Re: [OpenLDAP] un aiuto per configurare un consumer proxy con cn=config.
2011/2/8 Francesco Malvezzi : > [...] > La configurazione col vecchio formato, slapd.conf, era: >> >> database ldap >> # ignore conflicts with other databases, as we need to push out to same >> suffix >> hidden on >> suffix "dc=comune,dc=cagliari,dc=it" >> rootdn "cn=admin,dc=comune,dc=cagliari,dc=it" >> uri ldap://192.168.4.5 >> >> lastmod on >> >> # we don't need any access to this DSA >> restrict all >> >> acl-bind bindmethod=simple >> binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" >> credentials=40M12SEN >> >> syncrepl rid=002 >> provider=ldap://localhost:389 >> type=refreshAndPersist >> retry="60 10 300 +" >> searchbase="dc=comune,dc=cagliari,dc=it" >> searchbase="dc=comune,dc=cagliari,dc=it" >> bindmethod=simple >> binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" >> credentials=40M12SEN >> >> overlay syncprov >> >> Non riesco a riportarla nel formato cn=config. > > proverei con il trucco dello slaptest. > > Scrivi lo slapd.conf che desideri in una qualche cartella, poi lanci: > sudo slaptest -f ./slapd.conf -F ./slapd.d > > slaptest ti trasforma lo slapd.conf alla vecchia maniera in uno slapd.d. Da > li' prendi ispirazione per scrivere gli ldif da inserire, Si e' quello che sto facendo, ci avrei potuto pensare prima ma sono entrato in panico visto che il database non funzionava dopo che mi e' stata cambiata la configurazione da sotto i piedi, ora piano piano le cose si stanno chiarendo per fortuna :-) ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
[OpenLDAP] quale modulo devo indicare?
Devo caricare i moduli syncprov e back_ldap. Nella directory dove sono contenuti i vari moduli vedo: back_ldap-2.4.so.2 back_ldap-2.4.so.2.5.6 back_ldap.la back_ldap.so syncprov-2.4.so.2 syncprov-2.4.so.2.5.6 syncprov.la syncprov.so io ho semplicemente indicato: dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: syncprov - add: olcModuleLoad olcModuleLoad: back_ldap e' corretto o devo indicare anche l'estensione e se devo indicare l'estensione e' .so o .la? ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] quale modulo devo indicare?
2011/2/8 Marco Pizzoli : > Ciao, > Dai un occhiata al ".la". Dovresti notare che e' un file di testo che > contiene tutte le info sugli altri file ".so". > Usando la conf "vecchio stile" io caricavo sempre solo il .la e quindi mi > aspetto che sia analogo anche con il nuovo stile. > Grazie, piano piano e con fatica sto cercando di riportare la vecchia configurazione nella nuova cn=config. ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] un aiuto per configurare un consumer proxy con cn=config.
[...] La configurazione col vecchio formato, slapd.conf, era: databaseldap # ignore conflicts with other databases, as we need to push out to same suffix hidden on suffix "dc=comune,dc=cagliari,dc=it" rootdn "cn=admin,dc=comune,dc=cagliari,dc=it" uri ldap://192.168.4.5 lastmod on # we don't need any access to this DSA restrictall acl-bindbindmethod=simple binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" credentials=40M12SEN syncreplrid=002 provider=ldap://localhost:389 type=refreshAndPersist retry="60 10 300 +" searchbase="dc=comune,dc=cagliari,dc=it" searchbase="dc=comune,dc=cagliari,dc=it" bindmethod=simple binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" credentials=40M12SEN overlay syncprov Non riesco a riportarla nel formato cn=config. proverei con il trucco dello slaptest. Scrivi lo slapd.conf che desideri in una qualche cartella, poi lanci: sudo slaptest -f ./slapd.conf -F ./slapd.d slaptest ti trasforma lo slapd.conf alla vecchia maniera in uno slapd.d. Da li' prendi ispirazione per scrivere gli ldif da inserire, ciao, Francesco ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] quale modulo devo indicare?
