关于’man slapo-auditlog’,我应该只需添加以下内容.
dn: olcOverlay=auditlog,olcDatabase={1}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcAuditLogConfig
olcOverlay: auditlog
olcAuditlogFile: /tmp/auditlog.ldif
首先,Centos 6上默认不安装“olcOverlay = auditlog”.所以我不能将它添加到任何东西.如果我删除“changetype:add”,我将收到此错误.
additional info: objectClass: value #1 invalid per Syntax
我发现我可以创建自己的cn =模块,之后就存在olcAuditLogConfig,我可以执行上面的LDIF.但我仍然没有得到任何审计日志.
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModulePath: /usr/lib64/openldap/
olcModuleLoad: auditlog.la
我的LDAP设置可以在这里找到(现在在我自己的服务器上略微修改)
How do I configure LDAP on Centos 6 for user authentication in the most secure and correct way?
我现在已经完成了所有工作,而且我非常接近解决方案.这是一个许可问题.这是将auditlog添加到Centos 6上安装的openldap的方法.
首先启用模块.
ldapadd -H ldaps://ldap.example.net -x -D "cn=admin,cn=config" -w secret << EOF dn: cn=module{0},cn=config objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib64/openldap/ olcModuleLoad: auditlog.la EOF
设置ldap有权写入的文件夹.
mkdir slapd chmod 755 /var/log/slapd/ chown ldap:ldap /var/log/slapd/ ls -alvhZ /var/log/slapd/
然后配置olcAuditLogConfig覆盖.
ldapadd -H ldaps://ldap.example.net -x -D "cn=admin,cn=config" -w secret << EOF dn: olcOverlay=auditlog,olcDatabase={1}bdb,cn=config changetype: add objectClass: olcOverlayConfig objectClass: olcAuditLogConfig olcOverlay: auditlog olcAuditlogFile: /var/log/slapd/auditlog.log EOF
ldapadd -H ldaps://ldap.example.net -x -D "cn=admin,cn=config" -w secret << EOF dn: cn=management11191,ou=group,dc=example,dc=net cn: management11191 objectClass: posixGroup gidNumber: 2005 memberUid: user1 memberUid: user3 EOF
$cat /var/log/slapd/auditlog.log ... $ls -alvhZ /var/log/slapd/auditlog.log -rw-r--r--. ldap ldap unconfined_u:object_r:slapd_log_t:s0 /var/log/slapd/auditlog.log
