iRedMail 技术交流 QQ 群：296792359。

917428360 · 2014-09-19 15:27:17

917428360
会员
离线

注册日期: 2013-08-18
文章数: 14

主题: 是否可以使用iredmail的openldap

==== 必填信息。没有填写将不予回复 ====
- iRedMail 版本号：0.8.7
- 使用哪个数据库存储用户帐号（OpenLDAP，MySQL，PostgreSQL）：OpenLDAP
- 使用的 Linux/BSD 发行版名称及版本号：centos 6
- 与您的问题相关的日志信息：
====
我有一台linux 我想使用iredmail的openldap进行认证凡是发现在该linux上进行查询是可以的配置好ldap后无法正常使用
[root@ ~]# ldapsearch -LLL -W -x -H ldap://cffers.com -D "cn=Manager,dc=cffers,dc=com" -b "dc=cffers,dc=com" "(uid=*)"
Enter LDAP Password:
dn: cn=vmail,dc=cffers,dc=com
objectClass: person
objectClass: shadowAccount
objectClass: top
cn: vmail

^^^^^^^^^^^^^^^^^^^^可以查看信息

[root@ ~]# cat /etc/sysconfig/authconfig | grep yes
CACHECREDENTIALS=yes
USESHADOW=yes
USELDAPAUTH=yes
USELOCAUTHORIZE=yes
USECRACKLIB=yes
USELDAP=yes
[root@iZ25v9benvkZ ~]#

[root@iZ25v9benvkZ ~]# cat /etc/openldap/ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666

BASE dc=cffers,dc=com
URI ldap://cffers.com:389
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never

#TLS_CACERTDIR /etc/openldap/cacerts
#URI ldap://mail.cffers.com
ssl off

[root@~]# cat /etc/nsswitch.conf

passwd: ldap files
shadow: ldap files
group: ldap files

[root@ ~]# id tan.fy@cffers.com
id: tan.fy：无此用户
[root@ ~]#
[root@ ~]# id tan.fy
id: tan.fy：无此用户
[root@ ~]#
请问我的配置是否正确呢为什么查询不到该用户呢?

ZhangHuangbin · 2014-09-19 18:19:40

ZhangHuangbin
iRedMail 开发组
离线

注册日期: 2009-12-18
文章数: 2,864

回复: 是否可以使用iredmail的openldap

你应该查询 'id tan.fy' 吧？

917428360 · 2014-09-19 23:58:55

917428360
会员
离线

注册日期: 2013-08-18
文章数: 14

回复: 是否可以使用iredmail的openldap

ZhangHuangbin 写道:

你应该查询 'id tan.fy' 吧？

两种都是尝试了一下发现还是不行张总，iredmail ldap中应该没有什么验证限制吧？但是能够查询所以感觉比较奇怪

917428360 · 2014-09-20 00:01:25

917428360
会员
离线

注册日期: 2013-08-18
文章数: 14

回复: 是否可以使用iredmail的openldap

ZhangHuangbin 写道:

你应该查询 'id tan.fy' 吧？

用命令查询该账户也是可以查询的

[root@iZ25v9benvkZ ~]# ldapsearch -LLL -W -x -H ldap://cffers.com -D "cn=Manager,dc=cffers,dc=com" -b "dc=cffers,dc=com" "(uid=tan.fy)"
Enter LDAP Password:
dn: mail=tan.fy@cffers.com,ou=Users,domainName=cffers.com,o=domains,dc=cffers,
dc=com
objectClass: inetOrgPerson
objectClass: shadowAccount
objectClass: amavisAccount
objectClass: mailUser
objectClass: top
accountStatus: active
storageBaseDirectory: /var/vmail

ZhangHuangbin · 2014-09-20 18:16:35

ZhangHuangbin
iRedMail 开发组
离线

注册日期: 2009-12-18
文章数: 2,864

回复: 是否可以使用iredmail的openldap

打开 OpenLDAP 的调试模式 "loglevel 256"，然后重启 openldap 服务，跟踪一下它的日志文件。

917428360 · 2014-09-20 21:26:20

917428360
会员
离线

注册日期: 2013-08-18
文章数: 14

回复: 是否可以使用iredmail的openldap

已经loglevel 256
重启的日志如下

Sep 20 21:23:27 mail slapd[1565]: daemon: shutdown requested and initiated.
Sep 20 21:23:27 mail slapd[1565]: conn=1019 fd=25 closed (slapd shutdown)
Sep 20 21:23:27 mail slapd[1565]: slapd shutdown: waiting for 0 operations/tasks to finish
Sep 20 21:23:27 mail slapd[1565]: slapd stopped.
Sep 20 21:23:27 mail slapd[3041]: @(#) $OpenLDAP: slapd 2.4.23 (Feb 3 2014 19:11:35) $#012#011mockbuild@c6b10.bsys.dev.centos.org:/builddir/build/BUILD/openldap-2.4.23/openldap-2.4.23/build-servers/servers/slapd
Sep 20 21:23:27 mail slapd[3042]: bdb_monitor_db_open: monitoring disabled; configure monitor database to enable
Sep 20 21:23:27 mail slapd[3042]: slapd starting

Sep 20 21:25:50 mail slapd[3089]: conn=1003 fd=13 ACCEPT from IP=182.92.66.155:59190 (IP=0.0.0.0:389)
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=0 BIND dn="" method=128
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=0 RESULT tag=97 err=0 text=
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=1 SRCH base="o=domains,dc=cffers,dc=com" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=tan.fy))"
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=1 SEARCH RESULT tag=101 err=50 nentries=0 text=
Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=2 UNBIND
Sep 20 21:25:50 mail slapd[3089]: conn=1003 fd=13 closed

ZhangHuangbin · 2014-09-21 11:09:36

ZhangHuangbin
iRedMail 开发组
离线

注册日期: 2009-12-18
文章数: 2,864

回复: 是否可以使用iredmail的openldap

917428360 写道:

Sep 20 21:25:50 mail slapd[3089]: conn=1003 op=1 SEARCH RESULT tag=101 err=50 nentries=0 text=

这里显示的错误是 err=50。根据 openldap 的错误代码列表，可以查到是你用来做 bind dn 的帐号没有足够的权限：

H.29. insufficientAccessRights (50)
Indicates that the client does not have sufficient access rights to perform the operation.

参考： http://www.openldap.org/doc/admin24/app … codes.html

iRedMail 技术交流 QQ 群：296792359。

是否可以使用iredmail的openldap

文章数 [ 7 ]

1 917428360发表 2014-09-19 15:27:17 最后由 917428360 (2014-09-19 17:05:29) 编辑

主题: 是否可以使用iredmail的openldap

2 ZhangHuangbin回复 2014-09-19 18:19:40

回复: 是否可以使用iredmail的openldap

3 917428360回复 2014-09-19 23:58:55

回复: 是否可以使用iredmail的openldap

4 917428360回复 2014-09-20 00:01:25

回复: 是否可以使用iredmail的openldap

5 ZhangHuangbin回复 2014-09-20 18:16:35

回复: 是否可以使用iredmail的openldap

6 917428360回复 2014-09-20 21:26:20 最后由 917428360 (2014-09-20 21:27:43) 编辑

回复: 是否可以使用iredmail的openldap

7 ZhangHuangbin回复 2014-09-21 11:09:36

回复: 是否可以使用iredmail的openldap

文章数 [ 7 ]