open ldap staret nicht

F

Fenko

Mitglied
hallo
ich hab ja auf meinem server jetzt openldap installiert, jedoch lässt sich das nicht starten, es kommt immer folgender output:

./slapd start
Killed (Abgebrochen)

ich hab zwar schon gegoogelt wie verrückt aber ich weis echt nicht was das sein kann, alle anderen programme lassen sich ja normal starten nur ldap nicht, es ist allersdings auch egal welche datei von ldap ich ausführen will, der output is der gleiche

mfg
 
so dat geht nu auch mittlerweile hab einfach die dateien per hand vom installverzeichnis in die jeweiligen zielverzeichnisse kopiert und dann gings komischerweise^^

naja mein nächstes problem is folgendes:
wenn ich jetzt die ersten einträge hinzufügen will kommt immer folgende fehlermeldung

./ldapadd -x -D dn="cn=admin,dc=structure-net,dc=de" -W -f <PFAD ZUR LDIF DATEI>.ldif
Enter LDAP Password:
ldap_bind: Invalid DN syntax (34)
additional info: invalid DN

Inhalt der slapd.conf
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include /ssi/etc/openldap/schema/core.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org

pidfile /ssi/var/run/slapd.pid
argsfile /ssi/var/run/slapd.args

# Load dynamic backend modules:
# modulepath /ssi/libexec/openldap
# moduleload back_bdb.la
# moduleload back_hdb.la
# moduleload back_ldap.la

# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
#access to userPassword
# by anonymous auth
# by self read
# access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################

database bdb
suffix "dc=structure-net,dc=de"
rootdn "cn=admin,dc=structure-net,dc=de"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw peace
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /ssi/var/openldap-data
# Indices to maintain
index objectClass eq

inhalt der test.ldif

dn: dc=structure-net, dc=de
objectclass: organization
objectclass: top
o: Structure Net
l: Hamburg
postalcode: 21033
streetadress: Billwiese 22

dn: ou=Sales, dc=structure-net, dc=de
objectclass: organizationalunit
ou: Sales
description: Verkauf
telephonenumber: 040-7654321
facsmiletelephonenumber: 040-7654321

dn: ou=Development, dc=structure-net, dc=de
objectclass: organizationalunit
ou: Development
description: Verkauf
telephonenumber: 040-7654321
facsmiletelephonenumber: 040-7654321

dn: ou=Support, dc=structure-net, dc=de
objectclass: organizationalunit
ou: Support
description: Verkauf
telephonenumber: 040-7654321
facsmiletelephonenumber: 040-7654321

dn: uid=admin, dc=structure-net, dc=de
objectclass: person
objectclass: organizationalperson
objectclass: inetorgperson
cn: admin
cn: Systemverwalter
cn: Thomas Bendler
sn: Bendler
uid: admin
mail: **********
l: Hamburg
postalcode: 21033
streetadress: billwiese 22
telephonenumber: 040-7654321
facsmiletelephonenumber: 040-7654321

ich hab den inhalt der ldif datei aus nem beispiel von der seite
http://www.linuxhaven.de/dlhp/HOWTO/DE-LDAP-HOWTO-6.html

die slapd.conf hab ich dem beispiel natürlich entsprechend angepasst

ich hab zwar schon ne menge gegoogelt aber über nen beitrag der mir weiterhilft bin ich bis jetzt noch nicht gestolpert, kann mir da vllt jemand weiterhelfen?

mfg
 
ich habde nicht alles durchgelesen aber der -D Parameter wird so benutzt:
-D cn=ldap-admin,dc=example,dc=org

Code:
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd( and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw peace
Wenn das wirklich so da steht solltest du definitv ein anderes Kennwort nehmen. Und vorallem wie darüber erwähnt mit slappasswd hashen. Wenn das nicht so dasteht solltest du es zumindest erkenntlich machen, dass du nicht einfach nur Copy-And-Paste gemacht hast (z.B. **********)
 
das PW was da drin steht hatte ich zu beginn mal drinstehen, habe danach natürlich eins mit der slappasswd gemacht und eingefügt, wobei dieses wahrscheinlich auch später mit einem kryptischen ersetzt wird^^

und das mit dem -D Parameter war schonmal einer der gründe warums nich geht, jetzt liegts denk ich mal nur noch an der struktur der ldif datei
 
