Господа помогите разобраться с получением данных от openLDAP

[kron]

Вообщем-то все настроенно и работает, но есть такая проблема, что от LDAP никак не получается получить данных ни кому крому root, т.е. если я делаю запрос
ldapsearch -x -b "dc=c-es,dc=ru" -D "cn=админ,dc=c-es,dc=ru" -w МойПас |grep mail:
получаю кучю строк с данными и оно естественно
Если же я пробую
ldapsearch -x -b "dc=c-es,dc=ru" |grep mail:
Я ничего не получаю

Хотя в конфиге slapd разрешения такие

Код: Выделить всё

database        ldbm
suffix          "dc=c-es,dc=ru"
rootdn          "cn=админ,dc=c-es,dc=ru"
rootpw          ТутХешСумма
Индексы пропущу

access to attrs=userPassword
by self write
by anonymous auth
by dn="cn=админ,dc=c-es,dc=ru" write
by * none

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=админ,dc=c-es,dc=ru" write
    by * none

access to *
by dn="cn=админ,dc=c-es,dc=ru" write
by * read

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kron]

Блин что никто не встречался с таким до меня?

[vitiko007]

rootdn "cn=админ,dc=c-es,dc=ru"

??? - лично я не стал бы писать cn на русском

[kron]

rootdn "cn=админ,dc=c-es,dc=ru"
rootpw ТутХешСумма

ТутХешСумма ты бы тоже писать не стал?
Естественно учетка называется иначе

[vitiko007]

Код: Выделить всё

access to attrs=userPassword
by self write
by anonymous auth
by dn="cn=админ,dc=c-es,dc=ru" write
by * none

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=админ,dc=c-es,dc=ru" write
    by * none

access to *
by dn="cn=админ,dc=c-es,dc=ru" write
by * read

вроде должно находиться в конфиге до описания типа базы данных и подключения рута

Код: Выделить всё

by dn="cn=админ,dc=c-es,dc=ru" write

- зачем нужны эти строки ???

rootdn can always read and write EVERYTHING! - фраза из конфига по дефаулту
к тому же не вижу разрешение на чтение корневика ЛДАПа

Код: Выделить всё

access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read

- куда подевались эти строки???

а вообще попробуй прочитать http://www.lissyara.su/?id=1938 ,
настраивая по этой статье у меня не было никаких запарок

[kron]

Попробовал Переставить разрешения до обьявления базы и раскоментировать недостающие строки, вывод: расположение разрешений роли не играет, А это недостающие вообще непонятно что дает, собственно в моих разрешениях и так указано, кому куда можно ходить, только почему-то не ходят(((

[vitiko007]

Код: Выделить всё

database        ldbm
suffix          "dc=c-es,dc=ru"
rootdn          "cn=админ,dc=c-es,dc=ru"
rootpw          ТутХешСумма
Индексы пропущу

access to attrs=userPassword
by self write
by anonymous auth
by dn="cn=админ,dc=c-es,dc=ru" write
by * none

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=админ,dc=c-es,dc=ru" write
    by * none

access to *
by dn="cn=админ,dc=c-es,dc=ru" write
by * read

Вообщем. я считаю что указанными разрешениями просто напросто указано что можно делать только "админ", а всем остальным просто запрещено.

Код: Выделить всё

by * none

- насколько я понимаю преобладает по сравненю с

Код: Выделить всё

by * read

Вместо указанных разрешений сделай - так:

Код: Выделить всё

access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to *
        by self write
        by users read
        by anonymous auth

и будет все нормуль
"админ" и так все прочитает что ему нужно - не обязательно это указывать, и анонимно разрешено тоже просто читать
И кстати,в этом случае строка поиска анонима - работает у себя на сервере проверил

[kron]

Ну как бы by * none здесь указано для password и SMBpassword, а при попытке сделать так как ты советуешь но оставляя разрешения на чтение паролей мои, все тачки находящиеся в домене тупа теряют связь с ЛДАПом, Мот есть еще идейки?

[vitiko007]

Тогда можно так: Все необходимые разрешения -

Код: Выделить всё

access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none

access to *
        by self write
        by anonymous read
        by * none

Это рабочие разрешения с моего контроллера домена + ЛДАП - никто не теряется

[kron]

Ыыыы как то странно, у меня это тоже контролер и все работают, тока адресная книга одна и не пашет, но при попытке сделать так пользователи к базе подключиться не могут

[vitiko007]

дык, подключение к адресной книге сделай по анониму и не нужно будет никакой авторизации пользователя при подключении к адресной книге
у меня в Тандерберде + аддон для поиска в ЛДАП - просто указан сервер, порт, и корневой DN и отлично все находится.

контроллер по статье http://www.lissyara.su/?id=1329, а адресная книга - как написал выше по анониму

[kron]

Да как-то о таком я не подумал, правда у меня есть разрешение что все остальные атрибуты кроме пасворда и смаба пасворда читать всем, а у статьи есть минус, самба пасворди не прячется

[kron]

Наконец-то решил эту проблему, чтобы никто больше не напарывался, господа табуляция перед by в разрешениях маст би