Zugriff auf cn=config beim openLDAP squeeze

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Benutzeravatar
stka
Beiträge: 69
Registriert: 18.06.2004 21:15:27
Kontaktdaten:

Zugriff auf cn=config beim openLDAP squeeze

Beitrag von stka » 14.02.2011 12:59:26

Hallo,

ich bin gerade dabei Squeeze zu testen zusammen mit openLDAP. Bei Squeeze wird ja der openLDAP (wie auch bei anderen Distributionen) jetzt gleich mit der online-Konfiguration installiert. Der Zugriff auf die hdb-Datenbank sprich die Benutzer und Gruppen klappt.
Was nicht funktioniert, ist die Anmeldung an der Datenbank cn=config um die Konfiguration des openLDAP zu ändern. Dort sollte das selbe Passwort Verwendung finden wie auch bei der hdb-Datenbank. Ist es aber nicht.
Im Verzeichnis /etc/ldap/slapd.d befindet sich in der Datei "/etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif" ein Eintrag für das Rootpw des Admins der hdb-Datenbank:
olcRootPW:: e1NTSEF9KzN4MzE4NWoxcDA2blhLeXhBRjRId0xudWpzM3QvTnQ=
Aber in der Datei olcDatabase={0}config.ldif fehlt das Passwort. Damit ist eine Anmeldung am cn=config nicht möglich, da die Anmeldung ohne Passwort vom LDAP-Server abgelehnt wird.

Ich habe jetzt als würgaround die Zeile "olcRootPW" aus der Datei "/etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif" in die Datei "/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif kopiert, dann den slapd neu gestartet. Dann klappt es auch mit der Anmeldung am cn=config mit dem Benutzer "cn=admin,cn=config".

Ich hoffe, dass hilft dem Einen oder Anderen beim Einrichten des openLDAP-Servers.

Ist das nun ein Bug, der gemeldet werden sollte, oder ein Funktion die das Denken anregen soll?
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/buch.html

Benutzeravatar
Six
Beiträge: 8046
Registriert: 21.12.2001 13:39:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Siegburg

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von Six » 14.02.2011 15:54:00

SOP ist, die Default-Installation zu löschen und sich eine vernünftige slapd.conf zu stricken, die man dann in den online-Modus überführt. Alternativ kannst du mit einer ldof-Datei ein Passwort setzen -- wenn der Zugriff mit MECH EXTERNAL denn zufällig mal funktioniert.

Aber eigentlich sollte man OpenLDAP unter Debian ganz lassen, das taugt einfach immer noch nix.
Be seeing you!

Benutzeravatar
stka
Beiträge: 69
Registriert: 18.06.2004 21:15:27
Kontaktdaten:

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von stka » 15.02.2011 11:51:23

Klar werde ich die Standard-Installation löschen und mit einer slapd.conf neu anfangen, aber es ist immer gut erst mal zu testen was wie sich die Standard-Installation verhält bevor man neu anfängt. Aber ich finde, man sollte andere auch auf solche Problem hinweisen, muss ja nicht gleich jeder drauf reinfallen ;-)

Mal schaun wie das mit GNUtls wird, ob einem das wieder dir Tränen in die Augen treibt.
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/buch.html

Benutzeravatar
Six
Beiträge: 8046
Registriert: 21.12.2001 13:39:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Siegburg

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von Six » 15.02.2011 11:53:36

stka hat geschrieben:Mal schaun wie das mit GNUtls wird, ob einem das wieder dir Tränen in die Augen treibt.
Meine ersten Tests waren nicht sonderlich vielversprechend...
Be seeing you!

dm210891
Beiträge: 4
Registriert: 31.03.2011 11:14:35

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von dm210891 » 31.03.2011 11:20:05

Moin,

was kann man denn als alternative einsetzen (welche distros) wo ldap produktiv laufen würde?


Würde mich doch mal sehr stark interessieren, habe mir nämlich auch schon einiges an Zeit um die Ohren geschlagen mit dem verfluchten ldap.
Aufgefallen ist mir erst bei der installation auf squeeze, das es aufeinmal ein Verzeichnis für die config gibt.
Wollte eigentlich ldap over TLS mit dem neuen server testen, und dazu aus dem alten ein paar daten zum testen migrieren.

LG

Benutzeravatar
stka
Beiträge: 69
Registriert: 18.06.2004 21:15:27
Kontaktdaten:

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von stka » 31.03.2011 11:51:37

LDAP unter Debian geht schon. Auch TLS geht. Du musst die config halt erst auf statisch umstellen. Das machst du in der /etc/default/slapd dort die /etc/ldap/slapd.conf eintragen und dann eine slapd.conf in Verzeichnis /etc/ldap erstellen. Bei mir auf der Webseite www.kania-online.de/buch.html findest du eine Beispiel slapd.conf mit der du arbeiten kannst. Das ist aber nur eine Grundkonfiguration ohne TLS und ohne weitere ACLs. Die sollte die aber schon weiterhelfen.
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/buch.html

Benutzeravatar
ThorstenS
Beiträge: 2874
Registriert: 24.04.2004 15:33:31

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von ThorstenS » 31.03.2011 15:17:11

Der Zugriff ist nicht erlaubt:
http://www.kania-online.de/download/slapd.conf

BTW: ein tolles Buch habt ihr da produziert!

