URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 1840
[ Назад ]

Исходное сообщение
"OpenLDAP 2.4.11 + nss_ldap 1.257"
Отправлено alonefox , 26-Июл-08 03:22

Сервер FreeBSD 6.3... База пользователей храниться в OpenLDAP. От туда информацию берут Samba, OpenVPN, Jabber, Squid...
Все прекрасно работало, пока не обновил...
Ранее стоял тот же nss_ldap 1.257 и, кажеться, OpenLDAP 2.4.8...
При идентификации пользователя:
gw# id ntadmin
uid=0(ntadmin) gid=0(wheel) groups=0(wheel)
... выдает в /var/log/messages сообщение:
Jul 26 03:12:20 gw id: nss_ldap: could not search LDAP server - Server is unavailable
Вот конфиг
gw# cat /usr/local/etc/nss_ldap.conf
base dc=fox,dc=lan
uri ldap://127.0.0.1:389/
ldap_version 3
bind_policy soft
bind_timelimit 3
idle_timelimit 3600
nss_base_passwd         ou=users,dc=fox,dc=lan?one
nss_base_passwd         ou=computers,dc=fox,dc=lan?one
nss_base_group          ou=groups,dc=fox,dc=lan?one
nss_connect_policy persist
#nss_connect_policy oneshot
nss_paged_results yes
pagesize 1000
scope sub
timelimit 10
binddn  cn=manager,dc=fox,dc=lan
... Долго копал и немного дорылся ... до следствия... Если nss_connect_policy поставить в oneshot, то тогда все замечательно работает... Данная опция отвечает за одноразовое подключение к серверу (oneshot) или постоянное (persist)...
Решение, в принципе, нормальное, но все-таки хочеться понять из-за чего вся эта котовасия.... Downgrade OpenLDAP'а тоже не хочу...
  Кстати, вот не могу сказать точно, но кажеться все началось (дома повторно проверял) не после обновление openldap-sasl-server, а после обновления openldap-sasl-client...
  Очень прошу помочь в поисках проблемы... Инет весь прошарил, ничего не нашел... Получается у меня одного это??? Хотя на другом сервере у меня получилось эту ошибку повторить!!!

Содержание

OpenLDAP 2.4.11 + nss_ldap 1.257,Сергей, 13:02 , 29-Июл-08
- OpenLDAP 2.4.11 + nss_ldap 1.257,alonefox, 02:25 , 30-Июл-08
  - OpenLDAP 2.4.11 + nss_ldap 1.257,Сергей, 09:40 , 30-Июл-08
    - OpenLDAP 2.4.11 + nss_ldap 1.257,alonefox, 10:00 , 30-Июл-08
      - OpenLDAP 2.4.11 + nss_ldap 1.257,Сергей, 09:34 , 31-Июл-08
        
        OpenLDAP 2.4.11 + nss_ldap 1.257,alonefox, 10:18 , 31-Июл-08

Сообщения в этом обсуждении

"OpenLDAP 2.4.11 + nss_ldap 1.257"
Отправлено Сергей , 29-Июл-08 13:02

У тебя это одноразово происходит или постоянно, если одноразово, то nss_ldap стартует раньше, чем сам openldap-server

"OpenLDAP 2.4.11 + nss_ldap 1.257"
Отправлено alonefox , 30-Июл-08 02:25

> У тебя это одноразово происходит или постоянно,
Прошу прощения, что не написал сразу. Появляется эта строка при _каждом_ обращении к nss_ldap.
для экспериментов использую следующую строку:
# logger "home `date`"; id ntadmin; logger "end `date`"
В логах получаю:
Jul 30 02:22:32 gw root: home среда, 30 июля 2008 г. 02:22:32 (MSD)
Jul 30 02:22:32 gw id: nss_ldap: could not search LDAP server - Server is unavailable
Jul 30 02:22:32 gw root: end среда, 30 июля 2008 г. 02:22:32 (MSD)

>если одноразово, то nss_ldap
>стартует раньше, чем сам openldap-server
Сорри за глупый может быть вопрос. А что nss_ldap надо пускать? На сколько я понимаю это библиотека всего-лишь + стартовых скриптов не нашел ни для БСД ни для Убунты...
Хотя читаю об этом уже не в первой... Очень стало интересно

"OpenLDAP 2.4.11 + nss_ldap 1.257"
Отправлено Сергей , 30-Июл-08 09:40

Да нет, просто как сервис nss_ldap запускается раньще, чем openldap, поэтому и может возникнуть эта проблема, у вас судя по всему может быть изменено и в файрволе и в привязке самого ldap-server'а к сетевым интерфейсам...

"OpenLDAP 2.4.11 + nss_ldap 1.257"
Отправлено alonefox , 30-Июл-08 10:00

>Да нет, просто как сервис nss_ldap запускается раньще, чем openldap, поэтому и
>может возникнуть эта проблема, у вас судя по всему может быть
>изменено и в файрволе и в привязке самого ldap-server'а к сетевым
>интерфейсам...
Момент запуска меня интересует меньше всего. Все работает, но выдает эти дурацкие сообщения, вот я и хочу от них избавиться. + получить нормальные (постоянные) соединения между службами и ЛДАП сервером, чего не происходит.
Подскажите в какую сторону копать... Смотрел maillist openldap но там ничего похожего нет.
P.S. Может кто-нить попробует это проделать у себя... Просто может руки у меня кривые O_o!!!

"OpenLDAP 2.4.11 + nss_ldap 1.257"
Отправлено Сергей , 31-Июл-08 09:34

>[оверквотинг удален]
>>изменено и в файрволе и в привязке самого ldap-server'а к сетевым
>>интерфейсам...
>
>Момент запуска меня интересует меньше всего. Все работает, но выдает эти дурацкие
>сообщения, вот я и хочу от них избавиться. + получить нормальные
>(постоянные) соединения между службами и ЛДАП сервером, чего не происходит.
>Подскажите в какую сторону копать... Смотрел maillist openldap но там ничего похожего
>нет.
>P.S. Может кто-нить попробует это проделать у себя... Просто может руки у
>меня кривые O_o!!!
У меня немножко по другому записано иа именно
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
port 389
И еще пароль записан в файл nss_ldap.secret

"OpenLDAP 2.4.11 + nss_ldap 1.257"
Отправлено alonefox , 31-Июл-08 10:18

> У меня немножко по другому записано иа именно
> uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
> port 389
> И еще пароль записан в файл nss_ldap.secret
Да, еще неделю назад у меня тоже было прописан "uri" и пароль в "nss_ldap.secret", но в результате экспериментов все упростилось... даже пароль ;)
P.S. при указании URI использование параметров HOST и PORT просто бесполезно
Кстати, когда использовал сокеты и полезли эти "ошибки", я начал замечать в sockstat "обвалившиеся" сокеты, а только потом увидел сообщения об ошибке...
Сейчас стал задумываться о переходе на старую версию LDAP... Лучшее, блин, не всегда хорошее