問題タブ [apache-directory]

Apache Directory Studio (バージョン: 2.0.0.v20200411-M15 以前) に問題があります。
OpenLDAP インスタンスに接続すると、ルート DSE のネーミング コンテキストが表示されません。
OpenLDAP をマルチマスターとして構成しましたが、奇妙なことに、一方のノードではそれが表示され、もう一方のノードでは表示されません。
エントリが欠落しているルート DSE のスクリーンショット

エントリのスクリーンショットを示すルート DSE

ldapsearch を介して情報を取得しようとすると、両方のノードの正しい命名コンテキストが表示されます。

ldapsearch は、namingcontexts のスクリーンショットを見つけます

接続オプションを使用してベース DN をフェッチしようとすると、「間違った」ノードでフェッチされません。
ベース DN が返されないスクリーンショット また、手動で入力しても機能しません。

cn=config と cn=database を確認しましたが、すべて同じです。

何か案は？

前もって感謝します

アプリケーションサービス用にいくつかの OpenLDAP サーバーを構築しました。どちらのサーバーも構成面では完全に問題ないように見え、Apache Directory Studio でRootDN cn=admin,dc=somedomain,dc=comとしてこれらを管理できます。また、それらの間でもレプリケーションが機能します。これらは、OpenLDAP サーバー パッケージが提供されなくなったため、OpenLDAP ソース コードをコンパイルすることによって RHEL8 上に構築されます。OpenLDAP のバージョンは 2.4.52 です。

Directory Studio を使用して OU とユーザーを作成し、それらの 1 つを認証目的でサービス アカウントとしてアプリで使用することができました。この場合、ユーザーはuid=svc-admin,ou=Admins,ou=People,dc=somedomain,dc=comで、OU は次のとおりです。

• ou=管理者,ou=人,dc=何らかのドメイン,dc=com
• ou=読者、ou=人、dc=何らかのドメイン、dc=com
• ou=ユーザー、ou=人、dc=何らかのドメイン、dc=com

現在の要件は、アプリが新しいユーザーをプロビジョニングするように設計されており、サービス アカウントとして svc-admin を使用して上記の OU に書き込むため、ユーザーsvc-adminには上記の OU への書き込み/完全なアクセス許可が必要です。ユーザーを作成し、その属性を変更できる必要があります。

ACL を作成し、ldapmodify を使用して適用できましたが、Apache DS で svc-admin として LDAP サーバーに接続すると、読み取りはできますが、新しいユーザーを変更または作成することはできません。これを行うと、Apache DS とシェルの両方でエラーが発生します。権限がありません - エラー 50 - 親への書き込みアクセス権がありません。

使用した ACL は次のとおりです。

動いていない。これが私のolcDatabase={1}mdbおよびolcDatabase={0} 構成ファイルです。ACL がうまく機能していないため、ACL をクリーンアップしました。

olcDatabase={1}mdb

olcDatabase={0}構成:

どうすればこれを解決できますか。この問題に取り組む上での助けは大歓迎です。

Active Directory (AD) を使用し、ユーザーが追加されると、パスワード セットとフラグを取得して、「ユーザーは次回のログオン時にパスワードを変更する必要があります」を強制します。これにより、AD 属性が生成されます。pwdLastSet=0

認証に Apache LDAP API を使用する Java アプリケーションがありますが、その際にエラー コード 49INVALID_CREDENTIALSが表示され、パスワードを変更するように指示されません。

How can I with Apache LDAP API detect that user has to change password first?

My simple authenticator: