LDAP-Anmeldung mit anderem Benutzer als rootdn

H

hubsif

Grünschnabel
LDAP-Anmeldung mit anderem Benutzer als rootdn [gelöst]

Hallo miteinander!

Ich habe folgendes Problem (auch mit google) bisher nicht lösen können:
Ich habe erfolgreich einen LDAP-Server aufgesetzt, der soweit funktioniert. Jetzt möchte ich Dienste einrichten, die sich nicht mit der "rootdn", sondern einem eigens dafür eingerichteten Benutzer anmelden sollen.

Ich habe die verschiedensten Sachen versucht, z.B. mit phpldapadmin ein "Simple Security Object" angelegt (mit den Klassen "SimpleSecurityObject" und "account") und ein Passwort vergeben, kann mich allerdings nicht als der Benutzer am LDAP anmelden.

Ich konnte leider diesbezüglich kaum etwas im Internet finden, könnt ihr mir sagen, wie man einen LDAP-Benutzer einrichtet?
Gibt es evtl. noch eine Option, die ich freischalten muss, um mich als nicht-root anmelden zu können (anonymous funktioniert!)?

Vielen Dank!
hubert.
 
Zuletzt bearbeitet:
Welche Dienste willst du den einbinden und wie hast du diese Konfiguriert?
 
Ich möchte z.B. pykota einrichten. Allerdings teste ich den Benutzerzugang derzeit mit phpldapadmin, d.h. pykota ist noch nicht wirklich konfiguriert.

Ich bin einen Schritt weiter gekommen, die Anmeldung funktioniert jetzt. Es lag wohl an ACLs, die ich von der PyKota-Doku übernommen hatte.

Sobald ich diese Zeilen aktiviere, kann ich mich nicht mehr einloggen, wenn der Benutzer "pykotaadmin" unter "ou=PyKota,dc=mydomain,dc=local" eingerichtet wird:
Code:
access to dn.subtree="ou=PyKota,dc=mydomain,dc=local" by dn="uid=pykotaadmin,ou=PyKota,dc=mydomain,dc=local" write
access to dn.subtree="ou=Users,ou=samba,dc=mydomain,dc=local" by dn="uid=pykotaadmin,ou=PyKota,dc=mydomain,dc=local" write
access to dn.subtree="ou=Groups,ou=samba,dc=mydomain,dc=local" by dn="uid=pykotaadmin,ou=PyKota,dc=mydomain,dc=local" write
Also vielen Dank, das eigentliche Problem ist gelöst. Jetzt muss ich halt rausfinden, warum diese ACLs den genannten Effekt auslösen?

Danke!
hubert.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Tja, auch dieses Problem lies sich lösen. Ich hatte weiter unten in der slapd.conf den Eintrag
Code:
access to * by * read
Kommt der vor den anderen ACLs, funktionierts!

Danke trotzdem!
hubert.
 
Zuletzt bearbeitet:
Wenn du access to * by * read als ersten Eintrag stehen hast solltest du wenn ich mich richtig erinnere bedenken, dass jeder Benutzer Passwortfelder und ähnliches auslesen kann (so vorhanden in deinem Baum) Eventuell sogar als anonym ohne Anmeldung. Ich würde sicherstellen, dass das nicht funktioniert..
Beispiel aus meiner slapd.conf:
Code:
access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to dn.subtree="ou=DHCP,dc=homenet,dc=de"
        by dn="uid=dhcp,ou=People,dc=homenet,dc=de" write
        by * auth

access to attrs=userPassword,sambaLMPassword,sambaNTPassword
        by dn="uid=courier-ldap,ou=People,dc=homenet,dc=de" write
        by dn="uid=samba,ou=People,dc=homenet,dc=de" write
        by self write
        by users auth
        by anonymous auth
access to *
        by dn="uid=samba,ou=People,dc=homenet,dc=de" write
        by self write
        by users read
        by anonymous read
Schau am besten nochmal in der man Page nach, da war das ganz gut erklärt, du solltest den Zugriff nur soweit wie möglich einschränken, wichtig war dabei damit die Anmeldung klappt, das anonymous die auth-Berechtigung bekommt, glaube ich...
 

Ähnliche Themen

ldap mit Samba Anbindung!

LDAP Auth

Problem bei der Anmeldung am LDAP Server

Probleme mit Samba/Ldap PDC einhängen in die Domäne

Anmelden neuer User nicht möglich

Zurück
Oben