我使用 OpenLDAP 2.4.57 启用了 refint 和 memberof 覆盖，但是当我创建 groupOfNames 时出现memberof_value_modify .. failed err=32错误。我还启用了带备件的syncprov。我究竟做错了什么？

组加法

$ ldapadd -W -x -D cn=admin,dc=mydomain,dc=tld << EOF
dn: cn=mygroup,ou=groups,dc=mydomain,dc=tld
objectClass: top
objectClass: groupOfNames
cn: mygroup
member: cn=myüser,ou=members,dc=mydomain,dc=tld
EOF

错误日志

slapd: conn=132979 op=1: memberof_value_modify DN="cn=myüser,ou=members,dc=mydomain,dc=tld" add memberOf="cn=mygroup,ou=groups,dc=mydomain,dc=tld" failed err=32
slapd: <= bdb_equality_candidates: (memberOf) not indexed

配置

$ sudo ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=module{0},cn=config
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModulePath: /usr/lib/ldap
olcModuleLoad: {0}back_hdb
olcModuleLoad: {1}syncprov
olcModuleLoad: {2}memberof
olcModuleLoad: {3}refint

$ sudo ldapsearch -Y EXTERNAL -H ldapi:/// -b olcOverlay={0}memberof,olcDatabase={1}hdb,cn=config
dn: olcOverlay={0}memberof,olcDatabase={1}hdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfNames
olcMemberOfMemberAD: member
olcMemberOfMemberOfAD:: bWVtYmVyT2Yg

$ sudo ldapsearch -Y EXTERNAL -H ldapi:/// -b olcOverlay={2}refint,olcDatabase={1}hdb,cn=config
dn: olcOverlay={2}refint,olcDatabase={1}hdb,cn=config
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: {2}refint
olcRefintAttribute: memberof member manager owner

我将 OpenLDAP 2.4.54 与 Alpine 一起使用。这是我的 ldap 配置

$ sudo slapcat -n0
dn: olcDatabase={-1}frontend,cn=config
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: {-1}frontend
structuralObjectClass: olcDatabaseConfig
entryUUID: afb8286a-68e7-426d-8a9f-91f52935c4af
creatorsName: cn=config
createTimestamp: 20200807074746Z
entryCSN: 20200807074746.355242Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20200807074746Z

dn: olcDatabase={0}config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: {0}config
olcAccess: {0}to *  by * none
olcAddContentAcl: TRUE
olcLastMod: TRUE
olcMaxDerefDepth: 15
olcReadOnly: FALSE
olcRootDN: cn=config
olcSyncUseSubentry: FALSE
olcMonitoring: FALSE
structuralObjectClass: olcDatabaseConfig
entryUUID: 570fed11-408d-42a2-bf96-3e063cc8276e
creatorsName: cn=config
createTimestamp: 20200807074746Z
entryCSN: 20200807074746.355548Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20200807074746Z

dn: olcDatabase={1}mdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {1}mdb
olcDbDirectory: /var/lib/openldap/openldap-data
olcSuffix: dc=mydomain,dc=tld
olcRootDN: cn=admin,dc=mydomain,dc=tld
olcRootPW:: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
olcDbIndex: objectClass eq
structuralObjectClass: olcMdbConfig
entryUUID: 5e4e308d-3243-4dd0-aa45-d289eb5575ab
creatorsName: cn=config
createTimestamp: 20200807074746Z
entryCSN: 20200807074746.355490Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20200807074746Z

我无法使用 SASL 身份验证编辑 cn=config 数据库：

ldapmodify -Y EXTERNAL -H ldapi:/// -f anything.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=1000+uidNumber=1000,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Insufficient access (50)

我无法使用根 dncn=config进行身份验证：

ldapmodify -H ldapi:/// -D cn=config -f anything.ldif
ldap_bind: Server is unwilling to perform (53)
    additional info: unauthenticated bind (DN with no password) disallowed

现在。既然我似乎对此没有任何权限，我该如何编辑此数据库中的任何内容？我可以尝试使用gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authwitholcAccess或添加olcRootPWfor访问权限，cn=config但我无权执行此操作。

我该如何解决这是一个先有鸡还是先有蛋的问题？

有没有办法自动检查是否memberof使用 openldap 启用了覆盖？那里有很多教程解释了如何启用memberof，但是我怎么知道这是否已经启用？基于控制台的解决方案将不胜感激。

apache mod_authnz_ldap AuthLDAPURL指令可以有几个 ldap URI，如文档中所示：

AuthLDAPURL "ldap://ldap1.example.com ldap2.example.com/dc=..."

