OpenLDAP ACL 不起作用 - 错误代码 50 - 没有对父级的写访问权限

分类:编程问答

如何解决OpenLDAP ACL 不起作用 - 错误代码 50 - 没有对父级的写访问权限

我为应用服务构建了几个 OpenLDAP 服务器。两台服务器在配置方面似乎都很好,我可以使用 Apache Directory Studio 作为 RootDN cn=admin,dc=somedomain,dc=com 管理这些。并且复制也在它们之间起作用。这些是通过编译 OpenLDAP 源代码在 RHEL8 上构建的,因为不再提供 OpenLDAP 服务器包。 OpenLDAP 版本为 2.4.52。

我可以通过 Directory Studio 创建 OU 和用户,并在应用中使用其中之一作为服务帐户进行身份验证。在这种情况下,用户是 uid=svc-admin,ou=Admins,ou=People,dc=com,OU 如下:

  • ou=Admins,dc=com
  • ou=Readers,dc=com
  • ou=Users,dc=com

现在的要求是用户 svc-admin 应该对上述 OU 具有写入/完全权限,因为该应用程序旨在配置新用户,并且它将使用 svc 写入上述 OU -admin 作为服务帐户。它应该能够创建用户并修改他们的属性。

我创建了一个 ACL 并且能够使用 ldapmodify 应用它,但是,当我作为 Apache DS 上的 svc-admin 连接到 LDAP 服务器时,我可以读取但不能修改或创建新用户。当我这样做时,我通过 Apache DS 和 shell 都收到错误消息。 权限不足 - 错误 50 - 没有对父级的写入权限

这是我使用的 ACL:

library(doParallel)

un_id <- unique(data2$id)
out <- vector('list',length(un_id))
names(out) <- un_id
registerDoParallel(cl <- makeCluster(length(un_id)))
for(id1 in un_id) {
    subdat <- subset(data2,id == id1)
    out[[id1]] <- foreach(i = seq_len(nrow(subdat))) %dopar% {
      a <- matrix(nrow = nrow(subdat),ncol=2)
       for (j in seq(i)) {
         for (k in 1:2) {
             a[j,k] <- j*k
          }
        }
        a
     }
     
  
}

stopCluster(cl)

它不起作用。这是我的 olcDatabase={1}mdbolcDatabase={0}config 文件。 我清理了 ACL,因为它们没有任何作用

olcDatabase={1}mdb

dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcAccess
olcAccess: to dn.subtree="ou=People,dc=com" by dn.exact="uid=svc-admin,dc=com" write
olcAccess: to dn.subtree="ou=Users,dc=com" write
olcAccess: to dn.subtree="ou=Readers,dc=com" write

olcDatabase={0}config:

# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 54063f10
dn: olcDatabase={1}mdb
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {1}mdb
olcDbDirectory: /var/lib/openldap
olcSuffix: dc=somedomain,dc=com
olcAccess: {0}to attrs=userPassword,shadowLastChange,shadowExpire by self wr
 ite by anonymous auth by dn.subtree="gidNumber=0+uidNumber=0,cn=peercred,cn
 =external,cn=auth" manage  by * none
olcAccess: {1}to dn.subtree="dc=somedomain,dc=com" by dn.subtree="gidNumber=
 0+uidNumber=0,cn=external,cn=auth" manage by users read by * re
 ad
olcRootDN: cn=admin,dc=com
olcRootPW:: e1NTSEF9dkc0ZkIyYkZrYVduNU1BbTdkAHQ5ZXE0WlFEUHBSSGk=
olcDbIndex: uid pres,eq
olcDbIndex: cn,sn pres,eq,approx,sub
olcDbIndex: mail pres,sub
olcDbIndex: objectClass pres,eq
olcDbIndex: loginShell pres,eq
olcDbIndex: entryCSN eq
olcDbIndex: entryUUID eq
olcDbMaxSize: 42949672960
structuralObjectClass: olcMdbConfig
entryUUID: 3b57a8aa-b1d8-103a-87d6-7198db52aeab
creatorsName: gidNumber=0+uidNumber=0,cn=auth
createTimestamp: 20201103042439Z
olcSyncrepl: {0}rid=003 provider=ldaps://ldapserver01.somedomain.com binddn="
 cn=admin,dc=com" bindmethod=simple credentials="TestCreds" s
 earchbase="dc=somedomain,dc=com" type=refreshAndPersist timeout=0 network-t
 imeout=0 retry="30 5 300 +"
olcSyncrepl: {1}rid=004 provider=ldaps://ldapserver02.somedomain.com binddn="
 cn=admin,dc=com" type=refreshAndPersist timeout=0 network-t
 imeout=0 retry="30 5 300 +"
olcMirrorMode: TRUE
entryCSN: 20210202222100.054442Z#000000#001#000000
modifiersName: gidNumber=0+uidNumber=0,cn=auth
modifyTimestamp: 20210202222100Z

我该如何解决这个问题。非常感谢您对解决此问题的任何帮助。

解决方法

我认为这可能不是合适的方法,但它对我有用。我从 olcDatabase={1}mdb ..

