6 votos

¿Cómo puedo actualizar la memberOf atributos de los objetos existentes después de la adición de la OpenLDAP Inversa Pertenencia al Grupo de Mantenimiento de superposición?

Este es un seguimiento a esta pregunta: he añadido el memberof superposición existente OpenLDAP 2.4 servidor. Ahora quiero actualizar a la existente en los objetos de usuario.

Para los nuevos miembros de grupo, el atributo de miembro está actualizado correctamente. Pero tengo un montón de grupos existentes que no se actualizan automáticamente. Me podría quitar todos los usuarios de sus grupos y volver a agregar a ellos para asegurarse de que estas entradas están en sincronía. Dado que este es un Univention Servidor de la empresa que hace un montón de magia cuando se modifica el LDAP, no me quiere correr el riesgo de romper mi directorio.

Hay una forma de engañar a la superposición para la actualización de estos atributos operacionales?

0voto

jbrennan Puntos 7307

Creo que ejecutan slapindex va a resolver su problema. Al menos suena muy parecido a lo que sucede cuando se agrega un nuevo índice para su sistema.. extraño resultados a menos que se ejecute la indización en las entradas antiguas.

Por favor, tenga en cuenta que servidor openldap, se debe detener la ejecución de este. Y debe de funcionar como slapd de usuario (como openldap) o ejecutarlo como root y cambiar los permisos de los epílogos.

/etc/init.d/slapd stop
slapindex
chown openldap:openldap /var/lib/ldap/*
/etc/init.d/slapd start

o

/etc/init.d/slapd stop
su - openldap -c  slapindex
/etc/init.d/slapd start

por favor, lea slapindex hombre de páginas antes de ejecutar este. Y este debe ser seguro a menos que usted haya dañado la base de datos. (recuerde verificar los permisos de los archivos antes de empezar)

Los comandos de cómo detener e iniciar sus mapas de servicios, dependerá de la Os sabor de su ejecución.

0voto

Jonathan Clarke Puntos 1089

La única vez en cuando la memberOf de superposición de ser activada si desea modificar un miembro de un grupo. Así que, la única manera de "engañar" a la actualización de la memberOf atributos sería, de hecho, para eliminar todos los usuarios de sus grupos y agregar de ellos, como usted sugiere.

Una alternativa sería el uso de una herramienta externa para sincronizar los grupos y sus miembros las entradas.

Podría escribir su propio guión para esta - algo a lo largo de las líneas de "para cada grupo, leer a los miembros, para cada miembro, ejecute un LDAP "modificar" operación "agregar" un valor para el atributo de miembro de miembro de la entrada.

O, probablemente, más fiable, puede utilizar una herramienta como la LSC (Sincronización LDAP Conector) que tiene casi todo lo que ha hecho: sólo es necesario configurar la asignación que desea. El truco con el LSC es utilizar el mismo servidor LDAP como origen y de destino, y se ejecuta a través de todos los usuarios para asegurarse de que el atributo de miembro contiene la lista de los grupos que los resultados de búsqueda de todos los grupos para que los estados=. La LSC sitio web tiene un tutorial para hacer esto, de alguna forma, pero es un poco anticuado.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: