Ao modificar a configuração Open-LDAP usando:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" write
by * none
Eu recebo o erro:
ldap_modify: Other (e.g., implementation specific) error (80)
additional info: <olcAccess> handler exited with 1
Isso ocorre porque a continuação de linha no arquivo ldif remove o primeiro espaço e o atributo é considerado: {0}to *by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" writeby * none (que é inválido)
Então, coloque um espaço extra na frente das continuações de linha:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" write
by * none
Tenha em mente que esse erro é gerado quando sua instrução olcAccess também possui outros problemas de sintaxe. Por exemplo, eu usei uma palavra-chave em uma das minhas cláusulas 'por' que não pertenciam lá e em vez de me dizer "você não pode usar 'UID' aqui" dizia "slapd: linha 0: esperando que 'access' tenha [meu DN] ". Os erros para essa coisa são obtusos.
Você precisa criar este arquivo mod_acl.ldif com o seguinte conteúdo com o formato exato, muito complicado. E use o seguinte comando:
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f mod_acl.ldif
O resultado esperado é:
modifying entry "olcDatabase={1}mdb,cn=config"
dn: olcDatabase={1}mdb,cn=config
replace: olcAccess
olcAccess: to attrs=userPassword,shadowLastChange,krbPrincipalKey
by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write
by * none
-
add: olcAccess
olcAccess: to dn.base=""
by * read
-
add: olcAccess
olcAccess: to *
by dn="cn=admin,dc=example,dc=com" write
by * read
Tenha cuidado, pois o tipo de banco de dados do Ldap pode mudar dependendo da sua implementação
pode ser mdb , hdb ou outro depende da sua instalação.
Tags openldap