Benutzeravatar
stka
Beiträge: 69
Registriert: 18.06.2004 21:15:27
Kontaktdaten:

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von stka » 31.03.2011 16:17:12

Danke für das Lob :oops: Das mit dem Link habe ich noch gar nicht gesehen. Ich packe dir die Datei mal hier rein. Den Link zu fixen schaffe ich erst am Wochenende. Werde ich dann aber auf jeden Fall machen ;-). Aber so kannst du schon mal auf die Datei zugreifen.

Code: Alles auswählen

# This is the main slapd configuration file. See slapd.conf for more
# info on the configuration options.

#######################################################################
# Global Directives:

# Features to permit
# allow bind_v2

# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema

# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile         /var/run/slapd/slapd.pid

# List of arguments that were passed to the server
argsfile        /var/run/slapd/slapd.args

# Read slapd.conf(5) for possible values
loglevel        256

# Where the dynamically loaded modules are stored
modulepath    /usr/lib/ldap
moduleload    back_hdb

# The maximum number of entries that is returned for a search operation
sizelimit 500

# The tool-threads parameter sets the actual amount of cpu's that is used
# for indexing.
tool-threads 1

#######################################################################
# Specific Backend Directives for hdb:
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
backend        hdb

#######################################################################
# Specific Backend Directives for 'other':
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
#backend        <other>
#database config
#######################################################################
# Specific Directives for database #1, of type hdb:
# Database specific directives apply to this databasse until another
# 'database' directive occurs
database        hdb

# The base of your directory in database #1
suffix          "dc=example,dc=net"

# rootdn directive for specifying a superuser on the database. This is needed
# for syncrepl.
rootdn          "cn=admin,dc=example,dc=net"
rootpw          "geheim"


# Where the database file are physically stored for database #1
directory       "/var/lib/ldap"

# The dbconfig settings are used to generate a DB_CONFIG file the first
# time slapd starts.  They do NOT override existing an existing DB_CONFIG
# file.  You should therefore change these settings in DB_CONFIG directly
# or remove DB_CONFIG and restart slapd for changes to take effect.

# For the Debian package we use 2MB as default but be sure to update this
# value if you have plenty of RAM
dbconfig set_cachesize 0 2097152 0

# Sven Hartge reported that he had to set this value incredibly high
# to get slapd running at all. See http://bugs.debian.org/303057 for more
# information.

# Number of objects that can be locked at the same time.
dbconfig set_lk_max_objects 1500
# Number of locks (both requested and granted)
dbconfig set_lk_max_locks 1500
# Number of lockers
dbconfig set_lk_max_lockers 1500

# Indexing options for database #1
index           objectClass eq

# Save the time that the entry gets modified, for database #1
lastmod         on

# Checkpoint the BerkeleyDB database periodically in case of system
# failure and to speed slapd shutdown.
checkpoint      512 30

# Where to store the replica logs for database #1
# replogfile    /var/lib/ldap/replog

# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
# acl specific for phamm

access to attrs=userPassword,shadowLastChange
        by dn="cn=admin,dc=example,dc=net" write
        by anonymous auth
        by self write
        by * none

access to *
        by dn="cn=admin,dc=example,dc=net" write
        by * read

access to dn.base="" by * read

# For Netscape Roaming support, each user gets a roaming
# profile for which they have write access to
#access to dn=".*,ou=Roaming,o=morsnet"
#        by dn="cn=admin,dc=yourdomain,dc=tld" write
#        by dnattr=owner write

#######################################################################
# Specific Directives for database #2, of type 'other' (can be hdb too):
# Database specific directives apply to this databasse until another
# 'database' directive occurs
#database        <other>

# The base of your directory for database #2
#suffix        "dc=debian,dc=org"
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/buch.html

dm210891
Beiträge: 4
Registriert: 31.03.2011 11:14:35

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von dm210891 » 31.03.2011 17:36:32

ThorstenS hat geschrieben:Der Zugriff ist nicht erlaubt:
http://www.kania-online.de/download/slapd.conf

BTW: ein tolles Buch habt ihr da produziert!

Also ich konnte es runterladen :D :D :D

Benutzeravatar
Six
Beiträge: 8046
Registriert: 21.12.2001 13:39:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Siegburg

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von Six » 31.03.2011 23:19:23

stka hat geschrieben:LDAP unter Debian geht schon. Auch TLS geht.
OpenLDAP mit allen möglichen Features ist kein Problem, außer, tja, TLS. Nach meiner Erfahrung muss man entweder ganz auf TLS verzichten oder sich eigene Pakete mit OpenSSL-Unterstützung bauen. Alles andere hat zumindest bei mir und meinem Umfeld nur zu gerauften Haaren geführt. Ich wäre also für jeden Tip dankbar ;)
Be seeing you!

Benutzeravatar
stka
Beiträge: 69
Registriert: 18.06.2004 21:15:27
Kontaktdaten:

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von stka » 01.04.2011 08:33:34

Hi Six,

bei mir läuft TLS ohne Probleme ich erstelle die Zertifikate mit CA.pl und binde die ganz normal ein. Auf der Webseite zu meinem Buch findest du noch den alten Workshop von mir zum Thema Samba + LDAP. Im Workshop arbeite ich mit Debian Lenny und binde dort auch TLS ein. Den Workshop kannst du dort als PDF runterladen. Schau dir das doch einfach mal an.
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/buch.html

Benutzeravatar
Six
Beiträge: 8046
Registriert: 21.12.2001 13:39:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Siegburg

Re: Zugriff auf cn=config beim openLDAP squeeze

Beitrag von Six » 01.04.2011 11:18:16

Ich gucke es mir mal an!
Be seeing you!

Antworten