ldapsearch ничего не произведет без-D rootdn
Необходимо выполнить аутентификацию, и olcAccess для конфигурирования авторизации. В простых словах, slapd все еще требует, чтобы Вы доказали, кто Вы (пройдите проверку подлинности, который на сленге LDAP называют, "связывают" по некоторой странной причине) прежде, чем позволить Вам считывать данные.
Это нормально. Если Вы не хотите предоставлять-D и-w каждый раз, используйте соответствующий, связывают* опции в ldap.conf, который расположен в различных местах в различных нельдах. Google говорит относительно Ubuntu 10.04, которая это
/etc/ldap/ldap.conf
-
1kubanczyk, спасибо за Ваш ответ. То, что я задался вопросом, было этим, почему мой другой openldap сервер (на Mac OS X) не потребовал привязки. Причина могла состоять в том, что у меня есть некоторые olcAccess операторы в cn=config сервера человечности, в то время как в другом openldap сервере у меня нет записи 'доступа' в slapd.conf. – 31 October 2010 в 21:52
Попытайтесь посмотреть в файле журнала slapd, в большей части случая отвечают на "wtf, продолжается?" есть ли. Считывать анонимного пользователя данных также должно смочь считать корневой DSE и "cn=Subschema". Соответствующие записи похожи на это:
access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
Эти записи должны быть помещены в глобальную конфигурацию, не в бэкенд.
P.S.: rootdn всегда имеют доступ для записи к бэкенду, таким образом, Вы не должны указывать его в ACLs
-Drootdn -w rootpw
- D/-w используется для привязки dn, затем ища дерево LDAP как аутентифицируемого пользователя. Удостоверьтесь, что Вашему OpenLDAP разрешают анонимную привязку.
При использовании slapd.conf для конфигурации сервера можно использовать эту установку в slapd.conf:
allow bind_anon_cred
И ниже установки используется для отключения анонимной привязки:
disallow bind_anon
Кроме того, ниже установки не будет работать вообще:
olcAccess: to * by dn="cn=Manager,dc=a,dc=b" write by * read
Поскольку корень dn всегда имеет ВСЕ полномочия, включая чтение, записать.