Репликация LDAP не работает

Linux, безопасность, сети и все что с этим связано
drvtiny
Заглянувший
Сообщения: 37
Зарегистрирован: 25 сен 2004, 11:33
Откуда: Москва

Репликация LDAP не работает

Сообщение drvtiny »

Если кто-нибудь знает, где можно раскопать русскоязычных специалистов по LDAP, пожалуйста, киньте ссылку, а то я уже задолбался с настройкой репликации.

Есть два тестовых сервера: slave и master, работают на одной машине, висят только на разных портах, всё правильно настроено, конфиги, см.ниже, но при этом попытка slave'а произвести изменения на master'е пресекается последним с выдачей сообщения "Stronger authentication required"
При этом в логах видим

НА SLAVE:

=> acl_mask: access to entry "uid=sergio,dc=kamenez-podolsky,dc=rgs,dc=ru", attr "l" requested
=> acl_mask: to value by "cn=manager,ou=system,dc=kamenez-podolsky,dc=rgs,dc=ru", (=0)
<= check a_dn_pat: cn=replicator,ou=system,dc=kamenez-podolsky,dc=rgs,dc=ru
<= check a_dn_pat: cn=manager,ou=system,dc=kamenez-podolsky,dc=rgs,dc=ru
<= acl_mask: [2] applying write(=wrscxd) (stop)
<acl_mask> access_allowed: read access granted by write(=wrscxd)
conn=49 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
conn=49 op=2 MOD dn="uid=sergio,dc=kamenez-podolsky,dc=rgs,dc=ru"
conn=49 op=2 MOD attr=title o o
conn=49 op=2 RESULT tag=103 err=10 text=
conn=49 op=3 UNBIND
conn=49 fd=14 closed

НА MASTER:

conn=18 fd=11 ACCEPT from IP=127.0.0.1:58880 (IP=127.0.0.1:8389)
conn=18 op=0 BIND dn="" method=128
conn=18 op=0 RESULT tag=97 err=0 text=
conn=18 op=1 MOD dn="uid=sergio,dc=kamenez-podolsky,dc=rgs,dc=ru"
conn=18 op=1 MOD attr=title o o
conn=18 op=1 RESULT tag=103 err=8 text=modifications require authentication
conn=18 op=2 UNBIND
conn=18 fd=11 closed

Т.е. клиент, в данном случае luma, после получения от slave'а соответствующего referral'а пытается приbind'иться к master'у анонимно, хотя по идее должен бы авторизоваться с DN='cn=manager,ou=system,dc=kamenez-podolsky,dc=rgs,dc=ru' и тем же паролем, что и на slave!

Мне очень нужен ваш совет, если здесь хоть кто-нибудь настраивал LDAP-репликацию: что с этим делать, как заставить клиента коннектиться к master'у правильно (не анонимно)????

P.S. На всякий случай конфиги прилагаются:
MASTER
[root@hotin bin]# sed -r '\%^\s*(#.*)?$%d' /etc/openldap/slapd.d/master/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/cgp-new.schema
pidfile /var/run/ldap/master/pid
argsfile /var/run/ldap/master/args
replogfile /var/log/ldap/slapd/master/replica/log
access to dn.subtree="dc=kamenez-podolsky,dc=rgs,dc=ru"
by dn.base="cn=manager,ou=system,dc=kamenez-podolsky,dc=rgs,dc=ru" write
by anonymous auth
by * read
access to attrs=userPassword
by self write
by anonymous auth
by * none
access to *
by self write
by anonymous auth
by * read
database bdb
suffix "dc=rgs,dc=ru"
rootdn "cn=root,dc=rgs,dc=ru"
rootpw "{MD5}cdH+E1nTKG9CZMkST/b5yw=="
directory /var/lib/ldap/master
replica host=localhost bindmethod=simple binddn="cn=replicator,ou=system,dc=kamenez-podolsky,dc=rgs,dc=ru" credentials=ybioca733
index objectClass eq
index cn,mail,sn eq,pres,sub

SLAVE
[root@hotin bin]# sed -r '\%^\s*(#.*)?$%d' /etc/openldap/slapd.d/slave/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/cgp-new.schema
pidfile /var/run/ldap/slave/pid
argsfile /var/run/ldap/slave/args
access to dn.subtree="dc=kamenez-podolsky,dc=rgs,dc=ru"
by dn.base="cn=replicator,ou=system,dc=kamenez-podolsky,dc=rgs,dc=ru" write
by dn.base="cn=manager,ou=system,dc=kamenez-podolsky,dc=rgs,dc=ru" write
by anonymous auth
by * read
access to attrs=userPassword
by self write
by anonymous auth
by * none
access to *
by self write
by anonymous auth
by * read
database bdb
suffix "dc=rgs,dc=ru"
rootdn "cn=root,dc=rgs,dc=ru"
rootpw "{MD5}cdH+E1nTKG9CZMkST/b5yw=="
directory /var/lib/ldap/slave
updatedn "cn=replicator,ou=system,dc=kamenez-podolsky,dc=rgs,dc=ru"
updateref "ldap://localhost:8389"
referral "ldap://localhost:8389"
index objectClass eq
index cn,mail,sn eq,pres,sub[/u]
Мыслите Масштабно!