耗时3天!!mac 10.9终于可以基本正常使用LDAP登录了。
在此过程中遇到主要问题是3个:
1. mac的LDAP无法链接ubuntu上的LDAP server。
原因:mac的LDAP client默认使用SASL连接服务器。LDAP server必须可以正常使用SASL查询。
解决:在slapd的配置中,在cn=config项下面加如olcAuthzRegexp项如下:
olcAuthzRegexp: {0}uid=([^,]*),cn=[^,]*,cn=auth uid=$1,ou=Users,dc=example,dc=
intra
原理是默认SASL请求的格式大概是 “cn=uid,cn=realm,cn=auth-mech,cn=auth”。LDAP内部用的是uid=xxx,ou=Users,dc=example,dc=intra。每次做验证都需要把SASL的请求格式转换成LDAP的格式。详情见:http://www.openldap.org/doc/admin24/sasl.html
2. 在mac客户端上无法正常修改用户的密码。修改完密码后老密码和新密码都不能用了。
原因:不太清楚。猜想是mac的客户端把密码二次加密了。
解决:在slapd的配置项olcDatabase={-