2016-05-06 12 views
0

Ich habe eine Abfrage über OpenLdap und importieren ein ldiff. Ich habe Openldap mit Windows ausgeführt.openldap: Unzureichender Zugriff

Mein slapd.conf:

database mdb 
suffix  "dc=aaa,dc=com" 
rootdn  "cn=Manager,dc=aaa,dc=com" 
# Cleartext passwords, especially for the rootdn, should 
# be avoid. See slappasswd(8) and slapd.conf(5) for details. 
# Use of strong authentication encouraged. 
rootpw secret 

# The database directory MUST exist prior to running slapd AND 
# should only be accessible by the slapd and slap tools. 
# Mode 700 recommended. 
directory ./data 
searchstack 20 
# Indices to maintain 
index mail pres,eq 
index objectclass pres 
index default eq,sub 
index sn eq,sub,subinitial 
index telephonenumber 
index cn 

Ich kann die meine Verbindung mit Apache Active Directory anzuzeigen.

Ich kann dc = aaa, dc = com sehen.

Ich versuche, eine LDIF-Datei zu importieren.

An der Spitze, es enthält:

dn: cn=ab3java,cn=schema,cn=config 
objectClass: olcSchemaConfig 
cn: ab3java 

Als ich

ldapmodify -a -x -D "cn=Manager,dc=aaa,dc=com" -w secret -H ldap:// -f ab3java.ldif 

betreibe ich die folgende Fehlermeldung erhalten:

adding new entry "cn=ab3java,cn=schema,cn=config" 
ldap_add: Insufficient access (50) 

Ich kann nicht cn = config in ldap Browser .

Bitte beraten. Wie bekomme ich den richtigen Zugang?

Grüße, B.

+0

Haben Sie auf diesen Beitrag hingewiesen? http://stackoverflow.com/questions/33647440/error-of-insufficient-access-when-binding-as-the-rootdn-rootpw – fenixan

Antwort

0

Was Sie tun möchten, nicht möglich ist, ohne dass der Server in der Online-Konfigurationsdatenbank zu migrieren. Ihr Server ist wahrscheinlich nicht für die Verwendung der Online-Konfigurationsdatenbank konfiguriert, da Sie sehen, wie Sie slapd.conf für die Konfiguration verwenden und nicht die Dateien unter /etc/openldap/slapd.d. Es ist möglich, sowohl slapd.d als auch slapd.conf zu verwenden, also müssen Sie das überprüfen. Wenn openldap nicht zur Verwendung der Online-Konfiguration konfiguriert ist, können Sie seine Konfiguration nicht ändern, während der Server läuft. Sie müssen /etc/openldap/slapd.conf bearbeiten und den Server neu starten.

Es ist möglich, mehrere Backend-Datenbanken in openldap mit jeweils eigenen Suffix und Zugriffskontrollen zu haben. Die Datenbank, für die Sie im obigen Beispiel Zugriffskontrollen definiert haben, ist die Datenbank, auf die im Folgenden zugegriffen werden kann: dc=aaa,dc=com. Die Datenbank, die Sie zu aktualisieren versuchen, hat das Suffix cn=config. Es ist die Datenbank, in der openldap seine eigene Konfiguration speichert (falls mit der Online-Konfigurationsoption konfiguriert). Die angegebenen Anmeldeinformationen stimmen nicht überein.

Im Allgemeinen wird empfohlen, die Online-Konfigurationsdatenbank zu verwenden, da dies eine überlegene Methode zum Ausführen von openldap ist. Weitere Informationen zur Datenbank cn=config finden Sie unter folgendem Link: http://www.zytrax.com/books/ldap/ch6/slapd-config.html. Dieses Buch enthält auch Informationen zur Migration von der statischen Konfiguration zur Online-Konfiguration.

In der Regel ist die Konfigurationsdatenbank openldap geschützt, so dass nur der Benutzer root auf dem Computer, auf dem der LDAP-Server ausgeführt wird, darauf zugreifen kann.

Sie können dies überprüfen, indem Sie die Konfigurationsdateien für openldap /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif betrachten. Es sollte eine Zeile ähnlich wie diese:

olcAccess: {0} 
    to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" 
    manage 
    by * none 

Das bedeutet, dass die einzige Person Zugriff auf die Konfigurationsdatenbank haben, wird der Root-Benutzer auf dem lokalen System sein. Sie können eine root-Benutzer-ID und ein root-Kennwort hinzufügen, aber das öffnet Ihren ldap-Server nur für Remote-Angriffe.