那些遇到过的问题

如何将一组 olcAccess 属性正确插入到 OpenLDAP 数据库的配置中?

kos*_*tix -1 openldap access-control-list

我需要为我的数据库添加一堆 ACL,但很难为它编写正确的 LDIF。不幸的是,ldapmodify它的无用错误消息不是很有帮助:

modifying entry "olcDatabase={1}mdb,cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)
         additional info: <olcAccess> handler exited with 1
Run Code Online (Sandbox Code Playgroud)

我目前对我的 MDB 数据库有以下非常基本的配置(它是由 Debian 包配置器为slapd包创建的,版本 2.4.40):

# {1}mdb, config
dn: olcDatabase={1}mdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {1}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=domain,dc=lan
olcAccess: {0}to attrs=userPassword,shadowLastChange
   by self write
   by anonymous auth
   by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by * read
# ... and more
Run Code Online (Sandbox Code Playgroud)

由于我将数据库设置为用作 SAMBA 的身份验证后端,因此数据库架构已更新为包含特定于 SAMBA 的类型和属性,现在我想相应地收紧数据库上的 ACL。

我想要完成的事情可以这样说:

  • sambaLMPasswordsambaNTPasswordSAMBA特定的属性(在的条目中获得posixAccount类)只要是可读/可修改的由它们各自的所有者(self即)。
  • dn=sambaAdmin,dc=domain,dc=lan已创建一个特殊用户,并指定由 SAMBA 本身使用并smbldap-tools管理数据库中特定于 SAMBA 的用户。它应该被授予对 DIT 中一组特定于 SAMBA 的 OU 的完全访问权限。

我希望我的 ACL 条目插入规则之间{0}{1}当前配置中。

为了实现上面概述的内容,我准备了以下 LDIF 文件,我正在尝试使用该文件ldapmodify并收到上述错误。

# {1}mdb, config
dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {1}to dn.subtree="ou=Users,dc=domain,dc=lan"
   attrs=sambaLMPassword,sambaNTPassword
   by self write
   by dn=sambaAdmin,dc=domain,dc=lan write
   by anonymous auth
   by * none
olcAccess: {2}to dn.subtree="ou=Computers,dc=domain,dc=lan"
   attrs=sambaLMPassword,sambaNTPassword
   by self write
   by dn=sambaAdmin,dc=domain,dc=lan write
   by anonymous auth
   by * none
 olcAccess: {3}to dn.subtree="ou=Users,dc=domain,dc=lan"
   by dn=sambaAdmin,dc=domain,dc=lan write
 olcAccess: {4}to dn.subtree="ou=Groups,dc=domain,dc=lan"
   by dn=sambaAdmin,dc=domain,dc=lan write
 olcAccess: {5}to dn.subtree="ou=Computers,dc=domain,dc=lan"
   by dn=sambaAdmin,dc=domain,dc=lan write
 olcAccess: {6}to dn.subtree="ou=Idmap,dc=domain,dc=lan"
   by dn=sambaAdmin,dc=domain,dc=lan write
 olcAccess: {7}to dn=sambaDomainName=MYSERVER,dc=domain,dc=lan
   by dn=sambaAdmin,dc=domain,dc=lan write
Run Code Online (Sandbox Code Playgroud)

不幸的是,LDIF 通过了语法检查 ( ldapmodify -n -v <path/to/file.ldif),错误消息确实无济于事。

无论如何请帮我修复我的 LDIF 以被接受slapd?或者向我解释一种配置它的方法(或者ldapmodify可能是?)更详细地说明这个错误的真正原因?

小智 5

ldapmodify 就文件的有效性向您撒谎。如果您使用您创建的 LDIF 文件并运行

ldapmodify -v -n -f <path/to/file.ldif>
Run Code Online (Sandbox Code Playgroud)

输出如下所示:

add olcAccess:
    {1}to dn.subtree="ou=Users,dc=domain,dc=lan" attrs=sambaLMPassword,sambaNTPassword  by self write  by dn=sambaAdmin,dc=domain,dc=lan write  by anonymous auth  by * none
    {2}to dn.subtree="ou=Computers,dc=domain,dc=lan"  attrs=sambaLMPassword,sambaNTPassword  by self write  by dn=sambaAdmin,dc=domain,dc=lan write  by anonymous auth  by * noneolcAccess: {3}to dn.subtree="ou=Users,dc=domain,dc=lan"  by dn=sambaAdmin,dc=domain,dc=lan writeolcAccess: {4}to dn.subtree="ou=Groups,dc=domain,dc=lan"  by dn=sambaAdmin,dc=domain,dc=lan writeolcAccess: {5}to dn.subtree="ou=Computers,dc=domain,dc=lan"  by dn=sambaAdmin,dc=domain,dc=lan writeolcAccess: {6}to dn.subtree="ou=Idmap,dc=domain,dc=lan"  by dn=sambaAdmin,dc=domain,dc=lan writeolcAccess: {7}to dn=sambaDomainName=MYSERVER,dc=domain,dc=lan  by dn=sambaAdmin,dc=domain,dc=lan write
!modifying entry "olcDatabase={1}mdb,cn=config"
Run Code Online (Sandbox Code Playgroud)

请注意所有 ACL 是如何卡在一起的?这是因为每个条目之间没有“-”。出于某种原因,当您在试运行模式下使用“-n”开关运行该文件时,ldapmodify 会传递该文件,但在您实际尝试实现它时会失败。您应该将 LDIF 文件更改为如下所示:

 dn: olcDatabase={1}mdb,cn=config
 add: olcAccess
 olcAccess: {0}to attrs=userPassword,shadowLastChange by self write
 by anonymous auth
 by * none
 -
 add: olcAccess
 olcAccess: {1}to dn.subtree="ou=Users,dc=domain,dc=lan"
 attrs=sambaLMPassword,sambaNTPassword by self write by
 dn="cn=sambaAdmin,dc=domain,dc=lan" write by anonymous auth by * none
 -
 add: olcAccess
 olcAccess: {2}to dn.subtree="ou=Computers,dc=domain,dc=lan"
 attrs=sambaLMPassword,sambaNTPassword by self write by 
 dn=sambaAdmin,dc=domain,dc=lan write by anonymous auth by * none
 -
 add: olcAccess
 olcAccess: {3}to dn.subtree="ou=Users,dc=domain,dc=lan" by
 dn=sambaAdmin,dc=domain,dc=lan write
 -
 add: olcAccess
 olcAccess: {4}to dn.subtree="ou=Groups,dc=domain,dc=lan" by 
 dn=sambaAdmin,dc=domain,dc=lan write
 -
 add: olcAccess
 olcAccess: {5}to dn.subtree="ou=Computers,dc=domain,dc=lan" by   
 dn=sambaAdmin,dc=domain,dc=lan write
 -
 add: olcAccess
 olcAccess: {6}to dn.subtree="ou=Idmap,dc=domain,dc=lan" by
 dn=sambaAdmin,dc=domain,dc=lan write
 -
 add: olcAccess
 olcAccess: {7}to dn=sambaDomainName=MYSERVER,dc=domain,dc=lan by
 dn=sambaAdmin,dc=domain,dc=lan write
 -
 add: olcAccess
 olcAccess: {8}to dn.base="" by * read
 -
Run Code Online (Sandbox Code Playgroud)

代码格式具有欺骗性,但您希望将每个 ACL 定义放在从第 0 列开始的一行中,您希望用“-”分隔每个条目,并且您希望确保 ACL 定义没有末尾的空格或 ldapmodify 将加密字符串。

如果您使用 vi/vim 进行编辑,请使用 :set list 命令显示回车等标点符号并删除它们,并确保行尾没有任何空格。完成此操作后,输出

ldapmodify -v -n -f <path/to/file.ldif>
Run Code Online (Sandbox Code Playgroud)

