Re: [OpenLDAP] insufficien access ma perche'?
2011/2/8 Mauro :
> 2011/2/8 Francesco Malvezzi :
>>> faccio un ldapmodify -x -D cn=admin,dc=example,dc=com -f file.ldif -W
>>>
>>> e mi dice insufficient access.
>>> Beh visto che il primo ldapadd funziona non dovrebbe essere un
>>> problema di password ne di utente admin.
>>> Perche' mi dice allora che i privilegi non sono sufficenti nel secondo caso?
>>
>> e' super semplice.
>>
>> Ci sono (almeno) due database:
>> cn=config
>> dc=test,dc=it (o quel che e' il tuo db)
>>
>> Ogni amministratore deve risiedere nello scope del suo db. Ad esempio:
>>
>> cn=admin,dc=test,dc=it e' un amministratore valido per il secondo
>> database ma non per il primo.
>>
>> cn=admin,dc=prova,dc=it non e' valido ne' per il primo ne' per il secondo.
>>
>> Per convenzione nella documentazione l'amministratore del db cn=config
>> si chiama cn=config (chissa' perche'?).
>>
>> Lo ldif che ti avevo mandato deve essere inserito nel db cn=config,
>> perche' modifica una configurazione. Quindi devi usare come principal
>> quello del cn=config. Come si chiami lo vedi dal file:
>> slapd.d/cn=config/olcDatabase={0}config.ldif
>>
>> Se non sai quale password abbia (spero che nessuno mi senta mento dico
>> questa porcata), fermi slapd, editi a mano con vim il file
>> slapd.d/cn=config/olcDatabase={0}config.ldif e metti in olcRootPW la tua
>> password calcolata con slappasswd (anche non in base64).
>
> La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif:
>
> dn: olcDatabase={0}config
> objectClass: olcDatabaseConfig
> olcDatabase: {0}config
> olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
> ,cn=auth manage by * break
> olcRootDN: cn=admin,cn=config
> structuralObjectClass: olcDatabaseConfig
> entryUUID: 77f34cc4-c750-102f-9352-c5ef794c3d63
> creatorsName: cn=config
> createTimestamp: 20110207215340Z
> entryCSN: 20110207215340.414543Z#00#000#00
> modifiersName: cn=config
> modifyTimestamp: 20110207215340Z
Ho usato il seguente comando :
ldapadd -Y external -H ldapi:/// -f syncrepl.ldif
ed ho risolto.
Adesso sono riuscito a configurare il consumer.
In lan ho un provider, 192.168.4.7 ed un consumer, 192.168.4.248, la
replica sembra funzionare.
C'e' un ulteriore passo da fare.
Devo replicare anche verso server che si trova in dmz.
Cosi' come funziona synrepl non e' piu il master che manda le
informazione verso lo slave ma e' lo slave che contatta il master per
avere notizie su eventuali aggiornamenti, scusate se l'ho detto il
parole molto elementari.
Essendo il terzo pc in dmz non vorrei aprire un passaggio da dmz verso
la lan cosi' avevo deciso di simulare il comportamento di slurpd
facendo il modo che il consumer in lan mandi gli aggiornamenti al
server in dmz.
Tale consumer deve essere quindi anche un proxy e lo avevo configurato
in questo modo:
# Consumer Proxy that pulls in data via Syncrepl and pushes out via
# slapd-ldap
##
databaseldap
# ignore conflicts with other databases, as we need to push out to same suffix
hidden on
suffix "dc=comune,dc=example,dc=com"
rootdn "cn=admin,dc=example,dc=com"
uri ldap://172.16.4.5
lastmod on
restrictall
acl-bindbindmethod=simple
binddn="cn=replicant,dc=example,dc=com"
credentials=xxx
syncreplrid=002
provider=ldap://localhost:389
type=refreshAndPersist
retry="60 10 300 +"
searchbase="ddc=example,dc=com"
searchbase="dc=example,dc=com"
bindmethod=simple
binddn="cn=replicant,dc=example,dc=com"
credentials=xxx
overlay syncprov
Avevo quindi configurato un secondo database replica del primo, sullo
stesso server slapd da utilizzare per mandare gli aggiornamenti al
server in dmz.
Intanto non sono sicuro che sia effettivamente necessario configurare
questo secondo database.
Ma in base alla nuova configurazione di slapd come riporto tutto questo?
Il file olcDatabase={1}hdb,cn=config credo si riferisca ad un
database, devo ricrearne uno identico con indice 2?
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] insufficien access ma perche'?
>
> La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif:
La puoi aggiungere a mano (magari fai una copia del file), mi raccomando
a slapd fermo.
