nss_ldap: could not search LDAP server!!!

[plazmagod]

В логах крона пишет
cron[10352]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Invalid credentials
cron[10352]: nss_ldap: failed to bind to LDAP server ldapi://%2fvar%2frun%2fopenldap%2fldapi/: Invalid credentials
cron[10352]: nss_ldap: could not search LDAP server - Server is unavailable

rc.conf

slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/ ldaps://0.0.0.0/"'

ldap.conf

host 127.0.0.1
base dc=my-domain,dc=com
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
rootbinddn cn=Manager,dc=my-domain,dc=com
scope sub
nss_base_passwd ou=Users,dc=my-domain,dc=com?one
nss_base_passwd ou=Computers,dc=my-domain,dc=com?one
nss_base_group ou=Groups,dc=my-domain,dc=com?one
ssl no
pam_password CRYPT
bind_timelimit 10
bind_policy soft

slapd.conf

include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
include /usr/local/etc/openldap/schema/samba.schema

pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args

modulepath /usr/local/libexec/openldap
moduleload back_bdb
moduleload back_ldap

access to attrs=userPassword,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange
by dn="cn=Manager,dc=my-domain,dc=com" write
by self write
by anonymous auth
by * none

#some attributes need to be readable anonymously so that 'id user' can answer correctly
access to attrs=objectClass,entry,homeDirectory,uid,uidNumber,gidNumber,memberUid
by dn="cn=Manager,dc=my-domain,dc=com" write
by * read
#somme attributes can be writable by users themselves
access to attrs=description,telephoneNumber,roomNumber,homePhone,loginShell,gecos,cn,sn,givenname
by dn="cn=Manager,dc=my-domain,dc=com" write
by self write
by * read
#some attributes need to be writable for samba
access to attrs=cn,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaLogonTime,sambaLogoffTime,sambaKickoffTime,sambaPwdCanChange,sambaPwdMustChange, sambaAcctFlags,displayName,sambaHomePath,sambaHomeDrive,sambaLogonScript, sambaProfilePath,description,sambaUserWorkstations,sambaPrimaryGroupSID, sambaDomainName,sambaMungedDial,sambaBadPasswordCount,sambaBadPasswordTime,
sambaPasswordHistory,sambaLogonHours,sambaSID,sambaSIDList,sambaTrustFlags,
sambaGroupType,sambaNextRid,sambaNextGroupRid,sambaNextUserRid,sambaAlgorithmicRidBase,
sambaShareName,sambaOptionName,sambaBoolOption,sambaIntegerOption,sambaStringOption,sambaStringListoption
by dn="cn=Manager,dc=my-domain,dc=com" write
by self read
by * none
#samba need to be able to create the samba domain account
access to dn.base="dc=my-domain,dc=com"
by dn="cn=Manager,dc=my-domain,dc=com" write
by * none
#samba need to be able to create new users accounts
access to dn="ou=Users,dc=my-domain,dc=com"
by dn="cn=Manager,dc=my-domain,dc=com" write
by * none
#samba need to be able to create new groups accounts
access to dn="ou=Groups,dc=my-domain,dc=com"
by dn="cn=Manager,dc=my-domain,dc=com" write
by * none
#samba need to be able to create new computers accounts
access to dn="ou=Computers,dc=my-domain,dc=com"
by dn="cn=Manager,dc=my-domain,dc=com" write
by * none
#this can be omitted but we let it stay because there could be other
branches in the directory
access to *
by self read
By * none

#######################################################################
# BDB database definitions
#######################################################################

database bdb
suffix "dc=my-domain,dc=com"
rootdn "cn=Manager,dc=my-domain,dc=com"
rootpw {SSHA}******************
directory /var/db/openldap-data
loglevel 256
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq

Подскажите как на путь истинный nss_ldap направить..

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[s.romanov]

тут по шагам всё описано
http://argo-uln.blogspot.com/2006/08/sa ... sd-61.html

это есть?!
............
#ln -s /usr/local/etc/ldap.conf /usr/local/etc/openldap/ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/openldap/ldap.secret
#ln -s /usr/local/etc/ldap.conf /usr/local/etc/nss_ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/nss_ldap.secret

[plazmagod]

Решил..
Пароль в ldap.secret был в SSHA.. переделал в плейн и заработало..

[Shogo]

народ, помогите разобраться, пожалуйста, а то я совсем уже запутался
такая же проблема что и в сабже
"nss_ldap: could not search LDAP server - Server is unavailable"

система FreeBSD 6.2
ставил из портов:
openldap-client-2.3.34
openldap-server-2.3.34_1
nss_ldap-1.255
pam_ldap-1.8.2

/usr/local/etc/openldap/slapd.conf

Код: Выделить всё

include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema

pidfile /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

modulepath      /usr/local/libexec/openldap
moduleload      back_ldbm

access to attrs=userPassword
by self write
by anonymous auth
by * none

access to *
by self write
by anonymous read
by * none

database        ldbm
suffix          "dc=stroypress,dc=ru"
rootdn          "cn=admin,dc=stroypress,dc=ru"
rootpw secret
directory       /var/db/openldap-data
loglevel        256

index objectClass,uid,uidNumber,gidNumber eq
index   cn eq

/usr/local/etc/nss_ldap.conf

Код: Выделить всё

host localhost
base dc=stroypress,dc=ru
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
binddn cn=admin,dc=stroypress,dc=ru
bindpw password
ldap_version 3
port 389
scope sub
timelimit 30
bind_timelimit 30
bind_policy hard
idle_timelimit 3600
pam_filter objectclass=posixAccount
pam_login_attribute uid
#pam_member_attribute memberUid
pam_password crypt
nss_base_passwd ou=users,dc=stroypress,dc=ru?one
nss_base_group ou=groups,dc=stroypress,dc=ru?one
ssl no
debug testing
logdir /var/log/ldap
debug 9

/etc/nsswitch.conf

Код: Выделить всё

group: files ldap
hosts: files dns
networks: files
passwd: files ldap
shells: files

/usr/local/etc/ldap.conf

Код: Выделить всё

host 127.0.0.1
base dc=stroypress,dc=ru
ldap_version 3
rootbinddn cn=admin,dc=stroypress,dc=ru
port 389
scope sub
bind_timelimit 30
bind_policy soft
idle_timelimit 3600
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberUid
pam_min_uid 1000
pam_max_uid 65530
pam_password CRYPT
nss_base_passwd ou=users,dc=stroypress,dc=ru?one
nss_base_shadow ou=users,dc=stroypress,dc=ru?one
nss_base_group ou=groups,dc=stroypress,dc=ru?one

[plazmagod]

slapd как запускаешь?

[s.romanov]

лучше сделлай линки см. выше
.....................
#ln -s /usr/local/etc/ldap.conf /usr/local/etc/nss_ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/nss_ldap.secret

и определись уже как у тебя slapd стартует
если хочешь и так и так, то:

slapd_enable="YES"
slapd_flags='-u ldap -g ldap -h "ldap://127.0.0.1/ ldaps://ip/"'
slapd_sockets="/var/run/openldap/ldapi"
slapd_sockets_mode="777"

[shogo]

лучше сделлай линки см. выше
.....................
#ln -s /usr/local/etc/ldap.conf /usr/local/etc/nss_ldap.conf
#ln -s /usr/local/etc/ldap.secret /usr/local/etc/nss_ldap.secret

и определись уже как у тебя slapd стартует
если хочешь и так и так, то:

slapd_enable="YES"
slapd_flags='-u ldap -g ldap -h "ldap://127.0.0.1/ ldaps://ip/"'
slapd_sockets="/var/run/openldap/ldapi"
slapd_sockets_mode="777"

сим линки сделал, в rc.conf прописано slapd_enable="YES"
А что за флаги и для чего они? пологаю запускать от пользователя лдап, группы лдап и -h - хост? только почему потом две записи? ldap://127.0.0.1/ ldaps://ip/
но что такое
slapd_sockets="/var/run/openldap/ldapi"
slapd_sockets_mode="777"
подскажите пожалуйста

еще пара таких вопросов:
Нужна ли строка nss_base_shadow ou=accounts,dc=stroypress,dc=ru?one, если у меня FreeBSD, а не Linux? И вообще нужны ли упоминания о shadow в других конфигах?
Что означает ?one в конце строки?

еще в ldap.conf есть строка nss_base_group ou=groups,dc=stroypress,dc=ru?one
т.е. по сути мне надо создать еще один контейнер ou=groups и добавить в него что то?

ps: главная сабжевая проблема все еще не решена

[s.romanov]

-u запуск от пользователя
-g от группы
-h на каких хостах

почему потом две записи?

а если внимательнее посмотреть
ldap://
ldaps://

советую в сети использовать ldaps

это slapd_sockets="/var/run/openldap/ldapi" путь где у тебя будет лежать сокет, если ты его будешь использовать
slapd_sockets_mode="777" - уровень доступа к ниму

И вообще нужны ли упоминания о shadow в других конфигах?
всё зависит от того чего ты хочешь достичь, в принципе можно и ветку с группами не использовать

Что означает ?one в конце строки?
единственный выбор, sub множественый выбор, если не ошибаюсь

лавная сабжевая проблема все еще не решена

покажи
sockstat|grep ldap

ls -al /usr/local/etc/*ldap.conf

и ещё раз /usr/local/etc/ldap.conf

[shogo]

вся проблема была в конфиге ldap'а, я не сделал отступов, когда писал права доступа.

Код: Выделить всё

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none

access to *
        by self write
        by anonymous read
        by * none