Назад | Перейти на главную страницу

ldap в Ubuntu 16.04 - неверные учетные данные (49)

Я пытаюсь настроить локальный экземпляр LDAP, чтобы можно было отлаживать программное обеспечение, использующее LDAP для аутентификации. У меня это работало правильно на Ubuntu 14.04 LTS, но я пытался обновиться до Ubuntu 16.04 LTS, загруженный коробкой, и я переустановил для нуля Ubunut 16.04 LTS и не могу заставить LDAP работать правильно после большого разочарования.

Я установил slapd и использовал slapadd -l <file> для заполнения моей базы данных. Я вижу, что мой файл был загружен с ldapsearch -x:

# extended LDIF
#
# LDAPv3
# base <dc=nodomain> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# nodomain
dn: dc=nodomain
objectClass: top
objectClass: dcObject
objectClass: organization
o: nodomain
dc: nodomain

# admin, nodomain
dn: cn=admin,dc=nodomain
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# People, nodomain
dn: ou=People,dc=nodomain
objectClass: organizationalUnit
ou: People

# Groups, nodomain
dn: ou=Groups,dc=nodomain
objectClass: organizationalUnit
ou: Groups

# miners, Groups, nodomain
dn: cn=miners,ou=Groups,dc=nodomain
objectClass: posixGroup
cn: miners
gidNumber: 5000

# smm, People, nodomain
dn: uid=smm,ou=People,dc=nodomain
uid: smm
sn: McCants
givenName: Stephen
cn: Stephen McCants
displayName: Stephen McCants
uidNumber: 10000
gidNumber: 5000
gecos: Stephen McCants
loginShell: /bin/bash
homeDirectory: /home/smm
objectClass: top
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: person

# search result
search: 2
result: 0 Success

# numResponses: 7
# numEntries: 6

Однако мой код не может аутентифицироваться для пользователя smm, и я не могу установить пароль для пользователя с ldappasswd -D "uid=smm,ou=People,dc=nodomain" -A -S -W. Он запрашивает у меня пароли, а затем выходит из строя с той же ошибкой:

Old password: 
Re-enter old password: 
New password: 
Re-enter new password: 
Enter LDAP Password: 
ldap_bind: Invalid credentials (49)

Я также использовал dpkg-reconfigure slapd для установки пароля root LDAP. Однако как до, так и после перенастройки я получаю одну и ту же ошибку. Вот исходный файл, который использовался для заполнения базы данных:

n: ou=People,dc=nodomain
objectClass: organizationalUnit
ou: People
structuralObjectClass: organizationalUnit
entryUUID: 03a28690-1834-1033-87f5-8b9136017cf0
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20140123043856Z
entryCSN: 20140123043856.559226Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20140123043856Z

dn: ou=Groups,dc=nodomain
objectClass: organizationalUnit
ou: Groups
structuralObjectClass: organizationalUnit
entryUUID: 03b017e2-1834-1033-87f6-8b9136017cf0
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20140123043856Z
entryCSN: 20140123043856.648148Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20140123043856Z

dn: cn=miners,ou=Groups,dc=nodomain
objectClass: posixGroup
cn: miners
gidNumber: 5000
structuralObjectClass: posixGroup
entryUUID: 03b537ae-1834-1033-87f7-8b9136017cf0
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20140123043856Z
entryCSN: 20140123043856.681730Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20140123043856Z

dn: uid=smm,ou=People,dc=nodomain
uid: smm
sn: <my name>
givenName: <my name>
cn: <my name>
displayName: <my name>
uidNumber: 10000
gidNumber: 5000
gecos: <my name>
loginShell: /bin/bash
homeDirectory: /home/smm
structuralObjectClass: inetOrgPerson
entryUUID: 983bd260-1835-1033-87fb-8b9136017cf0
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20140123045015Z
objectClass: top
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: person
userPassword: <redacted>
entryCSN: 20140123054441.631096Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20140123054441Z

Конечно, содержит мое настоящее имя и строку SSHA, сгенерированную slappasswd.

