2011/2/8 Mauro <mrsan...@gmail.com>: > 2011/2/8 Francesco Malvezzi <francesco.malve...@unimore.it>: >>> faccio un ldapmodify -x -D cn=admin,dc=example,dc=com -f file.ldif -W >>> >>> e mi dice insufficient access. >>> Beh visto che il primo ldapadd funziona non dovrebbe essere un >>> problema di password ne di utente admin. >>> Perche' mi dice allora che i privilegi non sono sufficenti nel secondo caso? >> >> e' super semplice. >> >> Ci sono (almeno) due database: >> cn=config >> dc=test,dc=it (o quel che e' il tuo db) >> >> Ogni amministratore deve risiedere nello scope del suo db. Ad esempio: >> >> cn=admin,dc=test,dc=it e' un amministratore valido per il secondo >> database ma non per il primo. >> >> cn=admin,dc=prova,dc=it non e' valido ne' per il primo ne' per il secondo. >> >> Per convenzione nella documentazione l'amministratore del db cn=config >> si chiama cn=config (chissa' perche'?). >> >> Lo ldif che ti avevo mandato deve essere inserito nel db cn=config, >> perche' modifica una configurazione. Quindi devi usare come principal >> quello del cn=config. Come si chiami lo vedi dal file: >> slapd.d/cn=config/olcDatabase={0}config.ldif >> >> Se non sai quale password abbia (spero che nessuno mi senta mento dico >> questa porcata), fermi slapd, editi a mano con vim il file >> slapd.d/cn=config/olcDatabase={0}config.ldif e metti in olcRootPW la tua >> password calcolata con slappasswd (anche non in base64). > > La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif: > > dn: olcDatabase={0}config > objectClass: olcDatabaseConfig > olcDatabase: {0}config > olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external > ,cn=auth manage by * break > olcRootDN: cn=admin,cn=config > structuralObjectClass: olcDatabaseConfig > entryUUID: 77f34cc4-c750-102f-9352-c5ef794c3d63 > creatorsName: cn=config > createTimestamp: 20110207215340Z > entryCSN: 20110207215340.414543Z#000000#000#000000 > modifiersName: cn=config > modifyTimestamp: 20110207215340Z
Ho usato il seguente comando : ldapadd -Y external -H ldapi:/// -f syncrepl.ldif ed ho risolto. Adesso sono riuscito a configurare il consumer. In lan ho un provider, 192.168.4.7 ed un consumer, 192.168.4.248, la replica sembra funzionare. C'e' un ulteriore passo da fare. Devo replicare anche verso server che si trova in dmz. Cosi' come funziona synrepl non e' piu il master che manda le informazione verso lo slave ma e' lo slave che contatta il master per avere notizie su eventuali aggiornamenti, scusate se l'ho detto il parole molto elementari. Essendo il terzo pc in dmz non vorrei aprire un passaggio da dmz verso la lan cosi' avevo deciso di simulare il comportamento di slurpd facendo il modo che il consumer in lan mandi gli aggiornamenti al server in dmz. Tale consumer deve essere quindi anche un proxy e lo avevo configurato in questo modo: # Consumer Proxy that pulls in data via Syncrepl and pushes out via # slapd-ldap ###################################################################### database ldap # ignore conflicts with other databases, as we need to push out to same suffix hidden on suffix "dc=comune,dc=example,dc=com" rootdn "cn=admin,dc=example,dc=com" uri ldap://172.16.4.5 lastmod on restrict all acl-bind bindmethod=simple binddn="cn=replicant,dc=example,dc=com" credentials=xxx syncrepl rid=002 provider=ldap://localhost:389 type=refreshAndPersist retry="60 10 300 +" searchbase="ddc=example,dc=com" searchbase="dc=example,dc=com" bindmethod=simple binddn="cn=replicant,dc=example,dc=com" credentials=xxx overlay syncprov Avevo quindi configurato un secondo database replica del primo, sullo stesso server slapd da utilizzare per mandare gli aggiornamenti al server in dmz. Intanto non sono sicuro che sia effettivamente necessario configurare questo secondo database. Ma in base alla nuova configurazione di slapd come riporto tutto questo? Il file olcDatabase={1}hdb,cn=config credo si riferisca ad un database, devo ricrearne uno identico con indice 2?
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap