FreBSD в роли PDC с LDAP проблема nss_ldap

[blex]

Код: Выделить всё

Здравствуйте! У меня проблема nss_ldap не пойму в чем проблема, когда в /etc/nsswitch.conf изменяю на group: files ldap то после рестарта slapd  появляется ошибка nss_ldap: could not search ldap server - server is unavailable.

Код: Выделить всё

Если указать:
                     group: files  
                     passwd: files ldap
                     shadow: files ldap
то нормально система видит пользователей из ldap, а когда изменяю на group: files ldap появляется опять ошибка.

Код: Выделить всё

/usr/local/etc/nss_ldap.conf:
host 127.0.0.1
base dc=nox,dc=local
ldap_version 3
port 389
scope one
timelimit 30
bind_timelimit 30
bind_policy soft
nss_connect_policy persist
idle_timelimit 3600
pagesize 1000
nss_base_passwd         ou=users,dc=nox,dc=local?one
nss_base_shadow         ou=users,dc=nox,dc=local?one
nss_base_group         ou=groups,dc=nox,dc=local?one

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Electronik]

Код: Выделить всё

ou=groups,dc=nox,dc=local

существует?

[blex]

Да существует

Код: Выделить всё

# ldapsearch -LLL -x -b 'dc=nox,dc=local' '*'
dn: dc=nox,dc=local
objectClass: dcObject
objectClass: organization
objectClass: top
dc: nox
o: nox

dn: ou=users,dc=nox,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: cn=blex,ou=users,dc=nox,dc=local
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
cn: blex
sn: blex
uid: blex
uidNumber: 5001
gidNumber: 0
gecos: Blex
homeDirectory: /home/blex
loginShell: /usr/local/bin/bash

dn: ou=groups,dc=nox,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=computers,dc=nox,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

В чем проблема не могу понять

[Electronik]

потому что группы постоянно обновляются.
в rc.conf

Код: Выделить всё

slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/ ldap://127.0.0.1/"'

[snorlov]

Код: Выделить всё

Здравствуйте! У меня проблема nss_ldap не пойму в чем проблема, когда в /etc/nsswitch.conf изменяю на group: files ldap то после рестарта slapd  появляется ошибка nss_ldap: could not search ldap server - server is unavailable.

Код: Выделить всё

Если указать:
                     group: files  
                     passwd: files ldap
                     shadow: files ldap
то нормально система видит пользователей из ldap, а когда изменяю на group: files ldap появляется опять ошибка.
[/quote]
 Если это один раз при старте/restart'е сервера или самого лдапа, то забейте, если же постоянно идет на консоль то тут имеет смысл разбираться...

[blex]

В rc.conf:

Код: Выделить всё

slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/"'
slapd_sockets="/var/run/openldap/ldapi"

При старте а потом и на консоль постоянно с некоторым промежутком времени

[snorlov]

При старте а потом и на консоль постоянно с некоторым промежутком времени

Пропишите ip прямо

Код: Выделить всё

slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://127.0.0.1/"'

Можно еще вместо файла /usr/local/etc/nss_ldap.conf сделать ссылку его на /usr/local/etc/openldap/ldap.conf, кроме этого у вас не указан пользователь от имени которого шарится в лдапе nss_switch...
Можно еще в лдапе включить уровень логирования и тогда, кажется в /var/log/debug.log будет сыпаться информация, кто что запрашивал...
И еще ldapsearch ишет в лдапе, а вам нужен поиск через nss_ldap, это немного другое, другими словами, один юзает одну конфигурацию /usr/local/etc/openldap/ldap.conf, а другой другую /usr/local/etc/nss_ldap.conf, а что кажет

Код: Выделить всё

getent passwd
getent group

[blex]

Код: Выделить всё

slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://127.0.0.1/"'

это не помогло

Сделал ссылку на

Код: Выделить всё

/usr/local/etc/openldap/ldap.conf

тоже не помогло

Добавил

Код: Выделить всё

getent passwd
getent group

посыпалось

Код: Выделить всё

Feb 13 20:00:46 dc slapd: NSSWITCH(nslexer): /etc/nsswitch.conf line 17: syntax error at 'passwd'
Feb 13 20:00:46 dc slapd: NSSWITCH(nslexer): /etc/nsswitch.conf line 18: syntax error at 'group'

Код: Выделить всё

/var/log/slapd.log

[2453]: slapd stopped.
[2477]: @(#) $OpenLDAP: slapd 2.4.33 (Feb 12 2013 15:09:35) $   root@dc.nox.local
[2477]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact
[2477]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact
[2477]: nss_ldap: could not search LDAP server - Server is unavailable
[2477]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact
[2477]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact
[2477]: nss_ldap: could not search LDAP server - Server is unavailable
[2478]: slapd starting

[blex]

Код: Выделить всё

/var/log/slapd.log:

Feb 13 20:02:54 dc slapd[2478]: slapd starting
Feb 13 20:05:00 dc slapd[2478]: conn=1000 fd=9 ACCEPT from IP=127.0.0.1:65283 (I
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=0 BIND dn="" method=128
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=0 RESULT tag=97 err=0 text=
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=1 SRCH base="ou=users,dc=nox,dc=local scope=1 deref=0 filter="(&(objectClass=posixAccount) (uid=root))"
Feb 13 20:05:00 dc slapd[2478]: <= bdb_equality_candidates: (uid) not indexed
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=2 SRCH base="ou=groups,dc=nox,dc=local" scope=1 scope=1 deref=0 filter="(&(objectClass=posixGroup)(memberUid=root))"
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=2 SRCH attr=gidNumber
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Feb 13 20:05:00 dc slapd[2478]: conn=1000 fd=9 closed (connection lost)

[blex]