На данный момент я не понимаю, почему это не работает и в чем проблема.

Итак, похоже, проблема заключалась в том, что пароли были загружены таким образом, что я их не знал или они отсутствовали. Я смог эффективно сбросить сначала пароль администратора LDAP, а затем пароль учетной записи пользователя с помощью команды ldapmodify. Я перечисляю то, что я сделал ниже, в надежде, что это поможет кому-то другому.

Сбросить пароль администратора LDAP

Сначала я сгенерировал хеш пароля с помощью slappasswd.

root@laptop:/etc/ldap/slapd.d# slappasswd 
New password: 
Re-enter new password: 
{SSHA}<hash redacted>

Затем мне нужно было найти, где был установлен пароль администратора. Я сделал это с помощью:

root@laptop:/etc/ldap/slapd.d# ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b  cn=config olcRootDN=cn=admin,dc=nodomain dn olcRootDN olcRootPW
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcDatabase={1}mdb,cn=config
olcRootDN: cn=admin,dc=nodomain
olcRootPW: {SSHA}<hash redacted>

Ваш DC может отличаться в команде, в зависимости от того, как вы все настроили. Хотел бы я дать лучший ответ, чем этот, о том, кем вы должны быть, но я не совсем понимаю LDAP. По сути, все, что я делал, было под dc = nodomain. Ты настроен скорее всего будет по другому.

Затем я использовал ldapmodify, чтобы сбросить пароль администратора на то, что я знаю. Обратите внимание, что я ввел и команду, и строки, начинающиеся с «dc:», «replace:» и «olcRootPw:». Вам нужно поставить пустую строку после последней строки, чтобы ldapmodify применил предыдущие команды.

root@laptop:/etc/ldap/slapd.d# ldapmodify -Y EXTERNAL -H ldapi:///
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0

dn: olcDatabase={1}mdb,cn=config
replace: olcRootPW
olcRootPW: {SSHA}<new hash from slappasswd>

В oldcDatabase ценность поднята с ldapsearch команда и ваша может отличаться от моей. Если в результатах поиска не было предыдущего olcRootPw, возможно, вам придется использовать add вместо того replace в приведенной выше команде изменения.

Ctrl-C завершает нашу сессию ldapmodify.

Теперь у меня есть пароль администратора LDAP, который я знаю, и могу приступить к сбросу учетной записи пользователя.

Сбросить пароль пользователя LDAP

Я использовал slappasswd, чтобы сгенерировать новый хэш пароля для пароля пользователя. Эта команда одинакова для обоих сбросов пароля.

root@laptop:/etc/ldap/slapd.d# slappasswd 
New password: 
Re-enter new password: 
{SSHA}<hash redacted>

Затем я выполнил команду ldapmodify, но на этот раз немного иначе:

ldapmodify -H ldapi:/// -D "cn=admin,dc=nodomain" -W

В -D опция сообщает LDAP, что я работаю как администратор (или кто бы то ни было в кавычках после -D). Ваш dc стоимость конечно может быть разная. В -W опция указывает LDAP запрашивать у меня пароль администратора.

После ввода пароля администратора LDAP (который я сбросил выше) я дал команду установить пароль пользователя. Вот что я запустил:

dn: uid=smm,ou=People,dc=nodomain
add: userPassword
userPassword: {SSHA}<new password hash>

Первая строка - это dn, чтобы указать, какому пользователю нужен пароль для сброса. Вторая строка - это либо add команда, если userPassword не установлен или replace команда, если userPassword уже установлен. Третья строка - это новый хэш пароля, который должен использовать LDAP. Введите пустую строку после третьей, чтобы сообщить ldapmodify, что вы закончили ввод команды и она должна ее запустить. Надеюсь, вы получите такой результат:

modifying entry "uid=smm,ou=People,dc=nodomain"

Теперь у меня есть новый пароль и для моего пользователя.