Vittore Zen wrote:
Scusate l'insistenza ma non riesco a capire dove sbaglio. Mi sono
letto il man riferito ad idassert-bind e riletto il slapd-meta(5)
Ricapitolo TUTTI i passi:
1. creato un account su AD (ldap-proxy) con diritti amministrativi (è
la copia dell'utente Administrator del dominio AD)
2. Se digito (quindi interrogando direttamente ldap di MS AD):
ldapsearch -h srv1.domA.mydom.it -x -D
"cn=ldap-proxy,cn=Users,dc=domA,dc=mydom,dc=it" -w SECRET-pass -b
"dc=domA,dc=mydom,dc=it" -LLL
ottengo correttamente il browsing del dominio AD
3. installato openLDAP
4. configurato come segue slapd.conf
database meta
suffix dc=domA,dc=mydom,dc=it
uri ldap://srv1.domA.mydom.it/dc=srv1,dc=domA,dc=mydom,dc=it
idassert-bind bindmethod=simple
binddn="cn=ldap-proxy,cn=Users,dc=srv1,dc=domA,dc=mydom,dc=it"
credentials="SECRET-pass"
Il binddn indicato qui e' diverso da quello che usi con ldapsearch.
Se digito:
ldapsearch -h localhost -x -D
"cn=ldap-proxy,cn=Users,dc=domA,dc=mydom,dc=it" -w SECRET-pass -b
"dc=domA,dc=mydom,dc=it" -LLL
Ottengo:
ldap_bind: Invalid credentials (49)
Il debug di slapd -d 4 è il seguente:
connection_get(9)
=> ldap_bv2dn(cn=ldap-proxy,cn=Users,dc=domA,dc=mydom,dc=it,0)
<= ldap_bv2dn(cn=ldap-proxy,cn=Users,dc=domA,dc=mydom,dc=it)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(cn=ldap-proxy,cn=Users,dc=domA,dc=mydom,dc=it)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(cn=ldap-proxy,cn=users,dc=domA,dc=mydom,dc=it)=0
conn=0 op=0 meta_back_bind: dn="cn=ldap-proxy,cn=Users,dc=domA,dc=mydom,dc=it".
conn=0 op=0 meta_back_bind: no target for dn
"cn=ldap-proxy,cn=Users,dc=domA,dc=mydom,dc=it" (32. No suitable
candidate target found).
send_ldap_result: err=49 matched="" text=""
connection_get(9)
Il problema e' chiaramente indicato nel log: la tua configurazione non
e' in grado di trovare un target adatto al DN
"cn=ldap-proxy,cn=Users,dc=domA,dc=mydom,dc=it", perche' l'unico target
definito ha come suffisso "dc=srv1,dc=domA,dc=mydom,dc=it" (la perte DN
dell'URI), e il DN "cn=ldap-proxy,cn=Users,dc=domA,dc=mydom,dc=it" non
sta sotto questo suffisso, mentre sta sotto il suffix del proxy. Quindi
questo DN appartiene al naming context del proxy, ma e' sconosciuto, e
la risposta corretta in questo caso e' "credenziali invalide".
Ciao, p.
Ing. Pierangelo Masarati
OpenLDAP Core Team
SysNet s.r.l.
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
---------------------------------------
Office: +39 02 23998309
Mobile: +39 333 4963172
Email: [EMAIL PROTECTED]
---------------------------------------
_______________________________________________
OpenLDAP mailing list
OpenLDAP@sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap