В общем-то, ldap пока нужен суперпростой - только пользователи и пароли. Даже группу можно одну. И никаких пока что апачей и самб.
У пользователей RHEL5.7.
Я для сервера взял CentOS 6.5. Поставил openldap-2.4.23-32.el6_4.1.

Хоть я и понял, что есть динамическая и статическая конфигурация, но не понял как сказать ldapу каким способом работать.
Поэтому пошёл сразу двумя путями, как братья Ульяновы:

Александр: настроил в /etc/openldap/ файлы slapd.conf и ldap.conf.

Владимир: подредактировал ldifы - {0}config, {1}monitor, {2}bdb и создал свой base.ldif:
_______________________________________
dn: dc=o64ldap,dc=geoad,dc=ru
objectClass: dcObject
objectClass: organization
dc: o64ldap

dn: ou=People,dc=o64ldap,dc=geoad,dc=ru
objectClass: top
objectClass: organizationalUnit
ou: People

dn: ou=Groups,dc=o64ldap,dc=geoad,dc=ru
objectClass: top
objectClass: organizationalUnit
ou: Groups
_______________________________________

#ldapadd -x -W -D "cn=dbroot,dc=o64ldap,dc=geoad.dc=ru" -f base.ldif
Был ответ, что всё хорошо, а вот дословно его слов не помню.

Проверяем:
# ldapsearch -x -D "cn=dbroot,dc=o64ldap,dc=geoad,dc=ru" -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <dc=geoad,dc=ru> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 32 No such object

# numResponses: 1

Честно скажу, своим дилетантским взглядом не вижу ошибок. Вижу, что не найдены какие-то объекты, но не понимаю критично это или нет?

Каждую ошибку, которая возникает, ищу через яндекс и гугл, но это не всегда помогает, поэтому и пришёл сюда.

Теперь создаю пользователя:
_______________________________________
dn: cn=oneuser,cn=People,dc=o64ldap,dc=geoad,dc=ru
objectClass: People
objectClass: shadowAccount
sn: oneuser
uid: oneuser
userPassword:{SSHA}ektfCMZ0Ygl0qYWcfHHcPMz4GpZ8YeiC
homeDirectory: /home/oneuser
loginShell: /bin/csh
uidNumber: 5072
gidNumber: 100
_______________________________________

#ldapadd -x -W -D "cn=dbroot,dc=o64ldap,dc=geoad,dc=ru" -f oneuser.ldif
Enter LDAP Password:
adding new entry "cn=oneuser,cn=People,dc=o64ldap,dc=geoad,dc=ru"
ldap_add: Invalid syntax (21)
additional info: objectClass: value #0 invalid per syntax

Понимаю, что ругается на objectClass: People, но ничего поделать не могу, потому что если убираю его, то:

#ldapadd -x -W -D "cn=dbroot,dc=o64ldap,dc=geoad,dc=ru" -f oneuser.ldif
Enter LDAP Password:
adding new entry "cn=oneuser,dc=o64ldap,dc=geoad,dc=ru"
ldap_add: Object class violation (65)
additional info: no structural object class provided

Писал вместо People - organizationalUnit, писал top.
Вместо objectClass писал ou.
Всё равно какие-нибудь ошибки.

Может я пошёл не тем путём?

Третий день лопачу интернеты, но продвигаюсь к цели очень медленно, хотя нормальные люди делают это за 10 минут.

И ещё: сертификат создал и думаю, что правильно, потому что сначала ругалась на сертификат, когда на него был путь неправильно прописан, а когда путь прописал правильно - ругань утихла, значит сертификат нашли и приняли.

Прописал в ldif:
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount

И:
# ldapadd -x -W -D "cn=dbroot,dc=o64ldap,dc=geoad,dc=ru" -f sapagin.ldif
Enter LDAP Password:
adding new entry "cn=oneuser,dc=o64ldap,dc=geoad,dc=ru"



Но это не означает, что я не вернусь сюда, потому что если какая-то система мне с самого начала не сдалась, то я так и буду спотыкаться в ней постоянно.
Видимо openldap - одна из таких дорог.

Я вернулся!

Всё-таки
result: 32 No such object
видимо что-то значило.

С клиентской машины:
#ldapsearch -x -D "cn=dbroot,dc=o64ldap,dc=geoad,dc=ru" -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 32 No such object

# numResponses: 1

И ещё не врубаюсь как сертификат прописать на клиенте.

В общем, не коннектится.
Теперь ещё хуже, потому что непонятно - не работает сервер, или работает сервер, но криво настроен клиент?
Но на ldap видимо клиентская машина перестроилась, потому что под локальными пользователями уже не пускает, только под рутом.

Извиняюсь. Со стороны, наверное, выглядит ужасно, что я разговариваю сам с собой.
Но когда несколько дней общаешься только с ldapом, причём безуспешно, и людей видел только на аватарках, то хочется, чтобы хоть кто-то сказал: Товарищ, ты вообще не в ту сторону идёшь. Вернись на два шага назад. Или на пять. Или к 1 сентября 2000 года. Или вот тебе правильный пинок.

В общем, сертификат на клиенте я вроде прописал, но всё равно не коннектится.

В логах сервера вижу, как я безуспешно ломлюсь с другой машины:

Mar 16 16:22:16 o64ldap slapd[4538]: conn=1054 fd=16 ACCEPT from IP=10.20.30.40:54369 (IP=0.0.0.0:389)
Mar 16 16:22:16 o64ldap slapd[4538]: conn=1054 op=0 BIND dn="" method=128
Mar 16 16:22:16 o64ldap slapd[4538]: conn=1054 op=0 RESULT tag=97 err=48 text=anonymous bind disallowed
Mar 16 16:22:16 o64ldap slapd[4538]: conn=1054 op=1 UNBIND
Mar 16 16:22:16 o64ldap slapd[4538]: conn=1054 fd=16 closed

Почему anonymous ?

Оказывается он перебирал порты.
Причём на двух портах логи немного отличались:

Mar 16 17:23:08 o64ldap slapd[4538]: conn=1092 fd=16 ACCEPT from IP=10.20.30.40:33056 (IP=0.0.0.0:389)
Mar 16 17:23:08 o64ldap slapd[4538]: conn=1092 op=0 BIND dn="cn=dbroot,dc=o64ldap,dc=geoad,dc=ru" method=128
Mar 16 17:23:08 o64ldap slapd[4538]: conn=1092 op=0 BIND dn="cn=dbroot,dc=o64ldap,dc=geoad,dc=ru" mech=SIMPLE ssf=0
Mar 16 17:23:08 o64ldap slapd[4538]: conn=1092 op=0 RESULT tag=97 err=0 text=
Mar 16 17:23:08 o64ldap slapd[4538]: conn=1092 op=1 SRCH base="dc=geoad,dc=ru" scope=2 deref=0 filter="(objectClass=*)"
Mar 16 17:23:08 o64ldap slapd[4538]: conn=1092 op=1 SEARCH RESULT tag=101 err=32 nentries=0 text=
Mar 16 17:23:08 o64ldap slapd[4538]: conn=1092 op=2 UNBIND
Mar 16 17:23:08 o64ldap slapd[4538]: conn=1092 fd=16 closed
Mar 16 17:23:41 o64ldap slapd[4538]: conn=1093 fd=16 ACCEPT from IP=10.20.30.40:33057 (IP=0.0.0.0:389)
Mar 16 17:23:41 o64ldap slapd[4538]: conn=1093 op=0 SRCH base="" scope=0 deref=0 filter="(objectClass=*)"
Mar 16 17:23:41 o64ldap slapd[4538]: conn=1093 op=0 SRCH attr=supportedSASLMechanisms
Mar 16 17:23:41 o64ldap slapd[4538]: conn=1093 op=0 SEARCH RESULT tag=101 err=0 nentries=1 text=
Mar 16 17:23:41 o64ldap slapd[4538]: conn=1093 fd=16 closed (connection lost)

Но он прошёл мимо и пошёл дальше перебирать порты, пока окно с паролем на клиенте не вылетело, видимо по таймауту.

Ну что же вы, товарищи?
Будто бы никто никогда ldap не настраивал?
Уж если так неохота было выдавать тайны настройки ldap, то могли бы подсказать в таком стиле:
"Гражданин, зачем тебе ldap? Это не твоћ, сделай NIS с твоими-то облегчћнными запросами."

Сам догадался. Сам сделал.
Две недели имелся с openldapом, так и не смог настроить. Где-то затык и понять не могу где. Может и вижу ошибку, но не пойму что это она.
Забил.
Сделал NIS.

Но остались два вопроса, связанные как раз с заведением новых пользователей:
1. Каждый раз после завода нового пользователя на сервере с помощью adduser и passwd надо делать ypinit -m ? А как-то напрямую нельзя их сразу в NIS?
2. При первом логине нового пользователя на каком-нибудь компе файлы для дефаултного хоме берутся из локального /etc/skel, а не с сервера NIS, это можно победить?