1 最后由 917428360 (2014-09-19 17:05:29) 编辑

主题: 是否可以使用iredmail的openldap

==== 必填信息。没有填写将不予回复 ====
- iRedMail 版本号:0.8.7
- 使用哪个数据库存储用户帐号(OpenLDAP,MySQL,PostgreSQL):OpenLDAP
- 使用的 Linux/BSD 发行版名称及版本号:centos 6
- 与您的问题相关的日志信息:
====
我有一台linux 我想使用iredmail的openldap进行 认证 凡是发现在该linux上进行查询是可以的  配置好ldap后无法正常使用
[root@ ~]# ldapsearch -LLL -W -x -H ldap://cffers.com -D "cn=Manager,dc=cffers,dc=com" -b "dc=cffers,dc=com" "(uid=*)"
Enter LDAP Password:
dn: cn=vmail,dc=cffers,dc=com
objectClass: person
objectClass: shadowAccount
objectClass: top
cn: vmail

^^^^^^^^^^^^^^^^^^^^可以查看信息

[root@ ~]# cat /etc/sysconfig/authconfig  | grep yes
CACHECREDENTIALS=yes
USESHADOW=yes
USELDAPAUTH=yes
USELOCAUTHORIZE=yes
USECRACKLIB=yes
USELDAP=yes
[root@iZ25v9benvkZ ~]#

[root@iZ25v9benvkZ ~]# cat /etc/openldap/ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE    dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

BASE    dc=cffers,dc=com
URI    ldap://cffers.com:389
#SIZELIMIT    12
#TIMELIMIT    15
#DEREF        never

#TLS_CACERTDIR /etc/openldap/cacerts
#URI ldap://mail.cffers.com
ssl off

[root@~]# cat /etc/nsswitch.conf

passwd:     ldap files
shadow:     ldap files
group:      ldap files

[root@ ~]# id tan.fy@cffers.com
id: tan.fy:无此用户
[root@ ~]#
[root@ ~]# id tan.fy
id: tan.fy:无此用户
[root@ ~]#
请问我的配置是否正确呢  为什么查询不到该用户呢?

回复: 是否可以使用iredmail的openldap

你应该查询 'id tan.fy' 吧?

回复: 是否可以使用iredmail的openldap

ZhangHuangbin 写道:

你应该查询 'id tan.fy' 吧?


两种都是尝试了一下 发现还是不行 张总,iredmail ldap中应该没有什么验证限制吧?但是能够查询 所以感觉比较奇怪

回复: 是否可以使用iredmail的openldap

ZhangHuangbin 写道:

你应该查询 'id tan.fy' 吧?

用命令查询该账户也是可以查询的

[root@iZ25v9benvkZ ~]#  ldapsearch -LLL -W -x -H ldap://cffers.com -D "cn=Manager,dc=cffers,dc=com" -b "dc=cffers,dc=com" "(uid=tan.fy)" 
Enter LDAP Password:
dn: mail=tan.fy@cffers.com,ou=Users,domainName=cffers.com,o=domains,dc=cffers,
dc=com
objectClass: inetOrgPerson
objectClass: shadowAccount
objectClass: amavisAccount
objectClass: mailUser
objectClass: top
accountStatus: active
storageBaseDirectory: /var/vmail

回复: 是否可以使用iredmail的openldap

打开 OpenLDAP 的调试模式 "loglevel 256",然后重启 openldap 服务,跟踪一下它的日志文件。

6 最后由 917428360 (2014-09-20 21:27:43) 编辑

回复: 是否可以使用iredmail的openldap

已经loglevel    256
重启的日志如下

Sep 20 21:23:27 mail slapd[1565]: daemon: shutdown requested and initiated.
Sep 20 21:23:27 mail slapd[1565]: conn=1019 fd=25 closed (slapd shutdown)
Sep 20 21:23:27 mail slapd[1565]: slapd shutdown: waiting for 0 operations/tasks to finish
Sep 20 21:23:27 mail slapd[1565]: slapd stopped.
Sep 20 21:23:27 mail slapd[3041]: @(#) $OpenLDAP: slapd 2.4.23 (Feb  3 2014 19:11:35) $#012#011mockbuild@c6b10.bsys.dev.centos.org:/builddir/build/BUILD/openldap-2.4.23/openldap-2.4.23/build-servers/servers/slapd
Sep 20 21:23:27 mail slapd[3042]: bdb_monitor_db_open: monitoring disabled; configure monitor database to enable
Sep 20 21:23:27 mail slapd[3042]: slapd starting

Sep 20 21:25:50 mail slapd[3089]: conn=1003 fd=13 ACCEPT from IP=182.92.66.155:59190 (IP=0.0.0.0:389)
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=0 BIND dn="" method=128
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=0 RESULT tag=97 err=0 text=
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=1 SRCH base="o=domains,dc=cffers,dc=com" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=tan.fy))"
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=1 SEARCH RESULT tag=101 err=50 nentries=0 text=
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=2 UNBIND
Sep 20 21:25:50 mail slapd[3089]: conn=1003 fd=13 closed

回复: 是否可以使用iredmail的openldap

917428360 写道:

Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=1 SEARCH RESULT tag=101 err=50 nentries=0 text=

这里显示的错误是 err=50。根据 openldap 的错误代码列表,可以查到是你用来做 bind dn 的帐号没有足够的权限:

H.29. insufficientAccessRights (50)

Indicates that the client does not have sufficient access rights to perform the operation.

参考: http://www.openldap.org/doc/admin24/app … codes.html