ldap_modify: cn=config as -H ldapi:/// -Y EXTERNAL 訪問不足 (50)

我正在設置第二個 LDAP 伺服器。我已經slapd.conf使用. 我正在嘗試應用此 LDIF：slapd.d``slaptest

# cat loglevel.ldif
dn: cn=config
changetype:modify
replace: olcLogLevel
olcLogLevel: any

出現此錯誤：

# ldapmodify -H ldapi:/// -Y EXTERNAL -D 'cn=config' -f loglevel.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Insufficient access (50)

ldapwhoami輸出：

# ldapwhoami -Y EXTERNAL -H ldapi:///
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

配置數據庫slapcat -n0：

dn: olcDatabase={0}config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: {0}config
olcAccess: {0}to *  by * none
olcAddContentAcl: TRUE
olcLastMod: TRUE
olcMaxDerefDepth: 15
olcReadOnly: FALSE
olcRootDN: cn=admin,cn=config
olcRootPW:: c2VjcmV0
olcSyncUseSubentry: FALSE
olcMonitoring: FALSE
structuralObjectClass: olcDatabaseConfig
entryUUID: a00805da-2405-1035-8da5-7568f1e7aea1
creatorsName: cn=config
createTimestamp: 20151120190701Z
entryCSN: 20151120190701.894877Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20151120190701Z

如何使命令起作用？

我需要做些什麼來啟用該-Y EXTERNAL機制嗎？

我需要更改olcRootDN屬性cn=config嗎？我可以嘗試使用/etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif文件中的文本編輯器對其進行更改。

您目前的 rootdn 是cn=admin,cn=config，並且您目前的 rootpw 是“秘密”。

SASL/EXTERNAL 已啟用並正在工作。但是，您的cn=config數據庫配置並沒有提供root（也就是gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth任何特殊權限。

要將您的 rootdn 轉換為本地 root，您應該執行以下命令或其等效命令。

ldapmodify -D cn=admin,cn=config -w secret -H ldapi:/// <<EOF
dn: olcDatabase={0}config,cn=config
replace: olcrootdn
olcrootdn: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
-
delete: olcrootpw
-
EOF

引用自：https://serverfault.com/questions/737889