Ciao, Dai un occhiata al ".la". Dovresti notare che e' un file di testo che contiene tutte le info sugli altri file ".so". Usando la conf "vecchio stile" io caricavo sempre solo il .la e quindi mi aspetto che sia analogo anche con il nuovo stile. M. 2011/2/8 Mauro > Devo caricare i moduli syncprov e back_ldap. > Nella directory dove sono contenuti i vari moduli vedo: > > back_ldap-2.4.so.2 > back_ldap-2.4.so.2.5.6 > back_ldap.la > back_ldap.so > > syncprov-2.4.so.2 > syncprov-2.4.so.2.5.6 > syncprov.la > syncprov.so > > io ho semplicemente indicato: > > dn: cn=module{0},cn=config > changetype: modify > add: olcModuleLoad > olcModuleLoad: syncprov > - > add: olcModuleLoad > olcModuleLoad: back_ldap > > e' corretto o devo indicare anche l'estensione e se devo indicare > l'estensione e' .so o .la? > > ___ > OpenLDAP mailing list > OpenLDAP@mail.sys-net.it > https://www.sys-net.it/mailman/listinfo/openldap > > -- _ Non è forte chi non cade, ma chi cadendo ha la forza di rialzarsi. Jim Morrison ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
[OpenLDAP] un aiuto per configurare un consumer proxy con cn=config.
So di essere pedante ma avrei bisogno di aiuto per far funzionare un consumer che fa da proxy, sto cercando di trovare info in rete ma non c'e' molto su come fare utilizzando la nuova configurazione di openLDAP 2.4 e ho necessita' di far funzionare il proxy in tempi brevi purtroppo. Ho 3 server, due in lan e uno in dmz. I due in lan sono un provider, 192.168.4.7 e un consumer, 192.168.4.248. Grazie al vostro aiuto sono riuscito a far funzionare la replica utilizzando la nuova configuazione cn=config. C'e' un terzo server in dmz che, ovviamente non puo' aprire una connessione verso un server in lan, cosi' ho pensato di far funzionare da proxy il consumer 102.168.4.248, in modo da mandare gli aggiornamenti al server in dmz. La configurazione col vecchio formato, slapd.conf, era: databaseldap # ignore conflicts with other databases, as we need to push out to same suffix hidden on suffix "dc=comune,dc=cagliari,dc=it" rootdn "cn=admin,dc=comune,dc=cagliari,dc=it" uri ldap://192.168.4.5 lastmod on # we don't need any access to this DSA restrictall acl-bindbindmethod=simple binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" credentials=40M12SEN syncreplrid=002 provider=ldap://localhost:389 type=refreshAndPersist retry="60 10 300 +" searchbase="dc=comune,dc=cagliari,dc=it" searchbase="dc=comune,dc=cagliari,dc=it" bindmethod=simple binddn="cn=replicant,dc=comune,dc=cagliari,dc=it" credentials=40M12SEN overlay syncprov Non riesco a riportarla nel formato cn=config. Finora l'unica cosa che sono riuscto a fare e' aggiungere il modulo back_ldap. Ho creato un file modulo.ldif nel quale ho messo: dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: {0}back_ldap e ho lanciato ldapadd -Y external -H ldapi:/// -f module.ldif. Questa e' l'unica cosa che mi e' riuscita ma mi manca tutto il resto. ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] insufficien access ma perche'?
2011/2/8 Francesco Malvezzi : >> >> La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif: > > La puoi aggiungere a mano (magari fai una copia del file), mi raccomando > a slapd fermo. > >> >> dn: olcDatabase={0}config >> objectClass: olcDatabaseConfig >> olcDatabase: {0}config >> olcAccess: {0}to * by >> dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external >> ,cn=auth manage by * break > > Hai visto che togo? Sembra che un utente con autenticazione external con > uidnumber=0 (cioe' root) abbia manage (che e' piu' di write, mi sembra). > > Ecco spiegato perche' ha funzionato lo ldapadd degli schemi con lo > switch -Y (che vuol dire autenticazione external): eri forse root quando > lo hai lanciato? > Si l'ho lanciato da root. > Forse non ha bisogno di aggiungere la olcRootPW, allora, ma usare lo > stesso comando, Si infatti la olcRootPW non l'aggiungo, lascio tutto com'e'. > > ciao, > > Francesco > ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] insufficien access ma perche'?
> > La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif: La puoi aggiungere a mano (magari fai una copia del file), mi raccomando a slapd fermo. > > dn: olcDatabase={0}config > objectClass: olcDatabaseConfig > olcDatabase: {0}config > olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external > ,cn=auth manage by * break Hai visto che togo? Sembra che un utente con autenticazione external con uidnumber=0 (cioe' root) abbia manage (che e' piu' di write, mi sembra). Ecco spiegato perche' ha funzionato lo ldapadd degli schemi con lo switch -Y (che vuol dire autenticazione external): eri forse root quando lo hai lanciato? Forse non ha bisogno di aggiungere la olcRootPW, allora, ma usare lo stesso comando, ciao, Francesco ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
Re: [OpenLDAP] insufficien access ma perche'?