Делал по статье http://www.lissyara.su/articles/freebsd ... amba+ldap/

[blex]

/usr/local/etc/openldap/slapd.conf:

Код: Выделить всё

include         /usr/local/etc/openldap/schema/core.schema

include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args
modulepath      /usr/local/libexec/openldap
moduleload      back_bdb

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none

access to *
        by self write
        by anonymous read
        by * none

#######################################################################
# BDB database definitions
#######################################################################

database        bdb
suffix          "dc=nox,dc=local"
rootdn          "cn=root,dc=nox,dc=local"
rootpw          {SSHA}Qur3dORI1yXtdOKHWc+zRD0hjxJeixru
directory       /var/db/openldap-data
loglevel        256
index   objectClass     eq
index   cn                  eq

[snorlov]

Добавил

Код: Выделить всё

getent passwd
getent group

Это добавлять никуда не надо, это команды на консоли, важен результат их вывода, должен быть список пользователей (passwd) и групп (group), которые есть в системе, включая системных и в самом лдапе...
Если судить по debug.log то все работает...

[snorlov]

Код: Выделить всё

Feb 13 20:05:00 dc slapd[2478]: <= bdb_equality_candidates: (uid) not indexed

Это не ошибка, просто индекс на это поле надо создать в конфиге лдапа...

[blex]

Команда getent passwd вывела:

Код: Выделить всё

root:$6$XjPUKYwSGn2rMGoL$eUTFK.Zm32PjGbl.j66YO2Xwo7/f.cO5jE0/j/GDENQuuT3JK8ervNX1qMqsC2rZqanhqBS1zEHpJlipxLpga0:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
hast:*:845:845:HAST unprivileged user:/var/empty:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
alex:$6$hLh4reZ1qQHpAMeD$W8yN7XFEFfSeIUiiaMvLO2D8n40omAO10pIVX.V3faMNWnv44St1jz4aRpzJe/860DjrKBFlxqZ7mJ8xpX44a/:1001:1001:User &:/home/alex:/bin/sh
ldap:*:389:389:OpenLDAP Server:/nonexistent:/usr/sbin/nologin
blex:*:5001:0:Blex:/home/blex:/usr/local/bin/bash

Команда getent group вывела:

Код: Выделить всё

wheel:*:0:root,alex
daemon:*:1
kmem:*:2
sys:*:3
tty:*:4
operator:*:5:root
mail:*:6
bin:*:7
news:*:8
man:*:9
games:*:13
ftp:*:14
staff:*:20
sshd:*:22
smmsp:*:25
mailnull:*:26
guest:*:31
bind:*:53
proxy:*:62
authpf:*:63
_pflogd:*:64
_dhcp:*:65
uucp:*:66
dialer:*:68
network:*:69
audit:*:77
www:*:80
hast:*:845
nogroup:*:65533
nobody:*:65534
alex:*:1001
ldap:*:389

[snorlov]

Ну вроде все... Попробуй добавить группу в лдап и через

Код: Выделить всё

getent group

ее увидеть...

[blex]

Добавил группу. через команду getent group отображается в списке
Но все равно появляется ошибка

Код: Выделить всё

nss_ldap: could not search ldap server - server is unavailable

[blex]

[snorlov]

В строку запуска лдапа добавить

Код: Выделить всё

ldaps://127.0.0.1

[blex]

Не помогло Все так же ошибка

[snorlov]

Ищите в конфигах, где-то идет поиск по адресу/протоколу, который не слушает запущенный лдап, это могут быть nss_ldap.conf, ldap.conf, smb.conf, конфиг от ldapscripts, конфиг jn smbldap-tools, последние 2-а если стоят.

[blex]

Стоит только nss_ldap.conf, ldap.conf и ldap.conf
Конфиги я вылаживал выше там вроде ничего такого нет

[snorlov]

Стоит только nss_ldap.conf, ldap.conf и ldap.conf
Конфиги я вылаживал выше там вроде ничего такого нет

Еще раз выложите /etc/rc.conf (все что к лдапу), /etc/nsswitch.conf, /usr/local/etc/nss_ldap.conf,/usr/local/etc/ldap.conf (если есть), /usr/local/etc/openldap/ldap.conf

[blex]

Код: Выделить всё

 # cat /etc/rc.conf
hostname="dc.nox.local"
keymap="ru.koi8-r.kbd"
ifconfig_em0=" inet 192.168.1.20 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
sshd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://127.0.0.1/"'
slapd_sockets="/var/run/openldap/ldapi"

Код: Выделить всё

# cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: release/9.1.0/etc/nsswitch.conf 224765 2011-08-10 20:52:02Z dougb $
#
group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: files ldap
passwd_compat: nis
shadow: files ldap
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

Код: Выделить всё

# cat /usr/local/etc/nss_ldap.conf:
host 127.0.0.1
base dc=nox,dc=local
ldap_version 3
port 389
scope one
timelimit 30
bind_timelimit 30
bind_policy soft
nss_connect_policy persist
idle_timelimit 3600
nss_paged_results yes
pagesize 1000
nss_base_passwd         ou=users,dc=nox,dc=local?one
nss_base_shadow         ou=users,dc=nox,dc=local?one
nss_base_group         ou=groups,dc=nox,dc=local?one
nss_base_passwd         ou=computers,dc=nox,dc=local?one

Код: Выделить всё

# cat /usr/local/etc/openldap/ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never

[snorlov]

Вроде все читсо, хотя у меня /usr/local/etc/openldap.conf имеет такое же содержимое как и /usr/local/etc/nss_ldap.conf с добавлением

Код: Выделить всё

uri ldapi://%2fvar%2frun%2fopenldap%2fldapi

[blex]

Попробовал но тоже не помогло не пойму в чем дело