Dritter Tag

Ok, Feiertag, guter Anlass weiter an ldap rumzuspielen. 

Kurzer Zwischenstand. 

ldapsearch -x -W -D 'cn=admin,dc=chii,dc=homedns,dc=org' '*'

geht und zeigt mir den kompletten ldap tree. OK

ldapsearch -x -D 'uid=dominik,ou=People,dc=chii,dc=homedns,dc=org' -W

Zumindest die AUTH klappt mit dem Passwort für dominik das im ldap steht aber Result 0. 

Hmmm keine Ahnung ob das ok :-D

Logging für slapd

olcLogLevel auf 256 in /etc/ldap/slapd.d/cn=config.ldif gesetzt und slapd restarted. 

rsyslog geadded: Anscheined printed sonst slapd das auf LOCAL4

local4.* /var/log/ldap.log

rsyslog restart. 

Soooo, logging klappt. 

Noch spezifischer:

ldapsearch -h localhost -p 389 -x -D "uid=dominik,ou=People,dc=chii,dc=homedns,dc=org" -b "uid=dominik,ou=People,dc=chii,dc=homedns,dc=org" -W

AUTH klappt und result ist weiter 0.

Sollte ich nicht mindestens meinen eigenen Eintrag lesen können ? Ich glaube da stimmt was nicht an den ACLs.

ldapmodify will als cn=admin,dc=config mein Passwort nicht.

/etc/ldap/cn=config/olcDatabase={0}config.ldif RootPW fehlt.

Hinzugefügt. 

ACLs anschauen:

ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase=hdb olcAccess
Enter LDAP Password:
dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword,shadowLastChange,krbPrincipalKey by dn="cn
=admin,dc=chii,dc=homedns,dc=org " write by anonymous auth by self write by *
none

Ok, in deutsch: Admin darf userPassword schreiben, anonymous darf authen und der user selbst darf passwort schreiben. 

Sonst gibts keine Regeln. 

Bischen radikal find ich. Sowas wie nonanonymous dürfen zumindest ou=People uid, mail und anders nicht sicherheitskritisches lesen.