PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP-Anmeldung mit anderem Benutzer als rootdn



hubsif
02.05.2007, 10:33
Hallo miteinander!

Ich habe folgendes Problem (auch mit google) bisher nicht lösen können:
Ich habe erfolgreich einen LDAP-Server aufgesetzt, der soweit funktioniert. Jetzt möchte ich Dienste einrichten, die sich nicht mit der "rootdn", sondern einem eigens dafür eingerichteten Benutzer anmelden sollen.

Ich habe die verschiedensten Sachen versucht, z.B. mit phpldapadmin ein "Simple Security Object" angelegt (mit den Klassen "SimpleSecurityObject" und "account") und ein Passwort vergeben, kann mich allerdings nicht als der Benutzer am LDAP anmelden.

Ich konnte leider diesbezüglich kaum etwas im Internet finden, könnt ihr mir sagen, wie man einen LDAP-Benutzer einrichtet?
Gibt es evtl. noch eine Option, die ich freischalten muss, um mich als nicht-root anmelden zu können (anonymous funktioniert!)?

Vielen Dank!
hubert.

lordlamer
02.05.2007, 10:50
Welche Dienste willst du den einbinden und wie hast du diese Konfiguriert?

hubsif
02.05.2007, 11:24
Ich möchte z.B. pykota einrichten. Allerdings teste ich den Benutzerzugang derzeit mit phpldapadmin, d.h. pykota ist noch nicht wirklich konfiguriert.

Ich bin einen Schritt weiter gekommen, die Anmeldung funktioniert jetzt. Es lag wohl an ACLs, die ich von der PyKota-Doku übernommen hatte.

Sobald ich diese Zeilen aktiviere, kann ich mich nicht mehr einloggen, wenn der Benutzer "pykotaadmin" unter "ou=PyKota,dc=mydomain,dc=local" eingerichtet wird:

access to dn.subtree="ou=PyKota,dc=mydomain,dc=local" by dn="uid=pykotaadmin,ou=PyKota,dc=mydomain,dc=local" write
access to dn.subtree="ou=Users,ou=samba,dc=mydomain,dc=local" by dn="uid=pykotaadmin,ou=PyKota,dc=mydomain,dc=local" write
access to dn.subtree="ou=Groups,ou=samba,dc=mydomain,dc=local" by dn="uid=pykotaadmin,ou=PyKota,dc=mydomain,dc=local" write

Also vielen Dank, das eigentliche Problem ist gelöst. Jetzt muss ich halt rausfinden, warum diese ACLs den genannten Effekt auslösen?

Danke!
hubert.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Tja, auch dieses Problem lies sich lösen. Ich hatte weiter unten in der slapd.conf den Eintrag
access to * by * read Kommt der vor den anderen ACLs, funktionierts!

Danke trotzdem!
hubert.

saeckereier
10.05.2007, 21:56
Wenn du access to * by * read als ersten Eintrag stehen hast solltest du wenn ich mich richtig erinnere bedenken, dass jeder Benutzer Passwortfelder und ähnliches auslesen kann (so vorhanden in deinem Baum) Eventuell sogar als anonym ohne Anmeldung. Ich würde sicherstellen, dass das nicht funktioniert..
Beispiel aus meiner slapd.conf:

access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to dn.subtree="ou=DHCP,dc=homenet,dc=de"
by dn="uid=dhcp,ou=People,dc=homenet,dc=de" write
by * auth

access to attrs=userPassword,sambaLMPassword,sambaNTPassword
by dn="uid=courier-ldap,ou=People,dc=homenet,dc=de" write
by dn="uid=samba,ou=People,dc=homenet,dc=de" write
by self write
by users auth
by anonymous auth
access to *
by dn="uid=samba,ou=People,dc=homenet,dc=de" write
by self write
by users read
by anonymous readSchau am besten nochmal in der man Page nach, da war das ganz gut erklärt, du solltest den Zugriff nur soweit wie möglich einschränken, wichtig war dabei damit die Anmeldung klappt, das anonymous die auth-Berechtigung bekommt, glaube ich...