ubuntuusers.de

[HowTo] OpenLDAP unter Karmic

Status: Gelöst | Ubuntu-Version: Ubuntu 9.10 (Karmic Koala)
Antworten |

Dark_Wolf

Avatar von Dark_Wolf

Anmeldungsdatum:
12. August 2006

Beiträge: 2648

Wohnort: Linuxland

ro schrieb:

Das heißt, dass entweder der Benutzer oder das Passwort falsch sind. Meist ist der Hund in diesen Zeilen begraben:

olcSuffix: dc=meinedomain,dc=local
olcRootDN: cn=admin,dc=meinedomain,dc=local
olcRootPW: 1234

Das cn=admin,dc=meinedomain,dc=local und 1234 müssen exakt mit den Angaben aus

ldapadd -x -D cn=admin,dc=meinedomain,dc=local -W -f base.ldif

übereinstimmen. Das ist die häufigste Fehlerquelle. Sonst im Zweifel mit einer leeren Datenbank nochmal von vorne anfangen.

Viel Erfolg!

Hallo RO

Vielen Dank für deine schnelle Antwort. Leider kann ich den Fehler nicht finden ☹ . Kannst du mir bitte sagen wo was löschen muss zwecks neu anfangen? ldap.conf wird ja nicht mehr benutzt.

mfg Dark Wolf

ro

(Themenstarter)
Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: Zähle...

Klar, gern: die LDAP-Datenbank befindet sich unter /var/lib/ldap, wie unter olcDbDirectory definiert. Einfach den slapd stoppen, die OpenLDAP-Pakete deinstallieren, das Verzeichnis löschen (besser: verschieben), OpenLDAP wieder installieren und den slapd wieder starten - und du bist wieder am Anfang.

Also, das Ganze in Kommandos gepackt:

/etc/init.d/slapd stop
apt-get purge slapd ldap-utils
mv /var/lib/ldap /var/lib/ldap.old
apt-get -y install slapd ldap-utils
/etc/init.d/slapd start

Dark_Wolf

Avatar von Dark_Wolf

Anmeldungsdatum:
12. August 2006

Beiträge: 2648

Wohnort: Linuxland

Ok, dank dir, war wohl irgendwo ein Wurm begraben. Bin jetzt eine großen Schritt weiter. Hab mich in LAM können einloggen. Leider kommt jetzt so ne Meldung.

Folgende Suffixe fehlen in LDAP. LAM kann sie für Sie erstellen.

ou=People,dc=my-domain,dc=com
ou=group,dc=my-domain,dc=com
ou=machines,dc=my-domain,dc=com
ou=domains,dc=my-domain,dc=com

Dann wenn ich auf "Erstellen" klicke kommte folgendes daher:

Konnte Eintrag nicht erstellen!
Can't contact LDAP server

ou=People,dc=my-domain,dc=com
  ERROR 	
Konnte Eintrag nicht erstellen!
Can't contact LDAP server

ou=group,dc=my-domain,dc=com
  ERROR 	
Konnte Eintrag nicht erstellen!
Can't contact LDAP server

ou=machines,dc=my-domain,dc=com
  ERROR 	
Konnte Eintrag nicht erstellen!
Can't contact LDAP server

ou=domains,dc=my-domain,dc=com

Echt nicht lustig.

mfg Dark Wolf

ro

(Themenstarter)
Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: 189

In den Beispielen im Wiki wird dc=meinedomain,dc=local verwendet, LAM hingegen verwendet laut der Fehlermeldung dc=my-domain,dc=com.

Wenn du also nicht alle Instanzen von dc=meinedomain,dc=local auf dc=my-domain,dc=com geändert hast (also sowohl in der db.ldif als auch in der base.ldif), könnte das der Fehler sein. Lass zur Sicherheit mal ein Search&Replace über die verwendeten Konfigurationsdateien drüberlaufen, damit du ja nichts übersehen hast.

Dark_Wolf

Avatar von Dark_Wolf

Anmeldungsdatum:
12. August 2006

Beiträge: 2648

Wohnort: Linuxland

Hi,

die Einträge sind alle OK. Kann sein das was fehlt? Denn Einträge wie ou=group usw gibt es in diesen Dateien ja nicht. Wenn man mit dem LAM eine Benutzergruppe erstellen möchte kommt folgende Meldung:

Warning: ldap_add() [function.ldap-add]: Add: Server is unwilling to perform in /usr/share/ldap-account-manager/lib/modules.inc on line 1673

Danach hab ich mal zum Test in LAM die Konfiguration richtig angepasst und "DC" richtig gestellt. Leider noch immer solche Meldungen egal was man erstellen möchte. Habe dann das ganze Spiel mit einem Debian versucht wo auch die Installation normal funktionierte. Leider auch die ganz gleichen Fehler. Hab mir in der Zwischenzeit auch das LDAPbuch von "Klünter/Laser" besorgt. Schon sehr komplex die Sache.

Sag kannste mir weiterhelfen zwecks Fehlersuche?

mfg Dark Wolf

ro

(Themenstarter)
Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: 189

Wenn die Config in Ordnung ist, der Fehler aber weiterhin auftritt, dann kann ich leider nicht weiterhelfen, da ich nicht mit LAM arbeite.

Sorry!

Dark_Wolf

Avatar von Dark_Wolf

Anmeldungsdatum:
12. August 2006

Beiträge: 2648

Wohnort: Linuxland

ro schrieb:

Wenn die Config in Ordnung ist, der Fehler aber weiterhin auftritt, dann kann ich leider nicht weiterhelfen, da ich nicht mit LAM arbeite.

Sorry!

