fghj's questions

我有

dn: ou=people,dc=example,dc=com
objectClass: organizationalUnit
ou: people

和它的管理员组：

dn: cn=people-admins,ou=groups,dc=example,dc=com
objectClass: groupOfUniqueNames
cn: admins of people group
uniqueMember: uid=admin1,ou=people,dc=example,dc=com

我添加了这样的规则以允许people-admins添加/删除/修改people组中的用户

dn: olcDatabase={1}hdb,cn=config
changetype: modify
delete: olcAccess
-
add: olcAccess
olcAccess: to attrs=userPassword,shadowLastChange by self write by dn="cn=admin,dc=example,dc=com" write by anonymous auth by * none
olcAccess: to dn.one="ou=people,dc=example,dc=com" by group.exact=cn=people-admins,ou=groups,dc=example,dc=com write by self write by dn="cn=admin,dc=example,dc=com" write by * none
olcAccess: to dn.base="ou=people,dc=example,dc=com" by group.exact=cn=people-admins,ou=groups,dc=example,dc=com write by self write by dn="cn=admin,dc=example,dc=com" write by * none
olcAccess: to dn.children="ou=people,dc=example,dc=com" by group.exact=cn=people-admins,ou=groups,dc=example,dc=com write by self write by dn="cn=admin,dc=example,dc=com" write by * none
olcAccess: to dn.subtree="ou=people,dc=example,dc=com" by group.exact=cn=people-admins,ou=groups,dc=example,dc=com write by self write by dn="cn=admin,dc=example,dc=com" write by * none
olcAccess: to * by self write by dn="cn=admin,dc=example,dc=com" write by * none

然后我尝试people使用 admin1 的凭据将新用户添加到组中，并得到了这个：

ldapadd -x -H ldap://127.0.0.1:3000/  -D "uid=admin1,ou=people,dc=example,dc=com" -W
dn: uid=test1,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
uid: test1
sn: test
givenName: test1
cn: test test1
displayName: Test1
userPassword: test1
adding new entry "uid=test1,ou=people,dc=example,dc=com"
ldap_add: Insufficient access (50)
        additional info: no write access to parent

这里类似的问题，但它收到错误的答案，因为dn.entry在openldap中不存在。

我在fedora 20 上安装了openldap 服务器，并尝试用它来管理bugzilla 帐户。所以我首先为我的域配置它，加上设置密码：

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}...

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}...
-
replace: olcRootDN
olcRootDN: cn=admin,dc=example,dc=com
-
replace: olcSuffix
olcSuffix: dc=example,dc=com

并运行：

 ldapmodify -a -Q -Y EXTERNAL -H ldapi:/// -f ./initial.ldif

之后我尝试添加测试用户：

# User account
dn: uid=user1,ou=people,dc=example,dc=com
cn: User Name
givenName: Name
sn: User
uid: user1
mail: email@domain
objectClass: top
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
userPassword: {CRYPT}*

并调用 ldapadd

ldapadd -v -v -f ./useradd.ldif -x -D "cn=admin,dc=example,dc=com" -w pass

但它失败了，说它不知道inetOrgPerson。

所以我尝试用这样的类附加方案：

ldapadd -v -f ./inetorgperson.ldif -x -D "cn=admin,dc=example,dc=com" -w pass

但它失败并显示有关错误登录名/密码的消息，

现在问题开始了：

我认为 cn=config 和我使用 cn=admin 的问题（这是我使用 ldap 的第一天），所以我使用了：

dn: olcDatabase={0}config,cn=config changetype: 修改替换: olcRootDN olcRootDN: cn=admin,dc=example,dc=com

并且whoa ldapadd -v -f ./inetorgperson.ldif -x -D "cn=admin,dc=example,dc=com" -w pass start 有效，但 useradd 失败：

ldap_add: 没有这样的对象 (32)

加上重新启动 slapd 后，我得到了：

只有rootdn在后缀下才能设置

那么任何人都可以给我建议如何使用“uid”，“mail”和密码字段添加有关用户的新openldap记录吗？