中删除了以下 ACL 
olcAccess: {0}to attrs=userPassword,shadowLastChange,shadowExpire by self wr
 ite by anonymous auth by dn.subtree="gidNumber=0+uidNumber=0,cn=peercred,cn
 =external,cn=auth" manage  by * none
olcAccess: {1}to dn.subtree="dc=somedomain,dc=com" by dn.subtree="gidNumber=
 0+uidNumber=0,cn=external,cn=auth" manage by users read by * re
 ad

..并在 LDIF 文件中添加以下内容,现在用户帐户 svc-admin 可以执行该应用程序想要它执行的所有操作。

dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword by self write by dn.exact="uid=svc-admin,ou=Admins,ou=People,dc=somedomain,dc=com" write by anonymous auth by * none
olcAccess: {1}to attrs=shadowLastChange by self write by dn.exact="uid=svc-admin,dc=com" write by * read
olcAccess: {2}to dn.subtree="ou=People,dc=com" by dn.exact="uid=svc-admin,dc=com" write
olcAccess: {3}to * by * read

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

导入项目后报错问题
依赖报错 idea导入项目后依赖报错,解决方案:https://blog.csdn.net/weixin_42420249/article/details/81191861 依赖版本报错:更换其他版本 无法下载依赖可参考:https://blog.csdn.net/weixin_42628809/a
idea不能识别yaml文件
使用mybatis plus常见错误
错误1:代码生成器依赖和mybatis依赖冲突 启动项目时报错如下 2021-12-03 13:33:33.927 ERROR 7228 [ main] o.s.b.d.LoggingFailureAnalysisReporter : *************************** APPL
gradle常见问题与错误
错误1:gradle项目控制台输出为乱码 # 解决方案:https://blog.csdn.net/weixin_43501566/article/details/112482302 # 在gradle-wrapper.properties 添加以下内容 org.gradle.jvmargs=-Df
Mybatis Plus传入参数0不起作用
错误还原:在查询的过程中,传入的workType为0时,该条件不起作用 &lt;select id=&quot;xxx&quot;&gt; SELECT di.id, di.name, di.work_type, di.updated... &lt;where&gt; &lt;if test=&qu
linux中make编译源码包失败
报错如下,gcc版本太低 ^ server.c:5346:31: 错误:‘struct redisServer’没有名为‘server_cpulist’的成员 redisSetCpuAffinity(server.server_cpulist); ^ server.c: 在函数‘hasActiveC
微服务启动错误:Command line is too long. Shorten command line for
解决方案1 1、改项目中.idea/workspace.xml配置文件,增加dynamic.classpath参数 2、搜索PropertiesComponent,添加如下 &lt;property name=&quot;dynamic.classpath&quot; value=&quot;tru
vue常见错误
删除根组件app.vue中的默认代码后报错:Module Error (from ./node_modules/eslint-loader/index.js): 解决方案:关闭ESlint代码检测,在项目根目录创建vue.config.js,在文件中添加 module.exports = { lin
spark常见错误
查看spark默认的python版本 [root@master day27]# pyspark /home/software/spark-2.3.4-bin-hadoop2.7/conf/spark-env.sh: line 2: /usr/local/hadoop/bin/hadoop: No s
matplotlib报错:AttributeError: module 'backend_interagg' has no attribute 'FigureCanvas'. Did you mean: 'FigureCanvasAgg'?
使用本地python环境可以成功执行 import pandas as pd import matplotlib.pyplot as plt # 设置字体 plt.rcParams[&#39;font.sans-serif&#39;] = [&#39;SimHei&#39;] # 能正确显示负号 p
gitlab登录失败,报错:This challenge page was accidentally cached by an intermediary and is no longer available.
设置时间 控制面板
后端开发常见错误
错误1:Request method ‘DELETE‘ not supported 错误还原:controller层有一个接口,访问该接口时报错:Request method ‘DELETE‘ not supported 错误原因:没有接收到前端传入的参数,修改为如下 参考 错误2:cannot r
docker常见错误
错误1:启动docker镜像时报错:Error response from daemon: driver failed programming external connectivity on endpoint quirky_allen 解决方法:重启docker -&gt; systemctl r
idea常见错误
错误1:private field ‘xxx‘ is never assigned 按Altʾnter快捷键,选择第2项 参考:https://blog.csdn.net/shi_hong_fei_hei/article/details/88814070 错误2:启动时报错,不能找到主启动类 #
pip安装依赖失败
报错如下,通过源不能下载,最后警告pip需升级版本 Requirement already satisfied: pip in c:\users\ychen\appdata\local\programs\python\python310\lib\site-packages (22.0.4) Coll
maven常见错误
错误1:maven打包报错 错误还原:使用maven打包项目时报错如下 [ERROR] Failed to execute goal org.apache.maven.plugins:maven-resources-plugin:3.2.0:resources (default-resources)
cloud项目中常见错误
错误1:服务调用时报错 服务消费者模块assess通过openFeign调用服务提供者模块hires 如下为服务提供者模块hires的控制层接口 @RestController @RequestMapping(&quot;/hires&quot;) public class FeignControl
springboot常见错误
错误1:运行项目后报如下错误 解决方案 报错2:Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.8.1:compile (default-compile) on project sb 解决方案:在pom.
springmvc拦截器中使用redisTemplate报空指针异常
参考 错误原因 过滤器或拦截器在生效时,redisTemplate还没有注入 解决方案:在注入容器时就生效 @Component //项目运行时就注入Spring容器 public class RedisBean { @Resource private RedisTemplate&lt;String
vite报错:npm ERR! command C:WINDOWSsystem32cmd.exe /d /s /c C:UsersychenAppDataLocalTempnpx-dde1c848.cmd
使用vite构建项目报错 C:\Users\ychen\work&gt;npm init @vitejs/app @vitejs/create-app is deprecated, use npm init vite instead C:\Users\ychen\AppData\Local\npm-
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot