Hallo YUHUUUU es geht! :) Extreme Dummheit :( access to what from ... ist natuerlich "eine Zeile" auch wenn sie auf mehrere aufgeteilt wird. Und wenn man dann noch was Zwischendrin auskommentiert, klappt es nicht mehr... smbldap-passwd macht aber immer noch Zicken. Wobei es jetzt nur noch ums Verstaendnis geht. > Funktioniert ein normales ldapsearch mit Authentifizierung? > > ldapsearch -x -D uid=user,<ldap-basis> -W cn=whatever Jetzt: Ja. sowohl: ldapsearch -x -b uid=user,ou=People,dc=... -D cn=admin,dc=... -W als auch: ldapsearch -x -b uid=user,ou=People,dc=... -D uid=user,ou=People,dc=... -W > Ich bin mir nicht ganz sicher, fehlt hier nicht noch ein 'break' hinter > 'by * none'? Ansonsten wird Bei OpenLDAP nicht. > Hast Du mal in slapd.conf loglevel=128 gesetzt? Dann sieht man relativ > gut, welches erforderliche Attribut nicht gelesen werden kann. Ja war auch dabei... hab es jetzt mal nur auf 128 gehabt. Zusammengefasst: die drei stellen an denen irgendwas von deny steht - ich bekomme uebrigens kein Invalid Credentials mehr, von smbldap-passwd, sondern einen perl Fehler: failed to modify entry: Insufficient access at /usr/sbin/smbldap-passwd line 227, <STDIN> line 3. Das scheint mit einer Aenderung der acls tun zu haben. Ich hatte zunaechst direkt unter der access to Zeile noch einen Kommentar stehen. Nachdem ich den weggeloescht habe, war das Invalid Credentials weg. Und wie ein Test gerade ergeben hat funktioniert jetzt auch mod_auth_ldap! Yuhuu. Zope/plone => access_allowed: read access denied by auth(=xd) send_search_entry: conn 1 access to attribute userPassword, value #0 not allowed => access_allowed: read access denied by auth(=xd) send_search_entry: conn 1 access to attribute userPassword, value #0 not allowed => access_allowed: delete access denied by read(=rscxd) -> delete auf userPassword Gruss, Johannes -- Johannes Kneer schreiben: johannes at n8geil punkt de lesen: http://blog.m8geil.de/ hören: sip:$((^auf Anfrage))
Attachment:
signature.asc
Description: OpenPGP digital signature