Wie wäre es dann mal mit der aktuellen Fehlermeldung?
 
also ich habe mir mal einen ldapbrowser runtergeladen und mach das zurzeit damit, jedoch versuche ich die ganze zeit das so einzurichten das man eine gruppe admin hat wo mehrere benutzer mit adminrechten hat aber irgendwie klappt das net so ganz.
wenn ich da richtig informiert bin muss ich ja auch die slapd.conf bearbeiten
mit dem access to befehl aber das was ich so bis jetzt da ausprobiert hab war noch net ganz das wahre^^
 
Empfehlenswertes Tool: JXPlorer, Java basierend funktioniert recht gut unter Win und Linux. Zu den Berechtigungen, das ist kompliziert Infos findest du hier: http://www.openldap.org/doc/admin21/slapdconfig.html#Access Control
Ein Beispiel von meinem Server weiter unten. Hier kann man leicht Fehler machen es gilt immer zu kontrollieren, dass User nicht mehr können als sie sollen!
Code:
access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to dn.subtree="ou=DHCP,dc=homenet,dc=de"
        by dn="uid=dhcp,ou=People,dc=homenet,dc=de" write
        by * auth

access to attrs=userPassword,sambaLMPassword,sambaNTPassword
        by dn="uid=courier-ldap,ou=People,dc=homenet,dc=de" write
        by dn="uid=samba,ou=People,dc=homenet,dc=de" write
        by self write
        by users auth
        by anonymous auth
access to *
        by dn="uid=samba,ou=People,dc=homenet,dc=de" write
        by self write
        by users read
        by anonymous read
 
alles klar danke ich werd mir das mal durchlesen und mal rumtesten
 
hi, also ich hab da jetzt mal ein wenig rumgetestet und es klappt jetzt schonmal das die benutzer, die ich in der slapd.conf angebe auch schreibrechte haben

access to *
by dn="uid=user1,cn=users,dc=firma,dc=de" write
by dn="uid=user2,cn=users,dc=firma,dc=de" write
by self write
by users read
by anonymous read

das klappt so zwar wunderbar, jedoch hab ich mir gedacht das es doch vllt sinnvoller und auch später vllt einfacher wäre einem benutzer adminrechte zu geben und wieder zu entziehen anhand einer admingruppe, sodass alle mitglieder dieser gruppe theoretisch tun und lassen könnten was sie wollen solange sie in dieser gruppe sind.
denn jedes mal die slapd.conf zu bearbeiten und dann das ldap neu zu starten wird mir auf dauer zu umständlich^^

ich hab in der richtung zwar auch schon rumexperimentiert aber hingehauen hat es bis jetzt noch nicht.
die dn meiner admingruppe ist: "cn=admin,dc=firma,dc=de"
das müsste doch eigentlich auch gehen oder?
 
Lies dir mal im von mir verlinkten dokument 7.4.10 und 7.5 ff durch
 
hmm ich finde kein 7.4.10 bzw 7.5
entweder bisch zu blöd dat zu sehen oder du hast dich vllt vertippt^^

edit: ou mann habs schob gefunden lol hättest mir ja ruhig sagen können das ich erst auf katalog gehen muss xD
 
Zuletzt bearbeitet:
Sorry, du hast Recht, ich hatte nicht gemerkt, dass ich ein altes Dokument verlinkt hatte. Da steht's auch nicht drin. http://www.openldap.org/doc/admin24/ Das 2.4er Dokument enthält aber einen Abschnitt zu dem Thema. Musst mal ausprobieren, ob dein OpenLDAP das schon unterstützt..
 
normal sollte mein ldap das unterstützen da ich eigentlich die aktuellste version runtergeladen und installiert hab, aber dennoch klappt das von der syntax her trotzdem net ganz, muss ich noch ein bissl weiter rum experimentieren
 
so ich hab das jetzt hinbekommen dank der seite die du mir da geschickt hattest
und zwar sieht das in meiner slapd.conf wie folgt aus:

access to *
by group.exact="cn=admin,dc=firma,dc=de" write
by * read
by users read
by anonymous read

die gruppe admin hab ich als groupofNames angelegt,

http://www.openldap.org/doc/admin24/set-recursivegroup.png

dann kann ich mich ja jetzt in ruhe um aufbau meiner struktur kümmern :-)

