我正在尝试设置我的第一个 LDAP 服务器。尽管一切似乎都正常,但我无法让客户端使用它进行身份验证。我怀疑 ACL 可能是问题所在,因为我无法使用官方 ubuntu 指南提供的命令看到 ACL:
ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase=hdb olcAccess
但我可以看到他们使用这个命令:
sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config '(olcDatabase={1}hdb)' olcAccess
第二条命令显示 ACL 中的第一个条目使用dc=nodomain:
dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=nodomain" write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by self write by dn="cn=admin,dc=nodomain" write by * read
这是问题吗?我该如何修复它?我找不到一种方法来编辑 ACL,除非完全更改使用安装dpkg。
答案1
如果您有一个没有真实主机名的测试系统(如ldap.example.org)并将其命名为ldap,则Debian(?)/Ubuntu(我猜您使用)上 OpenLDAP 的默认配置将假定一个具有名称的 LDAP 树dc=nodomain并创建适当的 ACL 规则。
实际上,最好的方法是设置一个完整的 FQDN 并让它dpkg --reconfigure slapd工作。它会破坏一切,但最终你会得到一个有效的 LDAP 树和一个管理员用户,如cn=admin,dc=example,dc=org。