Naja, macht nix. Trotzdem Danke. Wenn ich den Fehler gefunden habe, poste ich es hier.

mfg Dark Wolf

ro

(Themenstarter)
Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: 189

Was du noch probieren könntest, wäre, die Einträge wie ou=group usw. von Hand anzulegen. Vielleicht klappt es dann mit LAM?

blaufotograph

Anmeldungsdatum:
9. Mai 2007

Beiträge: 58

Wohnort: Nähe Wolfsburg

ro schrieb:

Das heißt, dass entweder der Benutzer oder das Passwort falsch sind. Meist ist der Hund in diesen Zeilen begraben:

olcSuffix: dc=meinedomain,dc=local
olcRootDN: cn=admin,dc=meinedomain,dc=local
olcRootPW: 1234

Das cn=admin,dc=meinedomain,dc=local und 1234 müssen exakt mit den Angaben aus

ldapadd -x -D cn=admin,dc=meinedomain,dc=local -W -f base.ldif

übereinstimmen. Das ist die häufigste Fehlerquelle. Sonst im Zweifel mit einer leeren Datenbank nochmal von vorne anfangen.

Viel Erfolg!

Hallo @All,

ich wollte noch mal fragen, wie ich das PW nachträglich noch ändern kann? Einfach z.B. mit phpldapadmin das PW vom User admin ändern und mich mit dem geänderten PW einfach wieder einloggen?

ro

(Themenstarter)
Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: 189

Übrigens: Mein Karmic HowTo funktioniert auch unter Lucid. Es ist nur eine Änderung in der /root/db.ldif nötig. Statt folgender Sektion:

ro

# DEFAULTS MODIFICATION # Some of the defaults need to be modified in order to allow # remote access to the LDAP config. Otherwise only root # will have administrative access.

dn: cn=config changetype: modify delete: olcAuthzRegexp

dn: olcDatabase={-1}frontend,cn=config changetype: modify delete: olcAccess

dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: {CRYPT}7hzU8RaZxaGi2

dn: olcDatabase={0}config,cn=config changetype: modify delete: olcAccess

wird folgendes benötigt (im Endeffekt muss der olcRootDN-Eintrag hinzugefügt werden):

###########################################################
# DEFAULTS MODIFICATION
###########################################################
# Some of the defaults need to be modified in order to allow
# remote access to the LDAP config. Otherwise only root
# will have administrative access.

dn: cn=config
changetype: modify
delete: olcAuthzRegexp

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcAccess

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootDN
olcRootDN: cn=admin,cn=config

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {CRYPT}7hzU8RaZxaGi2

dn: olcDatabase={0}config,cn=config
changetype: modify
delete: olcAccess

Viel Erfolg!

Grüße,

Robert

blaufotograph

Anmeldungsdatum:
9. Mai 2007

Beiträge: 58

Wohnort: Nähe Wolfsburg

Moin Robert,

danke für den Tipp. Werde ich mir mal merken.

Könntest du mir evtl. noch mal helfen, bzgl. meiner Frage mit der Änderung des Paßworts? (Sorry für die blöde Frage, aber ich fang erst an mit "LDAP"...) ☹ 😉

ro

(Themenstarter)
Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: 189

Hi!

Das Passwort änderst du in der /root/db.ldif an zwei Stellen: Einmal im Abschnitt DATABASE SETUP und einmal im Abschnitt DEFAULTS MODIFICATION. Beide Male verwendest du das Attribut olcRootPW.

Ein neues CRYPT-Passwort kann mit folgendem Befehl erzeugt werden:

slappasswd -h {CRYPT}

Den ausgegebenen CRYPT-Wert weist du dem zweiten Attribut zu.

Hope that helps!

blaufotograph

Anmeldungsdatum:
9. Mai 2007

Beiträge: 58

Wohnort: Nähe Wolfsburg

ro schrieb:

Hi!

Das Passwort änderst du in der /root/db.ldif an zwei Stellen: Einmal im Abschnitt DATABASE SETUP und einmal im Abschnitt DEFAULTS MODIFICATION. Beide Male verwendest du das Attribut olcRootPW.

Ein neues CRYPT-Passwort kann mit folgendem Befehl erzeugt werden:

slappasswd -h {CRYPT}

Hope that helps!

Logisch, danke. Kann ich das auch mit ldapvi anpassen? Kann ich denn die /root/db.ldif einfach so noch mal "reinziehen"? Eher nicht, oder?

ro

(Themenstarter)
Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: 189

Ah, habs in der Schnelle überlesen!

Okay, die Änderung der Passwörter sollte folgendermaßen funktionieren (ungetestet):

vi /root/db_neu.ldif

und folgende Zeilen in die leere Datei einfügen:

dn: olcDatabase={1}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: 5678

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {CRYPT}eugsfqn8jUxjg

und wieder einlesen mit:

ldapadd -Y EXTERNAL -H ldapi:/// -f /root/db_neu.ldif

Grüße,

Robert

blaufotograph

Anmeldungsdatum:
9. Mai 2007

Beiträge: 58

Wohnort: Nähe Wolfsburg

ro schrieb:

Ah, habs in der Schnelle überlesen!

Okay, die Änderung der Passwörter sollte folgendermaßen funktionieren (ungetestet):

vi /root/db_neu.ldif

und folgende Zeilen in die leere Datei einfügen:

dn: olcDatabase={1}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: 5678

War es eigentlich Absicht, das Du das RootPW hier unverschlüsselt gelassen hast? Muß das unverschlüsselt sein, damit der LDAP ein initiales Passwort hat? Oder kann ich das genauso eintragen wie im folgendem Beispiel?

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {CRYPT}eugsfqn8jUxjg
ldapadd -Y EXTERNAL -H ldapi:/// -f /root/db_neu.ldif

Danke, so werd ichs importieren.