Нет, «ты» не должен. По умолчанию только rootdn "cn = config" (если он определен) сможет читать из cn = config DSE.
$ sudo ldapsearch -H ldapi:/// -Y external -b cn=config olcrootdn=* olcrootdn olcaccess
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
# extended LDIF
#
# LDAPv3
# base <cn=config> with scope subtree
# filter: olcrootdn=*
# requesting: olcrootdn olcaccess
#
# {0}config, config
dn: olcDatabase={0}config,cn=config
olcAccess: {0}to * by * none
olcRootDN: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
Обычно в вашей установке OpenLDAP есть как минимум два дерева:
Обычно cn = config не читается ни для одной учетной записи DIT (по очевидным причинам, хм?). Итак, для доступа к cn = config вы обычно используете выделенную учетную запись, которая определяется атрибутом базы данных olcRootDN (в моем случае «cn = admin, cn = config»). Однако в некоторых дистрибутивах эта учетная запись может не существовать или для нее не установлен начальный пароль.
Чтобы изменить это, выполните следующие действия:
sudo slappasswd
sudo ldapmodify -Y EXTERNAL -H ldapi: ///
dn: olcDatabase = {0} config, cn = config
changetype: изменить
заменить: olcRootDN
olcRootDN: cn = admin, cn = config
\ -
добавить: olcRootPW
olcRootPW: <зашифрованный пароль>
РЕДАКТИРОВАТЬ: Оставьте обратную косую черту перед тире; Я добавил его только для форматирования.