OpenLDAP ACLs не работает

Question

OpenLDAP ACLs не работает

Первые вещи сначала, я в настоящее время работаю с OpenLDAP: slapd 2.4.36 на выпуске 19 Fedora (CAT Schrödinger).

Я имею, просто устанавливают openldap с конфеткой, и моя конфигурация является следующей:

##### OpenLDAP Default configuration #####
#
##### OpenLDAP CORE CONFIGURATION #####
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema

pidfile         /var/lib/ldap/slapd.pid

loglevel trace

##### Default Schema #####

database mdb
directory /var/lib/ldap/
maxsize 1073741824

suffix "dc=domain,dc=tld"
rootdn "cn=root,dc=domain,dc=tld"
rootpw {SSHA}SECRETP@SSWORD


##### Default ACL #####
access to attrs=userpassword
        by self write
        by group.exact="cn=administrators,ou=builtin,ou=groups,dc=domain,dc=tld" write
        by anonymous auth
        by * none

Я запускаю свое использование услуг OpenLDAP:

/usr/sbin/slapd -u ldap -h ldapi:/// ldap:/// -f /etc/openldap/slapd.conf

Поскольку Вы видите, что это - довольно простой ACL, которые имеют целью предоставлять доступ к userPassword, приписывают определенной группе, только для чтения, затем чтению владельца, и пишут в анонимного автора требования и отказывают в доступе всем остальным.

Проблема: Даже с помощью действительного пользователя с правильным паролем мой ldapsearch заканчивается нулевой информацией, полученной из каталога, плюс у меня есть странный ответ на строке результата.

# search result
search: 2
result: 32 No such object

# numResponses: 1

вот запрос ldapsearch:

ldapsearch -H ldap.domain.tld -W -b dc=domain,dc=tld -s sub -D cn=user,ou=service,ou=employees,ou=users,dc=domain,dc=tld

Я не указывал фильтра, поскольку я хочу проверить, что ldapsearch правильно печатает только позволенный атрибут.

@SvW здесь - то, что я поставил свой slapd.conf согласно Вашему exemple и Документации OpenLDAP:

Я отредактировал свой slapd.conf со следующими правилами ACLs, устраняющими group.exact для более легкой отладки:

access to *
    by self read
    by anonymous auth
    by * none

access to attrs=userpassword
    by self write
    by anonymous auth
    by * none

но еще раз, я сталкиваюсь

32 Никаких Таких объектных ошибки

когда я пробую следующий ldapsearches:

 ldapsearch -W -s sub -D cn=user,ou=service,ou=employees,ou=users,dc=domain,dc=tld -b dc=domain,dc=tld userpassword=*

или без фильтра:

 ldapsearch -W -s sub -D cn=user,ou=service,ou=employees,ou=users,dc=domain,dc=tld -b dc=domain,dc=tld

0

linux fedora openldap

задан Michael Hampton 1 March 2018 в 23:35

Ссылка

2 ответа


         
              



      
        Теги
        
         linux fedora openldap       

        Похожие вопросы
        
          
                          993 
 Как я могу отсортировать du-h произведенный размером - 29 October 2016 04:01 
                            586 
 scp может скопировать каталоги рекурсивно? - 10 July 2018 18:19 
                            435 
 Каково различие между двойными и единственными квадратными скобками в ударе? - 10 August 2009 00:11 
                            423 
 Что точно делает цвета в htop средних строках состояния? - 8 September 2014 22:03 
                            364 
 Кто-либо еще испытывающий высокие показатели сервера Linux разрушает во время прыжка второй день? - 4 July 2012 00:09 
                            316 
 Как выполнить сервер на порте 80 как обычный пользователь на Linux? - 14 August 2019 17:35 
                            313 
 Какие полномочия мои файлы/папки веб-сайта должны иметь на веб-сервере Linux? - 18 December 2013 21:41 
                            261 
 Как связать сервер MySQL больше чем с одним IP-адресом? - 24 February 2018 01:37 
                            261 
 Могу я nohup/screen уже запущенный процесс? - 12 June 2009 03:14 
                            252 
 Я могу автоматически добавить новый хост known_hosts? - 2 September 2015 00:40 
                            235 
 Показ общего прогресса rsync: действительно ли это возможно? - 5 January 2011 17:26 
                            233 
 Копирование большого дерева каталогов локально? CP или rsync? - 30 October 2014 16:15 
                            232 
 Переменные среды рабочего процесса на Unix? - 22 February 2016 22:22 
                            228 
 Почему мой crontab не работает, и как я могу диагностировать его? - 17 March 2017 09:55 
                            225 
 Перемещение уже рабочего процесса для Экранирования - 19 August 2009 04:48

score -1 · Answer 1 · 5 December 2019 в 18:48

Попробуйте с

access to attrs=userPassword

вместо вашего предыдущего

access to attrs=userpassword

-1

ответ дан 5 December 2019 в 18:48

Ссылка

score 0 · Answer 2 · 5 December 2019 в 18:48

Firefox, как известно, строго проверяет всю цепочку сертификатов, и, скорее всего, вы неправильно указали все сертификаты в цепочке. Недавно у меня была похожая проблема с Firefox и SSL сертификатом Comodo на Lighttpd, и проблема заключалась в том, что я не перечислил цепочку в ssl.ca-файле корректно.

Согласно RFC 2246, сертификат отправителя должен прийти первым, и каждый последующий сертификат должен непосредственно сертифицировать предыдущий. В итоге я получил четыре сертификата в цепочке вплоть до корня CA.

certificate_list. Это последовательность (цепочка) сертификатов X.509v3. Сертификаты отправителя сертификат должен быть первым в списке. Каждый следующий сертификат должен непосредственно свидетельствовать о том, что он предшествует ему. Потому что проверка сертификата требует распространения корневых ключей самостоятельно, самоподписанный сертификат, в котором указана корневой центр сертификации по желанию может быть исключен из цепь, при условии, что удаленный конец уже должен быть Для проверки попробуйте добавить
access to * by * read
после первой записи ACL.

Это всё равно должно ограничить пользовательское пароль , но явно позволит вам прочитать все остальные поля (я считаю, что OpenLDAP добавляет неявно в * на * ни одного , в противном случае, смотрите раздел 8.3.4 документации -).
Редактирование: Ограничивает ли оно поле пароля? Это не совсем понятно из Вашего комментария. Если нет, запомните ответ @Janne и проверьте правильность написания userPassword. Если он работает, то вам придется начать с него добавлять ограничения. Следующее не протестировано, но должно сработать (это может быть слишком ограничительным). access to * by self read by group.exact="cn=administrators,ou=builtin,ou=groups,dc=domain,dc=tld" write by * none