尝试进行身份验证的 LDAP 用户收到错误 50 访问权限不足 (openldap)

LDAP users trying to authenticate get error 50 Insufficient access (openldap)

在我们的 ldap 数据库无缘无故突然损坏后,我不得不恢复一个旧数据库。这似乎奏效了,我可以使用 LDAP 资源管理器客户端访问、浏览甚至更新 LDAP 中的条目。甚至可以匿名浏览条目。

但是,尝试根据 LDAP 对用户进行身份验证的应用程序现在失败并显示 LDAP: error code 50 - Insufficient Access Rights

我可以使用 ldapwhoami 重现该问题:

$ ldapwhoami -vvv -h ldap.localnet -D       
'uid=username,cn=users,dc=unimatrix1,dc=localnet' -x -W
ldap_initialize( ldap://ldap.localnet )
Enter LDAP Password: 
ldap_bind: Insufficient access (50)

我对新添加的用户尝试此操作时得到相同的结果。所以我假设 ACL 丢失或错误,但是,我没有对它们进行任何更改,并且 ldif 文件仍然可以追溯到 3 年前。

如何为 LDAP 中的所有用户重新建立身份验证?

它是 macOS Sierra (OpenLDAP-523.30.2) 上的开放目录,以防万一。


附录

/etc/openldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif

中有此条目作为最后一个条目
olcAccess: {22}to *  by set.exact="user/uid & [cn=admin,cn=groups,dc=unimatrix
 1,dc=localnet]/memberUid" write  by dn.base="uid=_ldap_replicator,cn=users,dc
 =unimatrix1,dc=sssnet" write  by sockurl.exact="ldapi://%2Fvar%2Frun%2Fldapi" 
  write  by * read

我想我应该在 by * read?

之前以某种方式添加 by anonymous auth

还有这个条目,我不确定它是否会影响身份验证?

olcAccess: {14}to dn.one="cn=computers,dc=unimatrix1,dc=localnet"  attrs=entry
 ,apple-realname,cn,description,macAddress,authAuthority,userPassword  by set.
 exact="user/uid & [cn=admin,cn=groups,dc=unimatrix1,dc=localnet]/memberUid" w
 rite  by sockurl.exact="ldapi://%2Fvar%2Frun%2Fldapi" write  by dnattr=creato
 rsName write  by * read

更新

我刚刚发现,使用 ApacheDirectoryStudio,我可以使用 'CRAM-MD5 (SASL)' 进行身份验证,但是如果我 select 'Simple authentication',我会收到错误 50。我能够像这样使用 ldapwhoami 来验证它:

$ ldapwhoami -vvv -h ldap.localnet -U username -W
ldap_initialize( ldap://ldap.localnet )
Enter LDAP Password: 
SASL/SRP authentication started
SASL username: username
SASL SSF: 256
SASL data security layer installed.
dn:uid=username,cn=users,dc=unimatrix1,dc=localnet
Result: Success (0)

所以现在在我看来,好像 LDAP 曾经允许简单身份验证,但在我恢复数据库时不知何故丢失了这个配置。我什至不知道这是在哪里以及如何配置的?

当还原的 LDAP 数据中的 UniqueID 与系统使用的 uid 不同(无论出于何种原因)时,可能会出现此问题。

要验证这是否是问题所在,请检查 LDAP 中的用户条目以获取 UniqueID 属性中的值。

然后在服务器上打开一个shell并查看那里使用的uid:

$ id -u username
1003

如果适用,您还可以查看显示 uid 的用户的主目录(选项 -n)。例如(在 macOS 上,主目录位于 /Users):

$ ls -aln /Users
drwxr-xr-x+  18 1003  20    612 Jun  5  2018 username

如果 ID 不相同,则更改 LDAP 数据中的 UniqueID 以匹配用户的 uid。

或者,您可以尝试更改主目录的所有者

$ chown -R username /Users/username

但是该 uid 可能已在系统的其他区域使用,因此首选方法是更改​​ LDAP 条目中的 UniqueID。