看起来像这样:

add olcAccess:
    {0}to attrs=userPassword,shadowLastChange by self write by anonymous auth by * none
add olcAccess:
    {1}to dn.subtree="ou=Users,dc=domain,dc=lan"
attrs=sambaLMPassword,sambaNTPassword by self write by
dn="cn=sambaAdmin,dc=domain,dc=lan" write by anonymous auth by * none
add olcAccess:
    {2}to dn.subtree="ou=Computers,dc=domain,dc=lan"
attrs=sambaLMPassword,sambaNTPassword by self write by    
dn=sambaAdmin,dc=domain,dc=lan write by anonymous auth by * none
add olcAccess:
    {3}to dn.subtree="ou=Users,dc=domain,dc=lan" by
dn=sambaAdmin,dc=domain,dc=lan write
add olcAccess:
    {4}to dn.subtree="ou=Groups,dc=domain,dc=lan" by   
dn=sambaAdmin,dc=domain,dc=lan write
add olcAccess:
    {5}to dn.subtree="ou=Computers,dc=domain,dc=lan" by
dn=sambaAdmin,dc=domain,dc=lan write
add olcAccess:
    {6}to dn.subtree="ou=Idmap,dc=domain,dc=lan" by
dn=sambaAdmin,dc=domain,dc=lan write
add olcAccess:
    {7}to dn=sambaDomainName=MYSERVER,dc=domain,dc=lan by
dn=sambaAdmin,dc=domain,dc=lan write
add olcAccess:
    {8}to dn.base="" by * read
!modifying entry "olcDatabase={1}mdb,cn=config"
Run Code Online (Sandbox Code Playgroud)

我注意到的另一个问题是您使用了“修改”关键字,如果您向 LDAP 架构添加新条目或删除不需要使用修改的条目,则修改仅在您修改现有条目时使用。我发现像这样修改一组 ACL 的最简单方法是在我的 LDAP 服务器上打开几个窗口,准备我的新 ACL,使用 -n 开关使用 ldapmodify 测试它们,然后在每个窗口中 su 到 root ,删除现有的 ACL,然后添加新的 ACL。您可以使用如下所示的 LDIF 文件删除所有现有 ACL:

# {1}mdb, config
dn: olcDatabase={1}mdb,cn=config
delete: olcAccess
Run Code Online (Sandbox Code Playgroud)

然后运行 ​​ldapmodify

ldapmodify -Y EXTERNAL -H ldapi:/// -f <path/to/acl_delete_file.ldif>
Run Code Online (Sandbox Code Playgroud)

删除它们。运行 ldapmodify 后运行

slapcat -n 0
Run Code Online (Sandbox Code Playgroud)

验证 ACL 是否已被删除,然后运行

ldapmodify -Y EXTERNAL -H ldapi:/// -f <path/to/new_acl_file.ldif>
Run Code Online (Sandbox Code Playgroud)

添加新的 ACL,然后运行

slapcat -n 0
Run Code Online (Sandbox Code Playgroud)

再次验证它们是否就位。

小智 5

另一个更简单的答案是使用 ldapvi 命令来编辑 olcAccess 条目:

ldapvi -h ldapi:// -Y EXTERNAL -b cn=config
Run Code Online (Sandbox Code Playgroud)

它将所有 cn=config 转储到 VIM 中,让您在闲暇时编辑它,然后在您保存和退出时为您找出 LDIF。我刚刚添加了另一个 olcAccess: 属性,对现有属性重新编号,并且它无缝地工作。

归档时间:

查看次数:

16484 次

最近记录:

6 年,10 月 前
相关归档
使用 LDAP 代理进行 Active Directory 身份验证 10
通过主机名代理 TCP 9
从 OpenLDAP 检索操作属性 6
如何判断 CentOS 上是否安装了 OpenLDAP,并测试它是否正常工作? 6
改进了 Windows 文件权限的 ACL 编辑器 6
如何配置 Exim 以丢弃备用 SMTP 端口上的未经身份验证的连接? 5
使用 ACL 在 Linux 中处理文件权限 2
如何读取 slapd 的 Berkeley DB 日志文件? 2
在 OpenLDAP 中找不到 cn=config 的用户? 2
在 Linux 中的 nfs 挂载上没有 acl? 2
难疑归档
如何在 Linux 上以普通用户身份在端口 80 上运行服务器? 365
我应该停止使用 Ifconfig 吗? 185
为从 nginx 提供的静态内容设置过期标头 112
为什么 MX 记录不能指向 IP 地址? 94
当源文件不存在时,如何让“cp”命令不触发错误? 84
在文件系统中存储一百万张图像 80
如何完全记录所有 bash 脚本操作? 77
如何使用 rsync 保留完整路径? 73
如何让scp复制隐藏文件? 71
试图在 Route53 中创建 2 个记录集类型=TXT 53