Edit: zuerst werd ich mir noch ein eigenes Schema erstellen, weil bei denen die ich includiert hab sind mir zuviele unnötige einträge^^
haste dazu net auch vllt ein paar nützliche informationen?^^
 
Zuletzt bearbeitet:
so ich hab das jetzt hinbekommen dank der seite die du mir da geschickt hattest
und zwar sieht das in meiner slapd.conf wie folgt aus:



die gruppe admin hab ich als groupofNames angelegt,

http://www.openldap.org/doc/admin24/set-recursivegroup.png

dann kann ich mich ja jetzt in ruhe um aufbau meiner struktur kümmern :-)

Edit: zuerst werd ich mir noch ein eigenes Schema erstellen, weil bei denen die ich includiert hab sind mir zuviele unnötige einträge^^
haste dazu net auch vllt ein paar nützliche informationen?^^

Ich würde mir nur dann ein eigenes Schema erstellen, wenn die vorhandenen zu wenig abdecken. Ist auch nicht gerade unkompliziert. Zu viele Attribute tun nicht weh, zuwenig aber schon. Es gibt ja alle möglichen Errweiterungen für z.B Samba u.ä. Meist ist das erstellen eines eigenen Schemas nicht nötig.
 
ich bin momentan dabei die vorhandenen etwas zu bearbeiten, d.h ich kommentiere hier und da ein paar unnütze sachen einfach aus, das sollte ja auch funktionieren

Edit: ich hab jetzt die unnötigen einträge aus den objectklassen gelöscht und dat funktioniert auch alles ohne probleme
 
Zuletzt bearbeitet:
ich stehe nun erneut vor einem kleinen problem^^

ich habe jetzt vor eine phpseite zu erstellen wo ich mich mit hilfe eines formulares, wo ich benutzernamen und passwort eingebe, am ldap anmelden kann um dann daran einträge bearbeiten zu können.
so wie das jetzt unten steht funktioniert das jetzt auch, auch wenn das fornular noch nicht eingebaut ist, denn mein problem liegt an dem verschlüsselten pw. D.h wenn ich das pw verschlüsselt in die slapd.conf schreibe klappt das mit der anmeldung nich mehr. ich hab schon mehrere variationen versucht wie ich das im phpscript mit der verschlüsselung hin bekomme aber bis jetzt ohne erfolg.
kann mir da vllt jemand weiterhelfen?

<?
$ldaphost = "localhost";
$ldapport = 389;
$base_dn = "dc=firma,dc=de";
$filter = "(objectclass=*)";
$ldap_user = "uid=root,cn=admin,dc=firma,dc=de";
$ldap_pass = "testpw";

$ldapconn = ldap_connect($ldaphost,$ldapport) or die("Konnte keine Verbindung herstellen");
ldap_set_option($ldapconn, LDAP_OPT_PROTOCOL_VERSION, 3);
ldap_set_option($ldapconn, LDAP_OPT_REFERRALS, 0);


$bind = ldap_bind($ldapconn,$ldap_user,$ldap_pass)or die("Bindfehler^^");
$read = ldap_search($ldapconn, $base_dn,$filter);

$info = ldap_get_entries($ldapconn,$read);
echo $info["count"]." Einträge<br><br>";

for($i = 0; $i<$info["count"]; $i++)
{
for($j = 0; $j<$info[$i]["count"];$j++){
$data = $info[$i][$j];
echo $data.":".$info[$i][$data][0]."<br>";
}
echo "<br>";
}

ldap_close($ldapconn);

?>

es ist doch eigentlich egal wie ich das passwort verschlüssel und dann in der slapd.conf hinterlege oder?
 
Zuletzt bearbeitet:

Ähnliche Themen

Samba 3.6.25 - OpenLDAP Setup

Displayport + externer Monitor zeigt bei startx nichts erst bei DVI

Samba kann sich nicht an LDAP anbinden

Samba Ordner&Rechte struktur Hilfe!

Ubuntu X / dbus problem

Zurück
Oben