2011/2/8 Mauro <mrsan...@gmail.com>:
> 2011/2/8 Francesco Malvezzi <francesco.malve...@unimore.it>:
>>> faccio un ldapmodify -x -D cn=admin,dc=example,dc=com -f file.ldif -W
>>>
>>> e mi dice insufficient access.
>>> Beh visto che il primo ldapadd funziona non dovrebbe essere un
>>> problema di password ne di utente admin.
>>> Perche' mi dice allora che i privilegi non sono sufficenti nel secondo caso?
>>
>> e' super semplice.
>>
>> Ci sono (almeno) due database:
>> cn=config
>> dc=test,dc=it (o quel che e' il tuo db)
>>
>> Ogni amministratore deve risiedere nello scope del suo db. Ad esempio:
>>
>> cn=admin,dc=test,dc=it e' un amministratore valido per il secondo
>> database ma non per il primo.
>>
>> cn=admin,dc=prova,dc=it non e' valido ne' per il primo ne' per il secondo.
>>
>> Per convenzione nella documentazione l'amministratore del db cn=config
>> si chiama cn=config (chissa' perche'?).
>>
>> Lo ldif che ti avevo mandato deve essere inserito nel db cn=config,
>> perche' modifica una configurazione. Quindi devi usare come principal
>> quello del cn=config. Come si chiami lo vedi dal file:
>> slapd.d/cn=config/olcDatabase={0}config.ldif
>>
>> Se non sai quale password abbia (spero che nessuno mi senta mento dico
>> questa porcata), fermi slapd, editi a mano con vim il file
>> slapd.d/cn=config/olcDatabase={0}config.ldif e metti in olcRootPW la tua
>> password calcolata con slappasswd (anche non in base64).
>
> La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif:
>
> dn: olcDatabase={0}config
> objectClass: olcDatabaseConfig
> olcDatabase: {0}config
> olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
> ,cn=auth manage by * break
> olcRootDN: cn=admin,cn=config
> structuralObjectClass: olcDatabaseConfig
> entryUUID: 77f34cc4-c750-102f-9352-c5ef794c3d63
> creatorsName: cn=config
> createTimestamp: 20110207215340Z
> entryCSN: 20110207215340.414543Z#000000#000#000000
> modifiersName: cn=config
> modifyTimestamp: 20110207215340Z
Ho usato il seguente comando :
ldapadd -Y external -H ldapi:/// -f syncrepl.ldif
ed ho risolto.
Adesso sono riuscito a configurare il consumer.
In lan ho un provider, 192.168.4.7 ed un consumer, 192.168.4.248, la
replica sembra funzionare.
C'e' un ulteriore passo da fare.
Devo replicare anche verso server che si trova in dmz.
Cosi' come funziona synrepl non e' piu il master che manda le
informazione verso lo slave ma e' lo slave che contatta il master per
avere notizie su eventuali aggiornamenti, scusate se l'ho detto il
parole molto elementari.
Essendo il terzo pc in dmz non vorrei aprire un passaggio da dmz verso
la lan cosi' avevo deciso di simulare il comportamento di slurpd
facendo il modo che il consumer in lan mandi gli aggiornamenti al
server in dmz.
Tale consumer deve essere quindi anche un proxy e lo avevo configurato
in questo modo:
# Consumer Proxy that pulls in data via Syncrepl and pushes out via
# slapd-ldap
######################################################################
database ldap
# ignore conflicts with other databases, as we need to push out to same suffix
hidden on
suffix "dc=comune,dc=example,dc=com"
rootdn "cn=admin,dc=example,dc=com"
uri ldap://172.16.4.5
lastmod on
restrict all
acl-bind bindmethod=simple
binddn="cn=replicant,dc=example,dc=com"
credentials=xxx
syncrepl rid=002
provider=ldap://localhost:389
type=refreshAndPersist
retry="60 10 300 +"
searchbase="ddc=example,dc=com"
searchbase="dc=example,dc=com"
bindmethod=simple
binddn="cn=replicant,dc=example,dc=com"
credentials=xxx
overlay syncprov
Avevo quindi configurato un secondo database replica del primo, sullo
stesso server slapd da utilizzare per mandare gli aggiornamenti al
server in dmz.
Intanto non sono sicuro che sia effettivamente necessario configurare
questo secondo database.
Ma in base alla nuova configurazione di slapd come riporto tutto questo?
Il file olcDatabase={1}hdb,cn=config credo si riferisca ad un
database, devo ricrearne uno identico con indice 2?
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
