什麼時候需要 ldapi:// -Y EXTERNAL？顯然， cosine.ldif 沒有它就會中斷

我是 OpenLDAP（但不是 Microsoft Active Directory）的新手，並且正在閱讀 zytrax 的 openldap 指南。我在 CentOS 7.4 上使用 OpenLDAP 2.4.44，如下所示：

@(#) $OpenLDAP: slapd 2.4.44 (Aug  4 2017 14:23:27) $
   mockbuild@c1bm.rdu2.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd

我想添加餘弦（以及後來的 inetorgperson）模式，但這失敗了：

ldapadd -f /etc/openldap/schema/cosine.ldif
ldap_sasl_interactive_bind_s: No such attribute (16)

而這有效：

ldapadd -H ldapi:/// -Y EXTERNAL -f /etc/openldap/schema/cosine.ldif

誰能解釋為什麼？顯然， ldapi:// -Y EXTERNAL 似乎表示 SASL，但我還沒有找到 zytrax 關於為什麼/何時在 OLC 中使用 ldapi:// 而不是 ldapadd 命令的解釋。

ldapadd -H ldapi:/// -Y EXTERNAL ...當您想要修改時使用cn=config- LDAP 配置本身。LDAP 模式是cn=config.

• -H ldapi:///- 使用 UNIX 域套接字 ( /var/run/ldapi)
• -Y EXTERNAL- 對 SASL 使用外部機制

我不是 SASL 機制方面的專家，但在這種情況下，如果使用者的 UID 和 GID 等於 0，則身份驗證將成功 - 是根。

引用自：https://serverfault.com/questions/881274