Norman Gray's questions

我试图弄清楚为什么防火墙没有像我认为我要求的那样运行，因此试图弄清楚如何以firewalld类似于iptables配置文件的某种格式显示其完整的规则集。或者其他一些格式——我不太在意——只要它至少与iptablesorpf配置一样具有可读性（即，这是一个非常低的清除标准！）。

• firewall-cmd --list-all诸如“列出为区域添加或启用的所有内容”之类的命令。但这只是列出了接口、服务等，没有进一步的细节。我看不到--list-all-no-really-everything选项。
• 我以为我在阅读direct规则时发现了它，但我发现这只适用于作为额外“直接”规则添加的规则，而不是它首次出现的进入机舱的活板门。
• 我看到了配置文件/etc/firewalld和/usr/lib/firewalld. 但是，虽然这乍一看很有希望，而且评论很漂亮，但它似乎并没有真正告诉我关于当前状态的太多信息。像这样的问题是关于导出规则（用于移动到其他地方），并表明这就是全部（我猜公共区域中提到的服务中提到的端口被阻止传入......？）。

我的理解（如果我错了，请纠正我）是firewalld里面有类似 iptables 的东西，它正在做所有的实际工作，它有某种可以找到的状态--reload，嗯，……重新加载。这就是我希望找到的状态。

也许我很模糊，但我发现整体的间接性和帮助性firewall-cmd完全无法理解。是的，著名的“计算科学中的每个问题都可以通过添加另一层间接来解决”，但有时这可能会走极端。

我可能根本没有防火墙问题，但我无法充分了解防火墙状态以排除这种情况。是否有切换到 iptables 的情况（我绝望地想知道）？设置起来比较麻烦，而且很容易出错，但至少我知道发生了什么。

我非常愿意接受挑战，或者被告知我在找错树。

在 OpenLDAP（2.4.45，在 FreeBSD 上）中，我试图通过仅在通过套接字建立连接时才授予 DN 访问权限来限制 DN 对属性的访问；但没有成功。

我正在尝试的是

olcAccess: to attrs=userPassword
  by dn.base="uid=pwreset,ou=service,dc=example,dc=edu" 
     sockname.exact="/var/run/openldap/ldapi"
  write

（想法是pwresetDN 可以由自动密码重置脚本使用，但只有当脚本与 LDAP 服务器在同一台机器上运行时，该 DN 才具有该访问权限）。

这by句话似乎与 Sect 中的产生相匹配。OpenLDAP 访问控制文档的第 8.3节，以及 slapd.access(5) 中的备注，即<who>字段中的项目“可以组合指定”。确实没有生成语法警告。我假设这个组合意味着一个AND而不是一个OR——这在文档中没有明确说明。我在 OpenLDAP 文档或网络上都找不到涉及此内容的示例。

当元素不存在时，此节有效sockname，表明配置按我预期的方式工作。

当我尝试userPassword使用此 DN 编写属性时，ldap_modify: Insufficient access (50)出现错误。

OpenLDAP 文档没有（有点令人惊讶）明确说明这个sockname元素的效果是什么，并且 slapd.access(5) 页面相当隐晦地说：

语句peername=<peername>, sockname=<sockname>, domain=<domain>, 和sockurl=<sockurl>表示连接主机 IP（以IP=<ip>:<port>IPv4 或IP=[<ipv6>]:<port>IPv6 的形式）或连接主机的命名管道文件名（PATH=<path>如果通过命名管道连接，则以形式）用于 peername，命名管道文件名对于 sockname，与域的联系主机名和 sockurl 的联系 URL 进行比较pattern以确定访问。

这实际上并没有说太多。

我是否完全误解了此访问规范的要点，还是有其他方法可以做到这一点？

我正在尝试配置 openldap 2.4.33（从 OS X 10.8 上的源代码构建）以支持 digest-md5 身份验证，但没有成功。我无法进行身份验证，出现错误no secret in database，而且我终生无法找出原因。

到目前为止的配置...

我有一个用户指定如下：

dn: cn=eb01,ou=bennet,o=meryton
objectclass: Person
objectclass: inetOrgPerson
cn: eb01
givenname: Elizabeth
sn: Bennet
userPassword: pw1
# or try...
#userPassword:: cHcx
#userPassword: {CLEARTEXT}pw1

（并且那里没有尾随空格，我已经检查过了！）。我为 cn=config 配置了适当的 olcAuthzRegexp 条目，以将身份验证身份映射到正确的 dn：

olcAuthzRegexp: uid=([^,]*),cn=digest-md5,cn=auth
  ldap:///o=meryton??sub?(cn=$1)

但是，当我搜索时，我无法进行身份验证：

% ldapsearch -H ldap://localhost:8389 -LLL -b o=meryton \
      -Y DIGEST-MD5 -X u:eb01 -w pw1
SASL/DIGEST-MD5 authentication started
ldap_sasl_interactive_bind_s: Invalid credentials (49)
    additional info: SASL(-13): user not found: no secret in database
%

来自服务器的调试信息表明我正在正确地进行映射：

5120be85 <==slap_sasl2dn: Converted SASL name to cn=eb01,ou=bennet,o=meryton
5120be85 slap_sasl_getdn: dn:id converted to cn=eb01,ou=bennet,o=meryton
5120be85 SASL Canonicalize [conn=1000]: slapAuthzDN="cn=eb01,ou=bennet,o=meryton"
5120be85 SASL [conn=1000] Failure: no secret in database
5120be85 send_ldap_result: conn=1000 op=1 p=3
5120be85 send_ldap_result: err=49 matched="" text="SASL(-13): user not found: no secret in database"

但是，尽管该聊天记录包含访问请求的日志：

5120be85 => access_allowed: auth access to "cn=eb01,ou=bennet,o=meryton" "cn" requested

chatter 不包含userPassword对该属性 的任何访问请求日志。

也就是说，在这种配置中，服务器似乎不知道该userPassword属性是它应该执行 digest-md5 身份验证的秘密。我还没有配置它，但是 (a) 我觉得这是默认密码，(b) 我在联机帮助页或 openldap 手册中找不到任何似乎指示如何配置它的内容，以及 (c)在各种在线建议中找不到任何提示，甚至暗示这是必要的。

简单的身份验证就可以了。

现在，这是一个有点奇怪的配置——明文密码，没有 SASL 数据库，因为这是一个虚拟/轻量级 LDAP 配置，用于运行回归测试——但我完全不知道要读什么接下来，或任何更多的关键字或日志文件片段来谷歌搜索。整个星球上似乎没有人遇到过这个确切的问题（这不是那么奇特），所以我怀疑我以某种方式用配置的另一部分打破了这个问题。但我相信我了解配置中的其他所有内容都在做什么，并且......没有什么明显的。

我有一种令人讨厌的感觉，这将有一个令人头疼的简单修复，但现在，我对任何想法都持开放态度。