2011/2/8 Mauro : > 2011/2/8 Francesco Malvezzi : >>> faccio un ldapmodify -x -D cn=admin,dc=example,dc=com -f file.ldif -W >>> >>> e mi dice insufficient access. >>> Beh visto che il primo ldapadd funziona non dovrebbe essere un >>> problema di password ne di utente admin. >>> Perche' mi dice allora che i privilegi non sono sufficenti nel secondo caso? >> >> e' super semplice. >> >> Ci sono (almeno) due database: >> cn=config >> dc=test,dc=it (o quel che e' il tuo db) >> >> Ogni amministratore deve risiedere nello scope del suo db. Ad esempio: >> >> cn=admin,dc=test,dc=it e' un amministratore valido per il secondo >> database ma non per il primo. >> >> cn=admin,dc=prova,dc=it non e' valido ne' per il primo ne' per il secondo. >> >> Per convenzione nella documentazione l'amministratore del db cn=config >> si chiama cn=config (chissa' perche'?). >> >> Lo ldif che ti avevo mandato deve essere inserito nel db cn=config, >> perche' modifica una configurazione. Quindi devi usare come principal >> quello del cn=config. Come si chiami lo vedi dal file: >> slapd.d/cn=config/olcDatabase={0}config.ldif >> >> Se non sai quale password abbia (spero che nessuno mi senta mento dico >> questa porcata), fermi slapd, editi a mano con vim il file >> slapd.d/cn=config/olcDatabase={0}config.ldif e metti in olcRootPW la tua >> password calcolata con slappasswd (anche non in base64). > > La entri olcRootPW non esiste proprio nel file lcDatabase={0}config.ldif: > > dn: olcDatabase={0}config > objectClass: olcDatabaseConfig > olcDatabase: {0}config > olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external > ,cn=auth manage by * break > olcRootDN: cn=admin,cn=config > structuralObjectClass: olcDatabaseConfig > entryUUID: 77f34cc4-c750-102f-9352-c5ef794c3d63 > creatorsName: cn=config > createTimestamp: 20110207215340Z > entryCSN: 20110207215340.414543Z#00#000#00 > modifiersName: cn=config > modifyTimestamp: 20110207215340Z Ho usato il seguente comando : ldapadd -Y external -H ldapi:/// -f syncrepl.ldif ed ho risolto. Adesso sono riuscito a configurare il consumer. In lan ho un provider, 192.168.4.7 ed un consumer, 192.168.4.248, la replica sembra funzionare. C'e' un ulteriore passo da fare. Devo replicare anche verso server che si trova in dmz. Cosi' come funziona synrepl non e' piu il master che manda le informazione verso lo slave ma e' lo slave che contatta il master per avere notizie su eventuali aggiornamenti, scusate se l'ho detto il parole molto elementari. Essendo il terzo pc in dmz non vorrei aprire un passaggio da dmz verso la lan cosi' avevo deciso di simulare il comportamento di slurpd facendo il modo che il consumer in lan mandi gli aggiornamenti al server in dmz. Tale consumer deve essere quindi anche un proxy e lo avevo configurato in questo modo: # Consumer Proxy that pulls in data via Syncrepl and pushes out via # slapd-ldap ## databaseldap # ignore conflicts with other databases, as we need to push out to same suffix hidden on suffix "dc=comune,dc=example,dc=com" rootdn "cn=admin,dc=example,dc=com" uri ldap://172.16.4.5 lastmod on restrictall acl-bindbindmethod=simple binddn="cn=replicant,dc=example,dc=com" credentials=xxx syncreplrid=002 provider=ldap://localhost:389 type=refreshAndPersist retry="60 10 300 +" searchbase="ddc=example,dc=com" searchbase="dc=example,dc=com" bindmethod=simple binddn="cn=replicant,dc=example,dc=com" credentials=xxx overlay syncprov Avevo quindi configurato un secondo database replica del primo, sullo stesso server slapd da utilizzare per mandare gli aggiornamenti al server in dmz. Intanto non sono sicuro che sia effettivamente necessario configurare questo secondo database. Ma in base alla nuova configurazione di slapd come riporto tutto questo? Il file olcDatabase={1}hdb,cn=config credo si riferisca ad un database, devo ricrearne uno identico con indice 2? ___ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap