Open LDAP - Impossible d'acceder en root

Jack_le_Boulet · 23/02/2006, 13h38

Bonjour a tous !

J'ai en fait un petit probleme (ben tiens ! Comme il est original lui...

)

J'esseye en vain de pouvoir acceder en tant qu'utilisateur root a ma base Open LDAP !

Voici mon slapd.conf (configuration du serveur) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
 
# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/oikos-attribut.schema
include         /etc/ldap/schema/oikos-objet.schema
 
schemacheck     on
 
pidfile         /var/run/slapd/slapd.pid
 
argsfile        /var/run/slapd.args
 
loglevel        0
 
modulepath	/usr/lib/ldap
moduleload	back_bdb
 
#######################################################################
 
backend		bdb
checkpoint 512 30
 
#######################################################################
 
database        bdb
 
suffix          "dc=cbc,dc=be"
rootdn          "cn=admin,dc=cbc,dc=be"
rootpw          roxor
 
directory       "/var/lib/ldap"
index           objectClass eq
lastmod         on
 
access to attr=userPassword
        by self write
        by anonymous auth
        by dn.base="cn=admin,dc=cbc,dc=be" write
        by * none
 
access to *
        by self write
        by dn.base="cn=admin,dc=cbc,dc=be" write
        by read

Comme vous pouvez le constater :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
suffix          "dc=cbc,dc=be"
rootdn          "cn=admin,dc=cbc,dc=be"
rootpw          roxor

Voici ma base, le login root et le password root
(le password est en clair pour faire tout le plus simple possible jusqu'a ce que ca marche)

Voici maintenant le ldap.conf (configuration du client) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
HOST    127.0.0.1
BASE	dc=cbc,dc=be

Il me semble donc qu'il est correctement configurer etant donne que tout se trouve en localhost...
Les suffix correspondent egalement.

Cependant, a chaque tentative d'acces via ldapadd, il me sort une erreur :

ldapadd -x -f $HOME/Desktop/init.ldif -W

ldap_bind: invalid credentials (49)

ldapadd -v -x -f $HOME/Desktop/init.ldif -W -D "cn=admin,dc=cbc,dc=be"

adding new entry "o=toto,dc=cbc,dc=be"
modify complete
ldap_add: No such object (32)

Je ne sais pas me connecter en ecriture !

Voici le fichier init.ldif (egalement tres simple pour eviter un maximum d'erreur) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
dn: o=toto,dc=cbc,dc=be
objectClass: top
objectClass: organization
o: toto

J'ai beau questionner mon ami Google, pas moyen de trouver l'erreur...

J'imagine qu'il veut verifier le password root dans l'arbre, mais cette entree n'existe pas !
Logique puisque je viens d'installer Open LDAP et que j'esseye en vain de creer des entrees...
Mais je n'ai pas les droits ...

J'utilise LDAP Browser pour verifier que le suffix existe et LDAP Browser le trouve bien mais il precise : list failed
J'imagine que c'est parce que je n'ai encore rien dans mon arbre...

:

Merci d'avance pour vos reponses !

EDIT: J'ai oublie de preciser que je travaille sous la distribution Ubuntu

julp · 23/02/2006, 18h15

Il faut peut être revoir tes ACL (by * read) et qui semblent t'interdire l'accès à l'annuaire en tant qu'utilisateur anonyme comme le laisse penser ta première commande ldapadd ou encore ta tentative avec un client graphique.

Pour l'ajout de tes données as-tu créé auparavant ta racine (dc=cbc,dc=be) ?

Julp.

Jack_le_Boulet · 23/02/2006, 20h21

Non je n'avais pas cree la racine ...

Je pensais que suffix "dc=cbc,dc=be" declarait la racine...
Apparemment non

Merci de ton aide !

julp · 24/02/2006, 13h55

Si ça peut t'aider, voilà ce que j'utilisais (à toi d'adapter) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
# La racine de l'annuaire
dn: dc=lppa,dc=lan
dc: lppa
objectclass: top
objectclass: domain
objectclass: domainRelatedObject
description: Mon annuaire
associatedDomain: lppa.lan
structuralObjectClass: domain

Par contre, si tu utilises ton annuaire pour faire de l'authentification (objets posixAccount et/ou shadowAccount), fais attention à tes ACL (identifiants utilisateurs et groupes non modifiables par l'utilisateur).

Julp.

Jack_le_Boulet · 27/02/2006, 15h20

ok, merci beaucoup

23/02/2006, 18h15	#2
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	Il faut peut être revoir tes ACL (by * read) et qui semblent t'interdire l'accès à l'annuaire en tant qu'utilisateur anonyme comme le laisse penser ta première commande ldapadd ou encore ta tentative avec un client graphique. Pour l'ajout de tes données as-tu créé auparavant ta racine (dc=cbc,dc=be) ? Julp.
	00

23/02/2006, 20h21	#3
Jack_le_Boulet Invité de passage Inscription : février 2006 Messages : 14 Détails du profil Informations forums : Inscription : février 2006 Messages : 14 Points : 2 Points : 2	Non je n'avais pas cree la racine ... Je pensais que suffix "dc=cbc,dc=be" declarait la racine... Apparemment non Merci de ton aide !
	00

27/02/2006, 15h20	#5
Jack_le_Boulet Invité de passage Inscription : février 2006 Messages : 14 Détails du profil Informations forums : Inscription : février 2006 Messages : 14 Points : 2 Points : 2	ok, merci beaucoup
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email