc=com。

我正在尝试导入 ldif 文件。

在顶部，它包含：

dn: cn=ab3java,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: ab3java

当我跑步时

ldapmodify -a -x -D "cn=Manager,dc=aaa,dc=com" -w secret -H ldap:// -f ab3java.ldif

我收到以下错误：

adding new entry "cn=ab3java,cn=schema,cn=config"
ldap_add: Insufficient access (50)

我在 ldap 浏览器中看不到 cn=config。

请指教。我怎样才能获得正确的访问权限？

问候， B.

Answer 1

如果不将您的服务器迁移到在线配置数据库，您想要做的事情是不可能的。您的服务器可能未配置为使用在线配置数据库，查看您如何使用 slapd.conf 进行配置，而不是 /etc/openldap/slapd.d 下的文件。可以同时使用 slapd.d 和 slapd.conf，所以你需要检查一下。如果 openldap 未配置为使用在线配置，那么您无法在服务器运行时更​​改其配置。您需要编辑/etc/openldap/slapd.conf 并重新启动服务器。

在 openldap 中可以有多个后端数据库，每个都有自己的后缀和访问控制。您在上面的示例中定义了访问控制的数据库是下面可以访问的数据库是dc=aaa,dc=com。您尝试更新的数据库具有后缀cn=config。它是 openldap 存储自己配置的数据库（如果配置了在线配置选项）。所以提供的凭据将不匹配。

一般建议使用在线配置数据库，因为它是运行 openldap 的一种优越方法。有关cn=config 数据库的更多信息，请参阅此链接：http://www.zytrax.com/books/ldap/ch6/slapd-config.html。本书还包含有关如何从静态配置迁移到在线配置的信息。

通常情况下，openldap 配置数据库将受到保护，因此它只能由运行 ldap 服务器的机器上的 root 用户访问。

您可以通过查看 openldap /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif 的配置文件来检查这一点。应该有类似这样的一行：

olcAccess: {0} 
   to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
     manage 
   by * none

这意味着唯一可以访问配置数据库的人将是本地系统上的 root 用户。您可以添加 root 用户 ID 和密码，但这只会让您的 ldap 服务器受到远程攻击。