Я пытаюсь настроить локальный экземпляр LDAP, чтобы можно было отлаживать программное обеспечение, использующее LDAP для аутентификации. У меня это работало правильно на Ubuntu 14.04 LTS, но я пытался обновиться до Ubuntu 16.04 LTS, загруженный коробкой, и я переустановил для нуля Ubunut 16.04 LTS и не могу заставить LDAP работать правильно после большого разочарования.
Я установил slapd и использовал slapadd -l <file>
для заполнения моей базы данных. Я вижу, что мой файл был загружен с ldapsearch -x
:
# extended LDIF
#
# LDAPv3
# base <dc=nodomain> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# nodomain
dn: dc=nodomain
objectClass: top
objectClass: dcObject
objectClass: organization
o: nodomain
dc: nodomain
# admin, nodomain
dn: cn=admin,dc=nodomain
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
# People, nodomain
dn: ou=People,dc=nodomain
objectClass: organizationalUnit
ou: People
# Groups, nodomain
dn: ou=Groups,dc=nodomain
objectClass: organizationalUnit
ou: Groups
# miners, Groups, nodomain
dn: cn=miners,ou=Groups,dc=nodomain
objectClass: posixGroup
cn: miners
gidNumber: 5000
# smm, People, nodomain
dn: uid=smm,ou=People,dc=nodomain
uid: smm
sn: McCants
givenName: Stephen
cn: Stephen McCants
displayName: Stephen McCants
uidNumber: 10000
gidNumber: 5000
gecos: Stephen McCants
loginShell: /bin/bash
homeDirectory: /home/smm
objectClass: top
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: person
# search result
search: 2
result: 0 Success
# numResponses: 7
# numEntries: 6
Однако мой код не может аутентифицироваться для пользователя smm, и я не могу установить пароль для пользователя с ldappasswd -D "uid=smm,ou=People,dc=nodomain" -A -S -W
. Он запрашивает у меня пароли, а затем выходит из строя с той же ошибкой:
Old password:
Re-enter old password:
New password:
Re-enter new password:
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
Я также использовал dpkg-reconfigure slapd
для установки пароля root LDAP. Однако как до, так и после перенастройки я получаю одну и ту же ошибку. Вот исходный файл, который использовался для заполнения базы данных:
n: ou=People,dc=nodomain
objectClass: organizationalUnit
ou: People
structuralObjectClass: organizationalUnit
entryUUID: 03a28690-1834-1033-87f5-8b9136017cf0
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20140123043856Z
entryCSN: 20140123043856.559226Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20140123043856Z
dn: ou=Groups,dc=nodomain
objectClass: organizationalUnit
ou: Groups
structuralObjectClass: organizationalUnit
entryUUID: 03b017e2-1834-1033-87f6-8b9136017cf0
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20140123043856Z
entryCSN: 20140123043856.648148Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20140123043856Z
dn: cn=miners,ou=Groups,dc=nodomain
objectClass: posixGroup
cn: miners
gidNumber: 5000
structuralObjectClass: posixGroup
entryUUID: 03b537ae-1834-1033-87f7-8b9136017cf0
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20140123043856Z
entryCSN: 20140123043856.681730Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20140123043856Z
dn: uid=smm,ou=People,dc=nodomain
uid: smm
sn: <my name>
givenName: <my name>
cn: <my name>
displayName: <my name>
uidNumber: 10000
gidNumber: 5000
gecos: <my name>
loginShell: /bin/bash
homeDirectory: /home/smm
structuralObjectClass: inetOrgPerson
entryUUID: 983bd260-1835-1033-87fb-8b9136017cf0
creatorsName: cn=admin,dc=nodomain
createTimestamp: 20140123045015Z
objectClass: top
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: person
userPassword: <redacted>
entryCSN: 20140123054441.631096Z#000000#000#000000
modifiersName: cn=admin,dc=nodomain
modifyTimestamp: 20140123054441Z
Конечно, содержит мое настоящее имя и строку SSHA, сгенерированную slappasswd
.
