Спасибо за оперативную помощь Egor!
Проблема в аутентификации - она не работает с предложенными ACL, а вот если я их удаляю, то все работает как надо - вот это-то и странно, потому как до недавнего времени(до переименования сервера - только как это связано?) все прекрасно работало. Дистрибутив Scientific Linux 6.2(RedHat), аутентификация через демона nslcd (пакет nss-pam-ldapd).
Репликация работает!
Но никак у меня не получается понять в чем дело(.
Вот что slapcat выдает:
$ slapacl -F /etc/openldap/slap.d -v -D "uid=testuser,ou=mycomp,o=org" -b "uid=testuser,ou=mycomp,o=org"
authcDN: "uid=egor,ou=users,dc=mycompany,dc=ru"
...
uid=testuser: read(=rscxd)
...
userPassword=****: auth(=xd)
...
description:: secret: auth(=xd)если делаю slapacl от пользователя repluser - то все аттрибуты доступны для чтения: read(=rscxd) - что говорит, как я понял, что ACL настроены правильно, НО в то же время в логе(olcLogLevel: 128) при попытке подключиться к серверу используя учетки из ldap, вижу вот что:
:=> acl_mask: access to entry "uid=testuser,ou=mycomp,o=org", attr "userPassword" requested
:=> acl_mask: to value by "", (=0)
:<= check a_dn_pat: cn=repluser,ou=mycomp,o=org
:<= check a_dn_pat: *
:<= acl_mask: [2] applying auth(=xd) (stop)
:<= acl_mask: [2] mask: auth(=xd)
:=> slap_access_allowed: read access denied by auth(=xd)
:=> access_allowed: no more rules
: send_search_entry: conn 1014 access to attribute userPassword, value #0 not allowed
а на сервере к которому пытаюсь подключиться в логе /var/log/secure:
sshd[3821]: pam_unix(sshd:auth): authentication failure: logname uid=0 euid=0 tty=ssh ruser= rhost=testhost user=testuser
sshd[3821]: Failed password for testuser from 192.168.0.4 port 51141 ssh2
Далее привожу конф.файлы openldap.
cn=config.ldif:
dn: cn=config
objectClass: olcGlobal
cn: config
olcConfigDir: /etc/openldap/slap.d
olcArgsFile: /var/run/openldap/slapd.args
olcLogLevel: 128
olcPidFile: /var/run/openldap/slapd.pid
olcThreads: 32
olcDatabase={0}config.ldif:
dn: olcDatabase={0}config
objectClass: olcDatabaseConfig
olcDatabase: {0}config
olcAccess: [0] * by * none
olcRootDN: cn=manager,cn=config
olcRootPW: secret
olcDatabase={1}bdb.ldif:
dn: olcDatabase={1}bdb
objectClass: top
objectClass: olcDatabaseConfig
objectClass: olcBdbConfig
olcDatabase:{1}bdb
olcDbDirectory: /var/lib/ldap
olcSuffix: ou=mycomp,o=org
olcAccess: {0}to attrs=userPassword,description by dn="cn=repluser,ou=mycomp,o=org" read by * auth
olcAccess: {1}to * by * read
olcRootDN: cn=manager,ou=mycomp,o=org
olcRootPW: secret
olcSizeLimit: unlimited
olcTimeLimit: 1800
olcDbConfig: {0} set_cachesize 0 268435456 0
olcDbConfig: {1} set_lg_regionmax 262144
olcDbConfig: {2} set_lg_bsize 2097152
olcDbConfig: {3} set_lg_dir /var/tmp/bdb-log
olcDbConfig: {4} set_flags DB_LOG_AUTOREMOVE
olcDbIndex: uid pres,eq
olcDbIndex: cn,sn pres,eq,approx sub
olcDbIndex: objectClass eq
olcDbIndex: contextCSN eq
olcDbIndex: entry UUID eq
olcDbIndex: memberUid eq
cn=module{0}.ldif:
dn: module{0}
objectClass: olcModuleList
cn: module{0}
olcModuleLoad: {0}/usr/lib64/openldap/syncprov.laolcDatabase={1}bd/olcOverlay={0}syncprov.ldif:
dn: olcOverlay={0}syncprov
objectClass: olcSyncProvConfig
olcOverlay: {0}syncprov
olcSpCheckpoint: 100 5
Что не так? Что поправить? Что еще показать? Буду рад любым предложениям!
