我在使用代理授权进行更新时遇到了一些麻烦。我使用UnboundID的LDAP SDK连接到OpenLDAP的,并发送ProxiedAuthorizationV2RequestControl为dn: uid=me,dc=People,dc=example,dc=com与更新。我已经测试并验证目标用户有权执行操作,但我得到
访问权限不足
当我尝试通过代理身份验证执行此操作时。
我已经配置olcAuthzPolicy=both在cn=config与authzTo={0}ldap:///dc=people,dc=example,dc=com??subordinate?(objectClass=inetOrgPerson)原始用户。authzTo 似乎正在工作;当我改变它时,我得到
无权冒充身份
当我尝试更新时(也用于搜索)。
我ldapwhoami -U portal -Y DIGEST-MD5 -X u:mace -H ldap://yorktown -Z现在可以在没有 saslauthd 的情况下工作。我只需要将代理用户(门户)的密码存储为纯文本。但是当我尝试更新任何内容时,我仍然遇到“访问权限不足”的问题。
dn: uid=portal,ou=Special Accounts,dc=example,dc=com
objectClass: inetOrgPerson
cn: portal
sn: portal
uid: portal
userPassword: test
authzTo: {0}ldap:///dc=People,dc=example,dc=com??sub?(objectClass=inetOrgPerson)
dn: employeeNumber=1400,dc=People,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: sambaSamAccount
objectClass: shadowAccount
uid: mace
...
下面是从更新登录尝试,尝试添加employeeNumber=1385作为member的cn=Data Management。它似乎正确地查看了嵌套的组,但是一旦它在cn=administrators.
op tag 0x66, time 1299022001
conn=31595 op=2 …