Estou integrando openldap com MIT kerberos e tenho algumas perguntas sobre isso.
Consegui fazer essa integração e os serviços do kerberos apenas começando com
ldap_kerberos_container_dn = cn=kerberos,dc=myldap,dc=com
mas quando eu uso ou [ldap_kerberos_container_dn = ou = kerberos, dc = myldap, dc = com], ele não cria automaticamente nenhuma entrada no openldap, mas com cn ele faz. Também com ou = kerberos, se eu adicionar manualmente um ou = kerberos, então eu posso ver as entradas de padrões do kerberos no opendap no ou.
Alguém pode explicar por que isso acontece? Será que vai ter um impacto se eu for com ou não em vez de cn?
Em segundo lugar: -
Ao fazer kadmin.local, estou recebendo um erro por privilégios insuficientes.
add_principal: Principal add failed: Insufficient access while creating "[email protected]
Eu sei que isso acontece porque no meu openLDAP, o ldap_kadmind_dn não tem privilégios de gravação no território EXAMPLE.COM dentro do kerberos recipiente. Eu fiz a configuração usando ldap aberto online não arquivo slapd.conf, então por favor, deixe-me saber como posso conceder escrever privilégios para isso.
requer informações: - de /etc/krb5.conf
ldap_kadmind_dn = cn=krbadmin, ou=people, dc=myldap, dc=com
Eu tentei adicionar o oclAccess como abaixo usando o LDIF, mas obtendo o erro: -
dn: olcDatabase={2}bdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to dn.subtree="cn=EXAMPLE.COM,cn=kerberos,dc=myldap,dc=com" by
dn="cn=krbadmin,ou=people,dc=myldap,dc=com" write by anonymous auth by self write by * none