问题[openldap](ubuntu)

这是我slapd.conf在 server01 上的配置：

    serverID    1
    # database section

    # syncrepl directive
    syncrepl      rid=002
        provider=ldap://192.168.100.193
        bindmethod=simple
        binddn="cn=admin,dc=example,dc=local"
        credentials=123
        searchbase="dc=example,dc=local"
        schemachecking=on
        type=refreshAndPersist
        retry="60 +"
        overlay syncprov
        syncprov-checkpoint 50 1
        syncprov-sessionlog 50
    mirrormode on

这是我slapd.conf在 server02 上的配置：

 serverID    2
# database section

# syncrepl directive
syncrepl      rid=002
        provider=ldap://192.168.100.139
        bindmethod=simple
        binddn="cn=admin,dc=example,dc=local"
        credentials=123
        searchbase="dc=example,dc=local"
        schemachecking=on
        type=refreshAndPersist
        retry="60 +"
mirrormode on

然后使用slaptest命令生成配置文件(slaptest -f config-file -F /etc/ldap/slapd.d/)并将它们替换为/etc/ldap/slapd.d两台服务器路径中的默认文件。
然后重新启动 slapd 服务，一切正常。但是当我向两台服务器添加条目时，它们不会相互同步数据。

在这些步骤之后，我尝试捕获数据包并发现他们找到了另一台服务器的所有条目。

ps：对不起我的英语不好

我的机构想要使用 OpenLDAP 配置我们的一台 Ubuntu 服务器，以便与我们的 SSO 提供商 Okta 交互，使用他们拥有的服务器端代理将用户从他们的云服务配置到 LDAP。我一直在努力让我们的 LDAP 服务器与 Okta 对话，最近 Okta 的一名支持人员告知我的配置失败，因为我的服务器正在发送 TLSv1.1 数据包，而他们的服务器正在响应 TLSv1.2 数据包。出于这个原因，以及为了我们用户的安全，我想强制 LDAP 至少使用 TLSv1.2，但是，当我尝试将 ldap_modify 与以下 ldif 文件一起使用时：

dn: cn=config
add: olcTLSCipherSuite
olcTLSCipherSuite: ALL:!TLSv1:TLSv1.2:TLSv1.3:!NULL

LDAP 抛出错误：

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)

即使使用更简单的密码列表，我也会遇到相同的错误，例如：

olcTLSCipherSuite: ALL

我相信我的 SSL 配置正确并且似乎正在运行（即我可以使用 OpenSSL 从外部连接到它）并且我的证书标识如下：

dn: cn=config
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/ca-certificates.crt
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/sasl2/my-ldap.crt

replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ldap/sasl2/my-ldap.key

并且 openldap 用户对所有这些都具有读取权限。

我不知道从这里去哪里，并且对 LDAP 的了解几乎不足以对正在发生的事情做出有根据的猜测。对于任何人可以提供的任何建议，我将不胜感激！我在 (-1) 处启用了 LDAP 的日志记录，并将转储下面 ldap_modify 命令的一些输出。

Feb 13 14:47:27 poster slapd[20666]: #011#011one value, length 32
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=1 MOD dn="cn=config"
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=1 MOD attr=olcTLSCipherSuite
Feb 13 14:47:27 poster slapd[20666]: => access_allowed: result not in cache (olcTLSCipherSuite)
Feb 13 14:47:27 poster slapd[20666]: => access_allowed: add access to "cn=config" "olcTLSCipherSuite" requested
Feb 13 14:47:27 poster slapd[20666]: => acl_get: [1] attr olcTLSCipherSuite
Feb 13 14:47:27 poster slapd[20666]: => acl_mask: access to entry "cn=config", attr "olcTLSCipherSuite" requested
Feb 13 14:47:27 poster slapd[20666]: => acl_mask: to value by "gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth", (=0)
Feb 13 14:47:27 poster slapd[20666]: <= check a_dn_pat: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
Feb 13 14:47:27 poster slapd[20666]: <= acl_mask: [1] applying manage(=mwrscxd) (stop)
Feb 13 14:47:27 poster slapd[20666]: <= acl_mask: [1] mask: manage(=mwrscxd)
Feb 13 14:47:27 poster slapd[20666]: => slap_access_allowed: add access granted by manage(=mwrscxd)
Feb 13 14:47:27 poster slapd[20666]: => access_allowed: add access granted by manage(=mwrscxd)
Feb 13 14:47:27 poster slapd[20666]: slap_queue_csn: queueing 0x7f58dc103a30 20200213194727.142704Z#000000#000#000000
Feb 13 14:47:27 poster slapd[20666]: oc_check_required entry (cn=config), objectClass "olcGlobal"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "objectClass"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "cn"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcArgsFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcPidFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcTLSCACertificateFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcTLSCertificateFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcTLSCertificateKeyFile"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcToolThreads"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "structuralObjectClass"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "entryUUID"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "creatorsName"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "createTimestamp"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcLogLevel"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "olcTLSCipherSuite"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "entryCSN"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "modifiersName"
Feb 13 14:47:27 poster slapd[20666]: oc_check_allowed type "modifyTimestamp"
Feb 13 14:47:27 poster slapd[20666]: send_ldap_result: conn=1017 op=1 p=3
Feb 13 14:47:27 poster slapd[20666]: send_ldap_result: err=80 matched="" text=""
Feb 13 14:47:27 poster slapd[20666]: send_ldap_response: msgid=2 tag=103 err=80
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=1 RESULT tag=103 err=80 text=
Feb 13 14:47:27 poster slapd[20666]: slap_graduate_commit_csn: removing 0x7f58dc103a30 20200213194727.142704Z#000000#000#000000
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on 1 descriptor
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on:
Feb 13 14:47:27 poster slapd[20666]:  12r
Feb 13 14:47:27 poster slapd[20666]:
Feb 13 14:47:27 poster slapd[20666]: daemon: read active on 12
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_get(12)
Feb 13 14:47:27 poster slapd[20666]: connection_get(12): got connid=1017
Feb 13 14:47:27 poster slapd[20666]: connection_read(12): checking for input on id=1017
Feb 13 14:47:27 poster slapd[20666]: op tag 0x42, time 1581623247
Feb 13 14:47:27 poster slapd[20666]: ber_get_next on fd 12 failed errno=0 (Success)
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_read(12): input error=-2 id=1017, closing.
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_closing: readying conn=1017 sd=12 for close
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on 1 descriptor
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on:
Feb 13 14:47:27 poster slapd[20666]: connection_close: deferring conn=1017 sd=12
Feb 13 14:47:27 poster slapd[20666]:
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=2 do_unbind
Feb 13 14:47:27 poster slapd[20666]: conn=1017 op=2 UNBIND
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_resched: attempting closing conn=1017 sd=12
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: connection_close: conn=1017 sd=12
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: daemon: removing 12
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on 2 descriptors
Feb 13 14:47:27 poster slapd[20666]: daemon: activity on:
Feb 13 14:47:27 poster slapd[20666]:
Feb 13 14:47:27 poster slapd[20666]: conn=1017 fd=12 closed
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Feb 13 14:47:27 poster slapd[20666]: daemon: epoll: listen=10 active_threads=0 tvp=zero

