nss_ldap: could not search LDAP server!!!

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
plazmagod
рядовой
Сообщения: 30
Зарегистрирован: 2007-04-04 14:15:01

nss_ldap: could not search LDAP server!!!

Непрочитанное сообщение plazmagod » 2007-05-10 14:32:35

В логах крона пишет
cron[10352]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Invalid credentials
cron[10352]: nss_ldap: failed to bind to LDAP server ldapi://%2fvar%2frun%2fopenldap%2fldapi/: Invalid credentials
cron[10352]: nss_ldap: could not search LDAP server - Server is unavailable

rc.conf
slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/ ldaps://0.0.0.0/"'
ldap.conf
host 127.0.0.1
base dc=my-domain,dc=com
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
rootbinddn cn=Manager,dc=my-domain,dc=com
scope sub
nss_base_passwd ou=Users,dc=my-domain,dc=com?one
nss_base_passwd ou=Computers,dc=my-domain,dc=com?one
nss_base_group ou=Groups,dc=my-domain,dc=com?one
ssl no
pam_password CRYPT
bind_timelimit 10
bind_policy soft
slapd.conf
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
include /usr/local/etc/openldap/schema/samba.schema

pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args

modulepath /usr/local/libexec/openldap
moduleload back_bdb
moduleload back_ldap

access to attrs=userPassword,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange
by dn="cn=Manager,dc=my-domain,dc=com" write
by self write
by anonymous auth
by * none

#some attributes need to be readable anonymously so that 'id user' can answer correctly
access to attrs=objectClass,entry,homeDirectory,uid,uidNumber,gidNumber,memberUid
by dn="cn=Manager,dc=my-domain,dc=com" write
by * read
#somme attributes can be writable by users themselves
access to attrs=description,telephoneNumber,roomNumber,homePhone,loginShell,gecos,cn,sn,givenname
by dn="cn=Manager,dc=my-domain,dc=com" write
by self write
by * read
#some attributes need to be writable for samba
access to attrs=cn,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaLogonTime,sambaLogoffTime,sambaKickoffTime,sambaPwdCanChange,sambaPwdMustChange, sambaAcctFlags,displayName,sambaHomePath,sambaHomeDrive,sambaLogonScript, sambaProfilePath,description,sambaUserWorkstations,sambaPrimaryGroupSID, sambaDomainName,sambaMungedDial,sambaBadPasswordCount,sambaBadPasswordTime,
sambaPasswordHistory,sambaLogonHours,sambaSID,sambaSIDList,sambaTrustFlags,
sambaGroupType,sambaNextRid,sambaNextGroupRid,sambaNextUserRid,sambaAlgorithmicRidBase,
sambaShareName,sambaOptionName,sambaBoolOption,sambaIntegerOption,sambaStringOption,sambaStringListoption
by dn="cn=Manager,dc=my-domain,dc=com" write
by self read
by * none
#samba need to be able to create the samba domain account
access to dn.base="dc=my-domain,dc=com"
by dn="cn=Manager,dc=my-domain,dc=com" write
by * none
#samba need to be able to create new users accounts
access to dn="ou=Users,dc=my-domain,dc=com"
by dn="cn=Manager,dc=my-domain,dc=com" write
by * none
#samba need to be able to create new groups accounts
access to dn="ou=Groups,dc=my-domain,dc=com"
by dn="cn=Manager,dc=my-domain,dc=com" write
by * none
#samba need to be able to create new computers accounts
access to dn="ou=Computers,dc=my-domain,dc=com"
by dn="cn=Manager,dc=my-domain,dc=com" write
by * none
#this can be omitted but we let it stay because there could be other
branches in the directory
access to *
by self read
By * none

#######################################################################
# BDB database definitions
#######################################################################

database bdb
suffix "dc=my-domain,dc=com"
rootdn "cn=Manager,dc=my-domain,dc=com"
rootpw {SSHA}******************
directory /var/db/openldap-data
loglevel 256
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
Подскажите как на путь истинный nss_ldap направить..

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

s.romanov
мл. сержант
Сообщения: 72
Зарегистрирован: 2006-12-12 14:13:23
Откуда: Тольятти

Непрочитанное сообщение s.romanov » 2007-05-14 7:17:08

тут по шагам всё описано
http://argo-uln.blogspot.com/2006/08/sa ... sd-61.html

это есть?!
............
#ln -s /usr/local/etc/ldap.conf /usr/local/etc/openldap/ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/openldap/ldap.secret
#ln -s /usr/local/etc/ldap.conf /usr/local/etc/nss_ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/nss_ldap.secret

plazmagod
рядовой
Сообщения: 30
Зарегистрирован: 2007-04-04 14:15:01

Непрочитанное сообщение plazmagod » 2007-05-14 8:40:28

Решил..
Пароль в ldap.secret был в SSHA.. переделал в плейн и заработало..