>
> dn: olcDatabase={0}config
> objectClass: olcDatabaseConfig
> olcDatabase: {0}config
> olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
> ,cn=auth manage by * break
Hai visto che togo? Sembra che un utente con autenticazione external con
uidnumber=0 (cioe' root) abbia manage (che e' piu' di write, mi sembra).
Ecco spiegato perche' ha funzionato lo ldapadd degli schemi con lo
switch -Y (che vuol dire autenticazione external): eri forse root quando
lo hai lanciato?
Forse non ha bisogno di aggiungere la olcRootPW, allora, ma usare lo
stesso comando,
ciao,
Francesco
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] insufficien access ma perche'?
2011/2/8 Francesco Malvezzi :
>>
>> La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif:
>
> La puoi aggiungere a mano (magari fai una copia del file), mi raccomando
> a slapd fermo.
>
>>
>> dn: olcDatabase={0}config
>> objectClass: olcDatabaseConfig
>> olcDatabase: {0}config
>> olcAccess: {0}to * by
>> dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
>> ,cn=auth manage by * break
>
> Hai visto che togo? Sembra che un utente con autenticazione external con
> uidnumber=0 (cioe' root) abbia manage (che e' piu' di write, mi sembra).
>
> Ecco spiegato perche' ha funzionato lo ldapadd degli schemi con lo
> switch -Y (che vuol dire autenticazione external): eri forse root quando
> lo hai lanciato?
>
Si l'ho lanciato da root.
> Forse non ha bisogno di aggiungere la olcRootPW, allora, ma usare lo
> stesso comando,
Si infatti la olcRootPW non l'aggiungo, lascio tutto com'e'.
>
> ciao,
>
> Francesco
>
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
[OpenLDAP] un aiuto per configurare un consumer proxy con cn=config.
So di essere pedante ma avrei bisogno di aiuto per far funzionare un
consumer che fa da proxy, sto cercando di trovare info in rete ma non
c'e' molto su come fare utilizzando la nuova configurazione di
openLDAP 2.4 e ho necessita' di far funzionare il proxy in tempi brevi
purtroppo.
Ho 3 server, due in lan e uno in dmz.
I due in lan sono un provider, 192.168.4.7 e un consumer, 192.168.4.248.
Grazie al vostro aiuto sono riuscito a far funzionare la replica
utilizzando la nuova configuazione cn=config.
C'e' un terzo server in dmz che, ovviamente non puo' aprire una
connessione verso un server in lan, cosi' ho pensato di far funzionare
da proxy il consumer 102.168.4.248, in modo da mandare gli
aggiornamenti al server in dmz.
La configurazione col vecchio formato, slapd.conf, era:
databaseldap
# ignore conflicts with other databases, as we need to push out to same suffix
hidden on
suffix "dc=comune,dc=cagliari,dc=it"
rootdn "cn=admin,dc=comune,dc=cagliari,dc=it"
uri ldap://192.168.4.5
lastmod on
# we don't need any access to this DSA
restrictall
acl-bindbindmethod=simple
binddn="cn=replicant,dc=comune,dc=cagliari,dc=it"
credentials=40M12SEN
syncreplrid=002
provider=ldap://localhost:389
type=refreshAndPersist
retry="60 10 300 +"
searchbase="dc=comune,dc=cagliari,dc=it"
searchbase="dc=comune,dc=cagliari,dc=it"
bindmethod=simple
binddn="cn=replicant,dc=comune,dc=cagliari,dc=it"
credentials=40M12SEN
overlay syncprov
Non riesco a riportarla nel formato cn=config.
Finora l'unica cosa che sono riuscto a fare e' aggiungere il modulo back_ldap.
Ho creato un file modulo.ldif nel quale ho messo:
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: {0}back_ldap
e ho lanciato ldapadd -Y external -H ldapi:/// -f module.ldif.
Questa e' l'unica cosa che mi e' riuscita ma mi manca tutto il resto.
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] quale modulo devo indicare?
Ciao,
Dai un occhiata al ".la". Dovresti notare che e' un file di testo che
contiene tutte le info sugli altri file ".so".
Usando la conf "vecchio stile" io caricavo sempre solo il .la e quindi mi
aspetto che sia analogo anche con il nuovo stile.
M.
2011/2/8 Mauro
> Devo caricare i moduli syncprov e back_ldap.