我正在尝试将我们的 PC 从 Debian 8 切换到 Ubuntu。用户帐户位于服务器上并通过 LDAP 进行管理。但不知何故，我在 Ubuntu 19.04 上配置 OpenLDAP 时遇到了问题。

简短的历史：我几天前从 18.10 开始。并使用本手册进行设置。但是在对 pam 进行更改后，我遇到了这个错误，所以 GUI 不再工作了。但是登录到服务器上的帐户有效。在使用 gdm3 寻找解决方案时，我尝试了 LightDM 和 lxdm。在前者中，在尝试 lxdm 之前，我找不到“添加用户”按钮来登录一个未知的帐户。lxdm 效果很好，但是太丑了。在摆脱 lxdm 的过程中，我似乎删除了太多东西，所以昨天我重新开始并升级到 19.04，然后在发现该错误已修复后做任何其他事情。但是现在，在 19.04 上，我无法让连接正常工作。而且我不知道问题出在哪里。

我什至从 Debian 复制了必要的文件（安装在不同的 SSD 上，所以它仍然可用）并尝试像我在 18.10 上所做的那样包含更改，但由于某种原因，它不起作用。我可以通过 ssh 访问我们拥有的各种服务器，所以这不是问题。我没有尝试必要的身份验证服务器，因为我需要复制我的公钥，但是当其他服务器可用时，身份验证也是如此。并且来自 Windows 的连接不是问题，因此它也不会是服务器或连接的问题。

在 ubuntu 18.04 中安装 PhpLdapAdmin 后发生此错误：

已弃用：函数 create_function() 在第 1083 行的 /usr/share/phpldapadmin/lib/functions.php 中已弃用 & 无法识别的错误号：8192：函数 create_function() 已弃用

我该如何解决？

我已经安装了 OpenLDAP，并配置了一些基本用户。接下来，我想在我的目录中配置用户，以便能够通过我的服务器进行身份验证。我正在阅读一些关于 PAM 的内容。这是我应该使用的吗？如果是这样，有人可以指点我一些好的指示吗？

我正在安装 OpenLDAP，README 文件指出需要“可重入 POSIX REGEX 软件”。有没有我可以安装的软件包apt install来获得这个？

为 OpenLDAP 配置 StartTLS。

• Ubuntu 服务器 16.04
• 拍打2.4.42+dfsg-2ubuntu3.2

我有自己的内部证书颁发机构提供证书。

我已经设置了证书和密钥：在 /etc/ssl/certs 中：

-rw-r----- 1 root ssl-cert   3268 Jul 14 23:02 ldaptest.roenix.net.cert.pem

lrwxrwxrwx 1 root root         51 Jul  2 13:22 roenix.ca.cert.pem -> /usr/local/share/ca-certificates/roenix.ca.cert.crt

在 /etc/ssl/private 中：

-rw-r----- 1 root ssl-cert 3243 Jul 14 23:01 ldaptest.roenix.net.key.pem

我已正确设置主机名：

@ldaptest:/etc/ssl/certs$ hostname -f
ldaptest.roenix.net

我尝试使用此 LDIF 将配置添加到 slapd：

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/roenix.ca.cert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldaptest.roenix.net.cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldaptest.roenix.net.key.pem

使用命令：

sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif

我收到此错误：

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)

非常感谢任何帮助！

我们有一个用户使用错误的密码锁定了自己。

我们按照LTS 服务器指南进行了标准的 openldap 安装。

锁定的用户现在有一个额外的属性，因为它已被锁定：

pwdAccountLockedTime: 201702161256Z