На данный момент я не понимаю, почему это не работает и в чем проблема.
Итак, похоже, проблема заключалась в том, что пароли были загружены таким образом, что я их не знал или они отсутствовали. Я смог эффективно сбросить сначала пароль администратора LDAP, а затем пароль учетной записи пользователя с помощью команды ldapmodify. Я перечисляю то, что я сделал ниже, в надежде, что это поможет кому-то другому.
Сбросить пароль администратора LDAP
Сначала я сгенерировал хеш пароля с помощью slappasswd.
root@laptop:/etc/ldap/slapd.d# slappasswd
New password:
Re-enter new password:
{SSHA}<hash redacted>
Затем мне нужно было найти, где был установлен пароль администратора. Я сделал это с помощью:
root@laptop:/etc/ldap/slapd.d# ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config olcRootDN=cn=admin,dc=nodomain dn olcRootDN olcRootPW
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcDatabase={1}mdb,cn=config
olcRootDN: cn=admin,dc=nodomain
olcRootPW: {SSHA}<hash redacted>
Ваш DC может отличаться в команде, в зависимости от того, как вы все настроили. Хотел бы я дать лучший ответ, чем этот, о том, кем вы должны быть, но я не совсем понимаю LDAP. По сути, все, что я делал, было под dc = nodomain. Ты настроен скорее всего будет по другому.
Затем я использовал ldapmodify, чтобы сбросить пароль администратора на то, что я знаю. Обратите внимание, что я ввел и команду, и строки, начинающиеся с «dc:», «replace:» и «olcRootPw:». Вам нужно поставить пустую строку после последней строки, чтобы ldapmodify применил предыдущие команды.
root@laptop:/etc/ldap/slapd.d# ldapmodify -Y EXTERNAL -H ldapi:///
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcDatabase={1}mdb,cn=config
replace: olcRootPW
olcRootPW: {SSHA}<new hash from slappasswd>
В oldcDatabase
ценность поднята с ldapsearch
команда и ваша может отличаться от моей. Если в результатах поиска не было предыдущего olcRootPw, возможно, вам придется использовать add
вместо того replace
в приведенной выше команде изменения.
Ctrl-C завершает нашу сессию ldapmodify.
Теперь у меня есть пароль администратора LDAP, который я знаю, и могу приступить к сбросу учетной записи пользователя.
Сбросить пароль пользователя LDAP
Я использовал slappasswd, чтобы сгенерировать новый хэш пароля для пароля пользователя. Эта команда одинакова для обоих сбросов пароля.
root@laptop:/etc/ldap/slapd.d# slappasswd
New password:
Re-enter new password:
{SSHA}<hash redacted>
Затем я выполнил команду ldapmodify, но на этот раз немного иначе:
ldapmodify -H ldapi:/// -D "cn=admin,dc=nodomain" -W
В -D
опция сообщает LDAP, что я работаю как администратор (или кто бы то ни было в кавычках после -D). Ваш dc
стоимость конечно может быть разная. В -W
опция указывает LDAP запрашивать у меня пароль администратора.
После ввода пароля администратора LDAP (который я сбросил выше) я дал команду установить пароль пользователя. Вот что я запустил:
dn: uid=smm,ou=People,dc=nodomain
add: userPassword
userPassword: {SSHA}<new password hash>
Первая строка - это dn, чтобы указать, какому пользователю нужен пароль для сброса. Вторая строка - это либо add
команда, если userPassword не установлен или replace
команда, если userPassword уже установлен. Третья строка - это новый хэш пароля, который должен использовать LDAP. Введите пустую строку после третьей, чтобы сообщить ldapmodify, что вы закончили ввод команды и она должна ее запустить. Надеюсь, вы получите такой результат:
modifying entry "uid=smm,ou=People,dc=nodomain"
Теперь у меня есть новый пароль и для моего пользователя.