未知的 LDAP cn=config 管理员密码

我不知道当前的 Ubuntu 软件包是如何进行初始 OpenLDAP 设置的，但在 10.04 和 12.04 中，该过程对 cn=config 的影响并不大。如果设置，您应该在属性olcRootPW中找到密码/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif（它可能是 base64 编码的）。

要更改密码，请ldapmodify以 root 身份使用。将此保存为 LDIF 文件rootpw_cnconfig.ldif：

dn: olcDatabase={0}config,cn=config
更改类型：修改
替换：olcRootPW
olcRootPW: foobar123

注意：要更改 CentOS7 上的 root 密码，请dn: olcDatabase={2}hdb,cn=config使用dn: olcDatabase={0}config,cn=config.

显然将您的密码设置为foobar123. 然后运行ldapmodify：

$ sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f rootpw_cnconfig.ldif

这假定cn=config可以使用 ldapi 协议 ( -H ldapi:///) 访问 LDAP 服务器和数据库，并且外部 SASL 身份验证 ( -Y EXTERNAL) 已启用并正常工作，默认情况下它应该在 Debian 和 Ubuntu 中的新 OpenLDAP 设置中进行。如果你看/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif它应该包含一个属性olcAccess：

olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
  ,cn=auth 由 * break 管理

如果您不知道如何更改默认情况下（在某些 openldap 分发中）cn=config具有的访问权限，这里是解决方法：access to * by * none

1. 创建适当的 slapd.conf ，其中包含：

database config
rootdn "cn=admin,cn=config"
rootpw password
access to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break

2. 将其转换为 LDIF：

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

3. 跑slapd
4. 使用 SASL 授权添加/修改 LDAP 数据库，例如：

sudo ldapadd -Y EXTERNAL -Q -H ldapi:/// <<EOF
dn: cn=config
objectClass: olcGlobal
cn: config
olcIdleTimeout: 30
olcLogLevel: stats config sync
olcArgsFile: /run/openldap/slapd.args
olcPidFile: /run/openldap/slapd.pid

dn: cn=schema,cn=config
objectClass: olcSchemaConfig
cn: schema

include: file:///etc/openldap/schema/core.ldif

dn: olcDatabase=frontend,cn=config
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: frontend

dn: olcDatabase=mdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: mdb
olcSuffix: dc=my-domain,dc=com
olcRootDN: cn=Manager,dc=my-domain,dc=com
olcRootPW: secret
olcDbDirectory: /var/lib/openldap/openldap-data
olcDbIndex: objectClass eq
EOF