1 votes

gxor avatar

ldapmodify accès insuffisant (50)

Demandé el 14 de Octobre, 2021
Quand la question a-t-elle été
779 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie d'activer la journalisation dans un serveur openldap (slapd). J'ai donc essayé d'exécuter :

$ ldapmodify -D cn=admin,dc=domain,dc=tld -W -H ldap:/// <<EOF
  > dn: cn=config
  > changetype:modify
  > replace: olcLogLevel
  > olcLogLevel: any
  > EOF
modifying entry "cn=config"
ldap_modify: Insufficient access (50)

Voici le résultat de mon slapcat -n0 :

dn: cn=config
objectClass: olcGlobal
cn: config
olcArgsFile: /var/run/slapd/slapd.args
olcLogLevel: none
olcPidFile: /var/run/slapd/slapd.pid
olcToolThreads: 1
structuralObjectClass: olcGlobal
entryUUID: f2abd5ee-adb8-103b-8c18-6da3f145a1c2
creatorsName: cn=config
createTimestamp: 20210919171535Z
entryCSN: 20210919171535.786316Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20210919171535Z

dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModulePath: /usr/lib/ldap
olcModuleLoad: {0}back_mdb
structuralObjectClass: olcModuleList
entryUUID: f2aca6cc-adb8-103b-8c20-6da3f145a1c2
creatorsName: cn=config
createTimestamp: 20210919171535Z
entryCSN: 20210919171535.791752Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20210919171535Z

dn: cn=schema,cn=config
objectClass: olcSchemaConfig
cn: schema
structuralObjectClass: olcSchemaConfig
entryUUID: f2abf484-adb8-103b-8c1b-6da3f145a1c2
creatorsName: cn=config
createTimestamp: 20210919171535Z
entryCSN: 20210919171535.787189Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20210919171535Z

dn: olcDatabase={-1}frontend,cn=config
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: {-1}frontend
olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=extern
 al,cn=auth manage by * break
olcAccess: {1}to dn.exact="" by * read
olcAccess: {2}to dn.base="cn=Subschema" by * read
olcSizeLimit: 500
structuralObjectClass: olcDatabaseConfig
entryUUID: f2abdfee-adb8-103b-8c19-6da3f145a1c2
creatorsName: cn=config
createTimestamp: 20210919171535Z
entryCSN: 20210919171535.786661Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20210919171535Z

dn: olcDatabase={0}config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: {0}config
olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=extern
 al,cn=auth manage by * break
structuralObjectClass: olcDatabaseConfig
entryUUID: f2abede0-adb8-103b-8c1a-6da3f145a1c2
creatorsName: cn=config
createTimestamp: 20210919171535Z
entryCSN: 20210919171535.787019Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20210919171535Z

dn: olcDatabase={1}mdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {1}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=domain,dc=tld
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by * non
 e
olcAccess: {1}to attrs=shadowLastChange by self write by * read
olcAccess: {2}to * by * read
olcLastMod: TRUE
olcRootDN: cn=admin,dc=domain,dc=tld
olcRootPW:: SOME_HASH_VALUE
olcDbCheckpoint: 512 30
olcDbIndex: objectClass eq
olcDbIndex: cn,uid eq
olcDbIndex: uidNumber,gidNumber eq
olcDbIndex: member,memberUid eq
olcDbMaxSize: 1073741824
structuralObjectClass: olcMdbConfig
entryUUID: f2accdf0-adb8-103b-8c21-6da3f145a1c2
creatorsName: cn=config
createTimestamp: 20210919171535Z
entryCSN: 20210919171535.792748Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20210919171535Z

Je n'arrive pas à comprendre quel est le problème. Le compte "admin" est défini comme olcRootDN cn=admin,dc=domaine,dc=tld. Pourquoi ne puis-je pas changer la configuration ?

Demandé el 14 de Octobre, 2021 par gxor

Réponse

Trop de publicités?

1voto

James Mertz avatar
James Mertz Points 390

Il est défini comme le rootDN pour les dc=domain,dc=tld base de données. Mais ce n'est pas la base de données que vous essayez de modifier - le rootDN d'une base de données n'a pas de droits spéciaux sur les autres bases de données.

Vous essayez de changer le cn=config il n'y a pas de rootDN personnalisé spécifié, donc "cn=config" serait le rootDN par défaut mais il n'y a pas d'olcRootPW qui permettrait de s'authentifier directement au rootDN, ni de politique authz qui permettrait à un DN différent de s'authentifier en tant que tel.

Toutefois, le liste d'accès (olcAccess) pour la base de données cn=config accorde un accès complet et illimité au DN gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth qui est le DN spécial utilisé pour les clients qui 1) se connectent via une socket Unix et 2) utilisent l'authentification SASL EXTERNAL.

En bref, il n'y a pas de rootDN, mais la configuration accorde un accès complet à l'uid local 0 à la place.

Pour utiliser cet accès, vous devez exécuter ldapmodify en tant que super-utilisateur, puis spécifier ldapi:/// comme URL et -Y EXTERNAL comme méthode d'authentification :

$ sudo ldapmodify -H ldapi:/// -Y EXTERNAL <<EOF
dn: cn=config
replace: olcLogLevel
olcLogLevel: any
EOF

(C'est un peu comme si MariaDB n'avait pas de mot de passe root aujourd'hui, mais permettait à sudo mariadb pour se connecter sans mot de passe).

Vous pouvez également l'utiliser pour accorder à cn=config des droits de modification à n'importe quel autre DN (en modifiant la base de données {0}config en conséquence).

Répondu el 14 de Octobre, 2021 par James Mertz (390 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X