Ajout section erreur rootdn

2021-08-26 16:09:58 +02:00 · 2021-08-26 16:09:58 +02:00 · 51b0957891
parent 857e7caf6b
commit 51b0957891
1 changed files with 16 additions and 0 deletions
--- a/HowtoOpenLDAP.md
+++ b/HowtoOpenLDAP.md
@ -524,3 +524,19 @@ slapcat | perl -p00e 's/\r?\n //g'
 ~~~

 Voir <https://openldap-technical.openldap.narkive.com/AAz1pHXD/slapcat-generate-extra-space-characters-in-ldif-output>
+
+### Erreur : rootdn is always granted unlimited privileges
+
+Pour certaines vieilles configurations avec `/etc/ldap/slapd.conf` :
+
+* `rootdn` est sur le super-user de la base de données.
+* Il est inutile de lui donner des accès car il les a déjà.
+* Si on lui donne des droits dans les ACL (directives "access") cela génère l'avertissement ci-dessus. Ce n'est pas un avertissement de sécurité mais de redondance.
+
+Il suffit de supprimer ou commenter les lignes `by` donnant des accès à rootdn dans les blocs `access` pour supprimer les warnings.
+
+Attention, le terme `rootdn` n'est pas explicitement mentionné dans les blocs `access`, recherchez plutôt son uid (vous pouvez le trouver dans la direction de définition du `rootdn`).
+
+Documentation : <https://www.openldap.org/doc/admin24/guide.html#Controlling%20rootdn%20access>
+
+"Never add the rootdn to the by clauses. ACLs are not even processed for operations performed with rootdn identity (otherwise there would be no reason to define a rootdn at all)."