URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 54324
[ Назад ]

Исходное сообщение
"Openldap от непривелигированного uid"

Отправлено tadmin , 11-Мрт-05 11:10 
openldap 2.2.19 под FreeBSD 5.3, backend BDB 4.2.52.

Используется с nss_ldap, pam_ldap в связке с Samba 3.

Замечено, что если slapd запущен от рута, то он взлетает мгновенно. Если использовать -u ldap -g ldap, то время запуска 30-45 секунд. То же самое при первом запуске slapd - база создается не сразу, а через 30-40 секунд.

В остальном все нормально. Даже со slapd -u ldap -g ldap система нормально функционирует, обслуживая средней величины Samba домен.

Права на директорию с базой BDB и /var/run/openldap даны.

Есть подозрение, что на момент старта система пытается сдлеать поиск по ldap для определения имени по uid, (nss_ldap) а директория еще не отвечает. Если же сервис стартует от рута, то такая проверка не требуется

Кто сталкивался с таким поведением?


Содержание

Сообщения в этом обсуждении
"Openldap от непривелигированного uid"
Отправлено Alex Deiter , 11-Мрт-05 11:41 
>Замечено, что если slapd запущен от рута, то он взлетает мгновенно. Если
>использовать -u ldap -g ldap, то время запуска 30-45 секунд. То
>же самое при первом запуске slapd - база создается не сразу,
>а через 30-40 секунд.
>Кто сталкивался с таким поведением?

Я. Виноват оказался nss_ldap. Покажите Ваш ldap.conf от nss_ldap.



"Openldap от непривелигированного uid"
Отправлено tadmin , 11-Мрт-05 15:55 
host 127.0.0.1
base    dc=local
binddn cn=pam,ou=ldapstaff,dc=office,dc=spb,dc=local
bindpw *******************
#
scope sub
#
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute gid
ssl no
#
pam_password SSHA
#
nss_base_passwd ou=Users,dc=office,dc=spb,dc=local?one?objectClass=posixAccount
nss_base_passwd ou=Computers,dc=office,dc=spb,dc=local?one?objectClass=posixAccount
nss_base_shadow ou=Users,dc=office,dc=spb,dc=local?one?objectClass=shadowAccount
nss_base_group  ou=Groups,dc=office,dc=spb,dc=local?one?objectClass=posixGroup
#

"Openldap от непривелигированного uid"
Отправлено tadmin , 25-Мрт-05 19:18 
решение подсказано by Alex Deiter
Следует в ldap.conf для nss_ldap использовать не ip, unix сокет.
Т.е. запускать
slapd -h "ldapi://%2fvar%2frun%2fopenldap/"
%2f - заменяют "/"

тогда в ldap.conf тоже указываем unix сокет