CentOS6上の別のLDAPサーバーへのopenldapプロキシをセットアップします

Question

ローカルサーバーで独自のopenldap-serverを認証し、ユーザーがローカルで見つからない場合は企業LDAPにプロキシするようにしようとしています。

ローカルユーザーが働く
ローカルLDAPサーバーへの認証は機能します
企業LDAPへの認証が機能しない
ローカルサーバーを使用する場合、企業へのLDAP検索が機能します（ack！？！）

ユーザー=企業LDAPアカウント内部LDAP =ユーザー-internal.com企業LDAP =人-datacenter.corporate.com

注：匿名バインドは企業で有効になっています。

oot@ sssd]# ldapsearch -h 127.0.0.1 -x -b "uid=user,ou=people,dc=datacenter,dc=corporate,dc=com" # extended LDIF # # LDAPv3 # base <uid=user,ou=people,dc=datacenter,dc=corporate,dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # user, People, datacenter.corporate.com dn: uid=user,ou=People,dc=datacenter,dc=corporate,dc=com uid: user cn: objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount shadowMax: shadowWarning: loginShell: /bin/bash uidNumber: gidNumber: homeDirectory: /home/users/user gecos: user shadowLastChange: 16461 # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1

Slap.dを設定します。

####################################################################### # database definitions ####################################################################### database bdb suffix "dc=internal,dc=com" checkpoint 1024 15 rootdn "cn=adm,dc=internal,dc=com" rootpw {SSHA}aaaaa directory /var/lib/ldap # Indices to maintain for this database index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub # Replicas of this database #replogfile /var/lib/ldap/openldap-master-replog #replica Host=ldap-1.example.com:389 starttls=critical # bindmethod=sasl saslmech=GSSAPI # authcId=Host/ldap-master.example.com@EXAMPLE.COM #proxy ldap database ldap suffix "ou=People,dc=datacenter,dc=corp,dc=com" uri "ldap://1.1.1.1:389/" idassert-bind bindmethod=none

ldap.conf：

URI ldap://127.0.0.1 BASE dc=internal,dc=com

zerobane · Answer

このスレッドを見つける可能性のある人のために更新します。 openldapのドキュメントには、プロキシの設定が非常に不足しています。これは基本的に48時間の試行錯誤によって発見されました。

注：/ etc/sysconfig/ldap SLAPD_OPTIONS = "-f /etc/openldap/slapd.conf"に以下を追加して、slapd.confに切り替えました。

Slapdファイルには、4つのデータベースがあります。 1. LDAP AUTHのローカルデータベース（test.com）2。LDAP AUTHの外部データベースコネクタ（external.local-> corp.com）3。LDAP AUTHの内部データベースコネクタ（internal.local-> test.com）4。 2つのコネクタを1つのデータベースに結合するメタデータベース

どこでも匿名のバインディング。物事を簡単にしました。

クライアントはローカルLDAPデータベースを指すようになり、ローカルLDAPまたは企業LDAPのいずれかにシームレスにAUTHを実行できます。

slapd.conf

#local database database bdb suffix "dc=test,dc=com" checkpoint 1024 15 rootdn "cn=adm,dc=test,dc=com" rootpw {SSHA}aaa directory /var/lib/ldap #Indices to maintain for this database index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres index uid,memberUid eq,pres,sub index nisMapName,nisMapEntry eq,pres,sub #database meta database meta suffix "dc=local" rootdn "cn=adm,dc=local" rootpw {SSHA}aaa #dir1 uri "ldap://corporate-ldap.com/ou=external,dc=local" lastmod off suffixmassage "ou=external,dc=local" "dc=datacenter,dc=corp,dc=com" #dir2 uri "ldap://127.0.0.1/ou=internal,dc=local" lastmod off suffixmassage "ou=internal,dc=local" "dc=test,dc=com"