Форум проекта Pro-LDAP.ru
Администрирование OpenLDAP => Конфигурационный файл slapd.conf => Тема начата: Fredo от 14 Май 2014, 12:44:35
-
Добрый день.
Прошу Вас помощи в настройке файла slapd.conf для интеграции с AD Windows Server 2008R2. Нужно для того что бы в SquidGuard отрабатывал механизм ldapsearch.
Опишу свои действия пошагово, что бы проще было указать на мою ошибку в действиях.
1. Устанавливаю slapd и ldap-utils.
2. Выполняю dpkg-reconfigure slapd и указываю следующие настройки:
- DNS - ylrus.com
- Organization name -ylrus.com
- Далее пароль администратор
- Database backend - HDB
- Removed when slapd is purged - yes
- Move old database - yes
- Allow LDAPv2 protocol - yes
После этого Slapd успешно устанавливается и стартует.
3. Добавляю в файил ldap.conf строчку
Base dc=ylrus, dc=com
4. Запускаю команду ldapsearch -x dc=ylrus,dc=com получаю следующее:
manager@vs-msk00-prx02:~$ ldapsearch -x dc=ylrus,dc=com
# extended LDIF
#
# LDAPv3
# base <dc=ylrus,dc=com> (default) with scope subtree
# filter: dc=ylrus,dc=com
# requesting: ALL
#
# search result
search: 2
result: 0 Success
5. Останавливаю Slapd , перемещаю папку Slapd.d и создаю в папке ldap фаил slapd.conf следующего содержания:
# Import our schema
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema
# Support both LDAPv2 and LDAPv3
allow bind_v2
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
Loglevel 1
# Our slapd-ldap back end to connect to AD
database ylrus.com
suffix "cn=svcSquidGuard,dc=ylrus,dc=com"
subordinate
rebind-as-user
uri ldap://s-msk00-gdc01.ylrus.com/
chase-referrals yes
# Our primary back end
database HDB
suffix "dc=ylrus,dc=com"
rootdn "cn=admin,dc=ylrus,dc=com"
rootpw "passw0rd"
directory /var/lib/ldap
# Indexes for this back end
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uid eq,pres,sub
6. В /etc/default/slapd прописываю строчку: SLAPD_CONF=/etc/ldap/slapd.conf
7. Стартую slapd, получаю FAIL. В логах пишется /etc/ldap/slapd.conf: line 12: <database> failed init (ylrus.com).
Объясните пожалуйся какую базу данных надо указывать для корректной интеграции slapd с АD?
-
Здравствуйте!
Сразу бросается в глаза строка в slapd.conf:
# Our slapd-ldap back end to connect to AD
database ylrus.com
Её надо заменить на
# Our slapd-ldap back end to connect to AD
database ldap
Скорее всего (если это Debian или Ubuntu) нужно будет ещё подгрузить модуль:
moduleload back_ldap.la
Вопрос: зачем Вам база данных hdb? Вы собираетесь часть данных хранить в openldap, а часть брать из AD? Если Вам нужен только прокси к AD, достаточно определить только базу данных ldap, как, например, здесь (http://pro-ldap.ru/forum/index.php?topic=53.msg203#msg203).
Егор
-
именно нужен тока прокси к AD.
спасибо большое попробую Ваше решение, по итогам отпишусь
-
Как я понял, нужно собирать Slapd с поддержкой модулей ./configure --with-tls=openssl --enable-debug=yes --enable-syslog=yes --enable-modules=yes --enable-rewrite=yes --enable-slapd=yes --enable-backends=yes --enable-overlays=yes --enable-sql=no --enable-ndb=no правильно я понимаю? стандартный apt-get slapd не подойдет видимо?
-
Здравствуйте! В стандартной debian-сборке все модули (в том числе наложения) должны быть, их нужно только подключить (moduleload). Можно и собрать руками, если Вас не устраивает версия пакета или gnu-tls. В целом, для стандартного прокси к AD вполне хватает стандартной debian-сборки.
Егор.
-
У меня ругается, на то, что нет такого модуля
-
C модулем разобрался, теперь он почему ругается на "idassert-bind" <arg>': SIMPLE needs "binddn" and "credentials".
Вот мой конфиг:
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema
allow bind_v2
pidfile /usr/local/var/run/slapd.pid
argsfile /usr/local/var/run/slapd.args
moduleload back_bdb.la
moduleload back_ldap.la
database ldap
readonly on
suffix "dc=ylrus,dc=com"
rebind-as-user
uri ldap://172.18.1.10/
chase-referrals yes
idassert-authzFrom "dn:*"
idassert-bind bindmethod=simple
binddn= "CN=svcSquidGuard CN=Users OU=MSK00 OU=Offices DC=ylrus DC=com"
credentials= "Passw0rd"
mode =none
-
Разобрался , что надо вот так написать bindmethod=simple binddn= "CN=svcSquidGuard CN=Users OU=MSK00 OU=Offices DC=ylrus DC=com"
Slapd стартанул, но все равно так же ошибка, при выводе команды ldapsearch -x dc=ylrus,dc=com LdapERR: DSID-0C0906E8, in order a successful bind must be completed, я так понимаю, что slapd не подсоединился к AD верно? не могли бы подсказать, как его заставить все таки сконектиться с AD?
-
Все большое спасибо. Полностью разобрался. Когда все переставлял забыл подправить фаил ldap.conf, выставил там dc=ylrus,dc=com и запросы пошли.
Большое спасибо Вам за помощь и за ресурс.