> Nella directory dove sono contenuti i vari moduli vedo:
>
> back_ldap-2.4.so.2
> back_ldap-2.4.so.2.5.6
> back_ldap.la
> back_ldap.so
>
> syncprov-2.4.so.2
> syncprov-2.4.so.2.5.6
> syncprov.la
> syncprov.so
>
> io ho semplicemente indicato:
>
> dn: cn=module{0},cn=config
> changetype: modify
> add: olcModuleLoad
> olcModuleLoad: syncprov
> -
> add: olcModuleLoad
> olcModuleLoad: back_ldap
>
> e' corretto o devo indicare anche l'estensione e se devo indicare
> l'estensione e' .so o .la?
>
> ___
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap
>
>
--
_
Non è forte chi non cade, ma chi cadendo ha la forza di rialzarsi.
Jim Morrison
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] un aiuto per configurare un consumer proxy con cn=config.
[...] La configurazione col vecchio formato, slapd.conf, era: databaseldap # ignore conflicts with other databases, as we need to push out to same suffix hidden on suffix "dc=comune,dc=cagliari,dc=it" rootdn "cn=admin,dc=comune,dc=cagliari,dc=it" uri ldap://192.168.4.5 lastmod on # we don't need any access to this DSA restrictall acl-bindbindmethod=simple binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" credentials=40M12SEN syncreplrid=002 provider=ldap://localhost:389 type=refreshAndPersist retry="60 10 300 +" searchbase="dc=comune,dc=cagliari,dc=it" searchbase="dc=comune,dc=cagliari,dc=it" bindmethod=simple binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" credentials=40M12SEN overlay syncprov Non riesco a riportarla nel formato cn=config. proverei con il trucco dello slaptest. Scrivi lo slapd.conf che desideri in una qualche cartella, poi lanci: sudo slaptest -f ./slapd.conf -F ./slapd.d slaptest ti trasforma lo slapd.conf alla vecchia maniera in uno slapd.d. Da li' prendi ispirazione per scrivere gli ldif da inserire, ciao, Francesco ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] quale modulo devo indicare?
2011/2/8 Marco Pizzoli : > Ciao, > Dai un occhiata al ".la". Dovresti notare che e' un file di testo che > contiene tutte le info sugli altri file ".so". > Usando la conf "vecchio stile" io caricavo sempre solo il .la e quindi mi > aspetto che sia analogo anche con il nuovo stile. > Grazie, piano piano e con fatica sto cercando di riportare la vecchia configurazione nella nuova cn=config. ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
[OpenLDAP] quale modulo devo indicare?
Devo caricare i moduli syncprov e back_ldap.
Nella directory dove sono contenuti i vari moduli vedo:
back_ldap-2.4.so.2
back_ldap-2.4.so.2.5.6
back_ldap.la
back_ldap.so
syncprov-2.4.so.2
syncprov-2.4.so.2.5.6
syncprov.la
syncprov.so
io ho semplicemente indicato:
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: syncprov
-
add: olcModuleLoad
olcModuleLoad: back_ldap
e' corretto o devo indicare anche l'estensione e se devo indicare
l'estensione e' .so o .la?
___
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] un aiuto per configurare un consumer proxy con cn=config.
2011/2/8 Francesco Malvezzi : > [...] > La configurazione col vecchio formato, slapd.conf, era: >> >> database ldap >> # ignore conflicts with other databases, as we need to push out to same >> suffix >> hidden on >> suffix "dc=comune,dc=cagliari,dc=it" >> rootdn "cn=admin,dc=comune,dc=cagliari,dc=it" >> uri ldap://192.168.4.5 >> >> lastmod on >> >> # we don't need any access to this DSA >> restrict all >> >> acl-bind bindmethod=simple >> binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" >> credentials=40M12SEN >> >> syncrepl rid=002 >> provider=ldap://localhost:389 >> type=refreshAndPersist >> retry="60 10 300 +" >> searchbase="dc=comune,dc=cagliari,dc=it" >> searchbase="dc=comune,dc=cagliari,dc=it" >> bindmethod=simple >> binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" >> credentials=40M12SEN >> >> overlay syncprov >> >> Non riesco a riportarla nel formato cn=config. > > proverei con il trucco dello slaptest. > > Scrivi lo slapd.conf che desideri in una qualche cartella, poi lanci: > sudo slaptest -f ./slapd.conf -F ./slapd.d > > slaptest ti trasforma lo slapd.conf alla vecchia maniera in uno slapd.d. Da > li' prendi ispirazione per scrivere gli ldif da inserire, Si e' quello che sto facendo, ci avrei potuto pensare prima ma sono entrato in panico visto che il database non funzionava dopo che mi e' stata cambiata la configurazione da sotto i piedi, ora piano piano le cose si stanno chiarendo per fortuna :-) ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