但是，如果我需要不同 ldap 服务器的不同绑定信息（AuthLDAPBindDN和AuthLDAPBindPassword），我该如何实现呢？似乎每个人只能有一个。另外，如何将密码与 ldap URI 匹配？

根据这篇博文，我有一个使用 OpenSMTPD 6.6.4（托管在 debian 10 上）的工作设置，该设置插入到 OpenLDAP 2.4.50 服务器（托管在 Alpine 3.8 上）上。它适用于普通 LDAP 连接，但适用于 LDAPS。

/etc/smtpd.conf

pki mail.mydomain.tld cert "/path/to/fullchain.pem"
pki mail.mydomain.tld key "/path/to/privkey.pem"
pki mail.mydomain.tld dhe auto

public_addr = "xxx.xxx.xxx.xxx"
listen on $public_addr port 465 smtps pki mail.mydomain.tld auth
listen on $public_addr port 587 tls-require pki mail.mydomain.tld auth

table ldap ldap:/etc/mail/ldap.conf

action dovecot lmtp "/var/run/dovecot/lmtp" userbase <ldap>
action "relay" relay

match from any for domain "mydomain.tld" action "dovecot"
match from any action "relay"

/etc/mail/ldap.conf

url                     ldap://ldap.mydomain.tld
username                cn=admin,dc=mydomain,dc=tld
password                xxxxxxxx
basedn                  ou=Users,dc=mydomain,dc=tld

...

切换到ldaps://ldap.mydomain.tldin/etc/mail/ldap.conf会使 OpenSMTPD 无法启动：

Jul 16 16:26:55 mail.mydomain.tld systemd[1]: Starting OpenSMTPD SMTP server...
Jul 16 16:26:55 mail.mydomain.tld smtpd[5073]: info: OpenSMTPD 6.6.4p1 starting
Jul 16 16:26:55 mail.mydomain.tld systemd[1]: Started OpenSMTPD SMTP server.
Jul 16 16:26:55 mail.mydomain.tld smtpd[5077]: warn: table-proc: imsg_read: Connection reset by peer
Jul 16 16:26:55 mail.mydomain.tld smtpd[5077]: lookup: table-proc: exiting
Jul 16 16:26:55 mail.mydomain.tld smtpd[5074]: warn: parent -> lka: imsg_read: Connection reset by peer
Jul 16 16:26:55 mail.mydomain.tld smtpd[5074]: smtpd: exiting: Connection reset by peer

如何修复此配置以启用ldaps与 OpenSMTPD 的连接？

我在 Alpine 3.8 系统上安装了 OpenLDAP 2.4.50，还有两个 Debian 10 客户端——我们称它们为 A 和 B——试图连接 ldap 服务器。我的问题是第一个可以，第二个不能。

A 和 B 是相同的机器，都安装了最新的 Debian 10。客户端 A 可以连接 ldap 服务器ldapsearch -x -b "dc=mydomain,dc=tld" -H ldaps://ldap.mydomain.tld/，但客户端 B 失败。以下是客户端 B 尝试连接时服务器显示的内容：

Jul 16 12:46:39 reglisse local4.debug slapd[17451]: conn=1132 fd=22 ACCEPT from IP=xxx.xxx.xxx.xxx:45444 (IP=0.0.0.0:636)
Jul 16 12:46:39 reglisse local4.debug slapd[17451]: conn=1132 fd=22 TLS established tls_ssf=256 ssf=256
Jul 16 12:46:39 reglisse local4.debug slapd[17451]: conn=1132 fd=22 closed (connection lost)

• 服务器证书已使用certbot.
• 客户端 A 和客户端 B 都可以使用ldapsearch -x -b "dc=mydomain,dc=tld" -H ldap://ldap.mydomain.tld/ -v. 这应该证明没有网络问题，并且服务器正确监听了389端口。
• 客户端 A 和客户端 B 都可以成功连接到 ldaps 端口openssl s_client -connect ldap.mydomain.tld:636 -showcerts。这应该证明服务器正确地监听了 636 端口。
• 客户端 A 和客户端 B 都ldap-utils安装了相同的包版本，并ldd /usr/bin/ldapsearch表明两个二进制文件都是针对相同的库构建的。这应该证明两个客户端是相同的。
• 服务器slapd.conf绝对没有什么花哨的：

suffix dc=mydomain,dc=tld
rootdn cn=admin,dc=mydomain,dc=tld
rootpw "xxxxxxxxxxx"
TLSCertificateKeyFile /etc/openldap/certs/privkey.pem
TLSCACertificateFile /etc/openldap/certs/fullchain.pem
TLSCertificateFile /etc/openldap/certs/cert.pem
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/inetorgperson.schema

那么，我在这里做错了什么？

我每周在我的服务器上运行一次 clamav 扫描。有一台带有 30TB 磁盘空间的 raid6 集群的服务器，其中运行扫描需要超过 24 小时。

所以我想知道如何利用服务器拥有的几个内核在整个文件系统上运行 clamscan？服务器具有良好的 i/o 容量，我希望扫描速度与硬件一样快。

我知道 的--multiscan参数clamdscan。我对 clamdscan 的主要问题是它无法处理clamav用户无法访问的文件，而且似乎不鼓励以 root 身份运行守护进程。

我看到有些人正在使用并行来实现这一点，但我找不到一个可以真正扫描整个文件系统的干净命令。