когда я использую
ldapsearch -LLLZZ -H ldap://centos7s.domen.lan -x
Я вывожу все:
dn: dc=domen,dc=lan
objectClass: domain
dc: domen
o: domen.lan organization
description: The Domen Company
dn: ou=users,dc=domen,dc=lan
ou: users
objectClass: top
objectClass: organizationalUnit
dn: ou=groups,dc=domen,dc=lan
ou: groups
objectClass: top
objectClass: organizationalUnit
dn: uid=ldapuser1,ou=users,dc=domen,dc=lan
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1
mail: ldapuser1@domen.lan
objectClass: person
objectClass: organizationalPerson....
но с
ldapsearch -ZZWD cn=manager,dc=domen,dc=lan -b cn=config -h centos7s.domen.lan
Я ничего не получаю:
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <cn=config> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# search result
search: 3
result: 32 No such object
# numResponses: 1
Что я делал неправильно? То, каково различие с этим, ищет?
В оригинале я имею:
ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config '(olcAccess=*)' olcAccess olcSuffix
-
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcDatabase={0}config,cn=config
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external
,cn=auth" manage by * none
dn: olcDatabase={1}monitor,cn=config
olcAccess: {0}to * by
dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external
,cn=auth" read by dn.base="cn=manager,dc=domen,dc=lan" read by * none
Теперь, после изменения:
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcDatabase={0}config,cn=config
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external
,cn=auth" manage by * none
dn: olcDatabase={1}monitor,cn=config
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external
,cn=auth" read by dn.base="cn=manager,dc=domen,dc=lan" read by * none
dn: olcDatabase={2}hdb,cn=config
olcSuffix: dc=domen,dc=lan
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=manager,dc=do
men,dc=lan" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=manager,dc=domen,dc=lan" write by * read
Тем не менее тот же результат как выше, второй ldapsearch
возвраты ничто.
Эти два поиска имеют разные базы поиска. Для получения дополнительной информации проверьте свои ACL.
Все, что я знаю наверняка, это то, что:
анонимный
имеет некоторый доступ к поддереву dc = domen, dc = lan
. cn = manager, dc = domen, dc = lan
не имеет доступа к поддереву cn = config
.