Shogo
проходил мимо

Непрочитанное сообщение Shogo » 2007-06-06 15:51:16

народ, помогите разобраться, пожалуйста, а то я совсем уже запутался :?
такая же проблема что и в сабже
"nss_ldap: could not search LDAP server - Server is unavailable"

система FreeBSD 6.2
ставил из портов:
openldap-client-2.3.34
openldap-server-2.3.34_1
nss_ldap-1.255
pam_ldap-1.8.2

/usr/local/etc/openldap/slapd.conf

Код: Выделить всё

include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema

pidfile /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

modulepath      /usr/local/libexec/openldap
moduleload      back_ldbm

access to attrs=userPassword
by self write
by anonymous auth
by * none

access to *
by self write
by anonymous read
by * none

database        ldbm
suffix          "dc=stroypress,dc=ru"
rootdn          "cn=admin,dc=stroypress,dc=ru"
rootpw secret
directory       /var/db/openldap-data
loglevel        256

index objectClass,uid,uidNumber,gidNumber eq
index   cn eq
/usr/local/etc/nss_ldap.conf

Код: Выделить всё

host localhost
base dc=stroypress,dc=ru
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
binddn cn=admin,dc=stroypress,dc=ru
bindpw password
ldap_version 3
port 389
scope sub
timelimit 30
bind_timelimit 30
bind_policy hard
idle_timelimit 3600
pam_filter objectclass=posixAccount
pam_login_attribute uid
#pam_member_attribute memberUid
pam_password crypt
nss_base_passwd ou=users,dc=stroypress,dc=ru?one
nss_base_group ou=groups,dc=stroypress,dc=ru?one
ssl no
debug testing
logdir /var/log/ldap
debug 9
/etc/nsswitch.conf

Код: Выделить всё

group: files ldap
hosts: files dns
networks: files
passwd: files ldap
shells: files
/usr/local/etc/ldap.conf

Код: Выделить всё

host 127.0.0.1
base dc=stroypress,dc=ru
ldap_version 3
rootbinddn cn=admin,dc=stroypress,dc=ru
port 389
scope sub
bind_timelimit 30
bind_policy soft
idle_timelimit 3600
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberUid
pam_min_uid 1000
pam_max_uid 65530
pam_password CRYPT
nss_base_passwd ou=users,dc=stroypress,dc=ru?one
nss_base_shadow ou=users,dc=stroypress,dc=ru?one
nss_base_group ou=groups,dc=stroypress,dc=ru?one

plazmagod
рядовой
Сообщения: 30
Зарегистрирован: 2007-04-04 14:15:01

Непрочитанное сообщение plazmagod » 2007-06-07 6:23:29

slapd как запускаешь?

s.romanov
мл. сержант
Сообщения: 72
Зарегистрирован: 2006-12-12 14:13:23
Откуда: Тольятти

Непрочитанное сообщение s.romanov » 2007-06-07 8:49:02

лучше сделлай линки см. выше
.....................
#ln -s /usr/local/etc/ldap.conf /usr/local/etc/nss_ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/nss_ldap.secret

и определись уже как у тебя slapd стартует
если хочешь и так и так, то:

slapd_enable="YES"
slapd_flags='-u ldap -g ldap -h "ldap://127.0.0.1/ ldaps://ip/"'
slapd_sockets="/var/run/openldap/ldapi"
slapd_sockets_mode="777"

shogo
проходил мимо
Сообщения: 8
Зарегистрирован: 2007-06-08 13:10:08
Контактная информация:

Непрочитанное сообщение shogo » 2007-06-08 13:24:31

s.romanov писал(а):лучше сделлай линки см. выше
.....................
#ln -s /usr/local/etc/ldap.conf /usr/local/etc/nss_ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/nss_ldap.secret

и определись уже как у тебя slapd стартует
если хочешь и так и так, то:

slapd_enable="YES"
slapd_flags='-u ldap -g ldap -h "ldap://127.0.0.1/ ldaps://ip/"'
slapd_sockets="/var/run/openldap/ldapi"
slapd_sockets_mode="777"
сим линки сделал, в rc.conf прописано slapd_enable="YES"
А что за флаги и для чего они? пологаю запускать от пользователя лдап, группы лдап и -h - хост? только почему потом две записи? ldap://127.0.0.1/ ldaps://ip/
но что такое
slapd_sockets="/var/run/openldap/ldapi"
slapd_sockets_mode="777"

подскажите пожалуйста :)

еще пара таких вопросов:
Нужна ли строка nss_base_shadow ou=accounts,dc=stroypress,dc=ru?one, если у меня FreeBSD, а не Linux? И вообще нужны ли упоминания о shadow в других конфигах?
Что означает ?one в конце строки?

еще в ldap.conf есть строка nss_base_group ou=groups,dc=stroypress,dc=ru?one
т.е. по сути мне надо создать еще один контейнер ou=groups и добавить в него что то?

ps: главная сабжевая проблема все еще не решена :?

s.romanov
мл. сержант
Сообщения: 72
Зарегистрирован: 2006-12-12 14:13:23
Откуда: Тольятти

Непрочитанное сообщение s.romanov » 2007-06-09 7:38:14

-u запуск от пользователя
-g от группы
-h на каких хостах

почему потом две записи?

а если внимательнее посмотреть
ldap://
ldaps://

советую в сети использовать ldaps

это slapd_sockets="/var/run/openldap/ldapi" путь где у тебя будет лежать сокет, если ты его будешь использовать
slapd_sockets_mode="777" - уровень доступа к ниму

И вообще нужны ли упоминания о shadow в других конфигах?
всё зависит от того чего ты хочешь достичь, в принципе можно и ветку с группами не использовать

Что означает ?one в конце строки?
единственный выбор, sub множественый выбор, если не ошибаюсь

лавная сабжевая проблема все еще не решена

покажи
sockstat|grep ldap

ls -al /usr/local/etc/*ldap.conf

и ещё раз /usr/local/etc/ldap.conf

shogo
проходил мимо
Сообщения: 8
Зарегистрирован: 2007-06-08 13:10:08
Контактная информация:

Непрочитанное сообщение shogo » 2007-06-13 10:34:17

вся проблема была в конфиге ldap'а, я не сделал отступов, когда писал права доступа.

Код: Выделить всё

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none

access to *
        by self write
        by anonymous read
        by * none