Permission refusée pour /etc/ldap2/slapd.d/cn=config.ldif

Question

J'essaie de démarrer une deuxième instance de slapd sur le port 400 et /var/log/syslog rapporte l'erreur du titre. Les étapes que j'ai suivies jusqu'à présent sont les suivantes :

• 1) copié /etc/ldap/slapd.d vers /etc/ldap2/slapd.d
• 2) copié /etc/default/slapd vers /etc/default/slapd2 qui ressemble à ceci : http://pastebin.com/QKA436v8
• 3) copié /etc/init.d/slapd vers /etc/init.d/slapd2 qui ressemble à ceci : http://pastebin.com/sqVzZ1jA

Voici la sortie de /var/log/syslog :

Jun  6 12:39:39 luka-VB-Ubuntu slapd2[3138]: @(#) $OpenLDAP: slapd  (Ubuntu) (Sep 15 2015 18:19:13) $#012#011buildd@lgw01-53:/build/openldap-2QUgtL/openldap-2.4.31/debian/build/servers/slapd
Jun  6 12:39:39 luka-VB-Ubuntu slapd2[3138]: ldif_read_file: Permission denied for "/etc/ldap2/slapd.d/cn=config.ldif"
Jun  6 12:39:39 luka-VB-Ubuntu slapd2[3138]: slapd stopped.
Jun  6 12:39:39 luka-VB-Ubuntu slapd2[3138]: connections_destroy: nothing to destroy.
Jun  6 12:39:39 luka-VB-Ubuntu kernel: [11912.288340] audit: type=1400 audit(1465209579.742:68): apparmor="DENIED" operation="open" profile="/usr/sbin/slapd" name="/etc/ldap2/slapd.d/cn=config.ldif" pid=3138 comm="slapd2" requested_mask="r" denied_mask="r" fsuid=117 ouid=117

EDIT :

Ce sont les autorisations pour ce fichier et pour le répertoire dans lequel il réside (/etc/ldap2/slapd.d/) :

drwxr-xr-x 3 openldap openldap 4096 Jun  6 15:16 ./
drwxr-xr-x 5 root     root     4096 Jun  1 14:23 ../
drwxr-x--- 3 openldap openldap 4096 Jun  1 14:23 cn=config/
-rw------- 1 openldap openldap  480 Jun  6 15:16 cn=config.ldif

et ceux-ci sont pour le répertoire cn=config/ :

drwxr-x--- 3 openldap openldap 4096 Jun  1 14:23 .
drwxr-xr-x 3 openldap openldap 4096 Jun  6 15:16 ..
-rw-rw-rw- 1 openldap openldap  436 Jun  1 14:23 cn=module{0}.ldif
drw-rw-rw- 2 openldap openldap 4096 Jun  1 14:23 cn=schema
-rw-rw-rw- 1 openldap openldap  378 Jun  1 14:23 cn=schema.ldif
-rw-rw-rw- 1 openldap openldap  396 Jun  1 14:23 olcBackend={0}hdb.ldif
-rw-rw-rw- 1 openldap openldap  513 Jun  1 14:23 olcDatabase={0}config.ldif
-rw-rw-rw- 1 openldap openldap  657 Jun  1 14:23 olcDatabase={-1}frontend.ldif
-rw-rw-rw- 1 openldap openldap 1131 Jun  1 14:23 olcDatabase={1}hdb.ldif

Les permissions pour les fichiers par défaut équivalents sont les suivantes (/etc/ldap/slapd.d/) :

drwxr-xr-x 3 openldap openldap 4096 Mar 18 13:51 ./
drwxr-xr-x 5 root     root     4096 May 31 16:49 ../
drwxr-x--- 3 openldap openldap 4096 Mar 18 14:06 cn=config/
-rw------- 1 openldap openldap  478 Mar 18 13:51 cn=config.ldif

et pour le cn=config/ :

drwxr-x--- 3 openldap openldap 4096 Mar 18 14:06 .
drwxr-xr-x 3 openldap openldap 4096 Mar 18 13:51 ..
-rw------- 1 openldap openldap  436 Mar 18 13:51 cn=module{0}.ldif
drwxr-x--- 2 openldap openldap 4096 Mar 18 13:51 cn=schema
-rw------- 1 openldap openldap  378 Mar 18 13:51 cn=schema.ldif
-rw------- 1 openldap openldap  396 Mar 18 13:51 olcBackend={0}hdb.ldif
-rw------- 1 openldap openldap  513 Mar 18 13:51 olcDatabase={0}config.ldif
-rw------- 1 openldap openldap  657 Mar 18 13:51 olcDatabase={-1}frontend.ldif
-rw------- 1 openldap openldap 1131 Mar 18 14:06 olcDatabase={1}hdb.ldif

Answer 1

Je viens de rencontrer le même problème sur Ubuntu 1604. En regardant dans les journaux, il s'est avéré que c'était une restriction d'apparmor.

slapd[10245]: ldif_read_file: Permission denied for "/home/vagrant/ldap/slapd.d/cn=config.ldif"
kernel: [77635.949937] audit: type=1400 audit(1489959083.939:65): apparmor="DENIED" operation="open" profile="/usr/sbin/slapd" name="/home/vagrant/ldap/slapd.d/cn=config.ldif" pid=10245 comm="slapd" requested_mask="r" denied_mask="r" fsuid=0 ouid=113

Si vous obtenez la même erreur, vous devez soit éditer /etc/apparmor.d/usr.sbin.slapd pour inclure vos chemins ou simplement désactiver le profil avec ce qui suit :

ln -s /etc/apparmor.d/usr.sbin.slapd /etc/apparmor.d/disable/
service apparmor reload

aa-disable slapd fait la même chose si vous avez apparmor-utils installé. Au cas où vous voudriez toujours voir les avertissements, alors utilisez aa-complain slapd .