ldapmodify parancs

Ubuntu Linux

sziasztok

titkosítás végett az alábbi fájl szeretném a működő LDAP törzsemhez hozzáadni:

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key_pem
-
add: olcTLSCRLCheck
olcTLSCRLCheck: none
-
add: olcTLSVerifyClient
olcTLSVerifyClient: never

két paranccsal probálokoztam

ldapmodify -Y EXTERNAL -H ldapi:/// -f /ldap/ssl/ssl_mod.ldif
erre ezt dobta:

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Insufficient access (50)

ldapmodify -c -D "cn=admin,dc=cash-global,dc=com" -w "jelszó" -f /etc/ldap/ssl_mod.ldif

erre ezt dobta:
modifying entry "cn=config"
ldap_modify: Insufficient access (50)

kérdéseim:
-mivel az utolsó sor aggaszt és nem sikerült bánthatta annyira a DIT-et, hogy újra kell raknom?
-mivel lehetne hozzáadni, rendesen, hogyan paraméterezzem?
-az ldif fájban kellenek e a sorok közé a - jel, sok leírásban úgy van? megjygyzem anélkül sem megy, mivel rossz a parancs.

előre is köszönöm a válaszokat.

üdvözlettel

  • 1368 megtekintés

( Zsugabubus | 2011. 08. 02., k – 14:25 )

Ó még mindig? :)


Before converting to the cn=config format you should make sure that the config backend is properly configured in your existing config file. While the config backend is always present inside slapd, by default it is only accessible by its rootDN, and there are no default credentials assigned so unless you explicitly configure a means to authenticate to it, it will be unusable.

Valószínű hiányzik a rootdn, rootpw a cn=config backendből, vagy valami ACL, ami megengedné, hogy írj oda.
Workaround: openldap leállít, /etc/openldap/slapd.d/cn=config -ba beleírni kézzel.

Hát pont azt mondom, hogy azért nem tudod, mert nincs user, aki LDAP-on keresztül tudná írni a cn=config-ot. Úgyhogy muszáj a jó öreg vi/(na jó, lehet mcedit is) szövegszerkesztővel beleírni kézzel. Utána mehet az ldapmodify.
De holnapra amúgy pont fel fogok tenni egy ubuntut, megnézem, hogy gyárilag mi van benne! Konkrétumot azért nem tudok írni, mert még sose használtam ezt a dynamic config backendet.
Tippem az lenne, hogy az /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif fájlba be kell hegeszteni egy rootdn és egy rootpw sort, majd ldapmodifynál ezt a usert és jelszót kéne használni utána az ldapmodify-al.

Ja, és a - jelek kellenek az ldif fájlba :)

A TLS beállítások közvetlen a cn=config alá mennek, globális dolog. A rootdn meg a rootpw meg az olcDatabase={0}config,cn=config egy-egy attributuma kell hogy legyen, hogy a cn=config fát ezzel tudd írni.
De ha már ezzel jól megszopattad magad, a régimódi slapd.conf helyett, akkor ne add fel :)

drága tanfolyáson persze mindent elmondanak, mit hogyan migráljunk, replikáljunk, sambázzunk,
csak a legalapabb dolgot nem, hogy egy kurva limux kliensekből és szerverből álló hálózatban, titkosítottan szabályozzak jogosultságokat apró megosztásokon, lehet, hogy túl egyszerű azért nem beszélnek róla?

köszönöm az eddigi segítségedet

üdv