ldap

[f0s]

лдап не стартует.

установил из портов openldap-server 2.3.35

Код: Выделить всё

/usr/local/etc/openldap/slapd.conf:


include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/person.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema


pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

modulepath      /usr/local/libexec/openldap

moduleload      back_ldbm

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none

access to *
        by self write
        by anonymous read
        by * none

database        ldbm

# Корень базы
suffix          "dc=artpaint,dc=spb,dc=ru"

# dn администратора ldap
rootdn          "cn=root,dc=artpaint,dc=spb,dc=ru"

rootpw          {SSHA}KjFZSWPFXXrL4pLyQRsUleVA1J75WESF

directory       /var/db/openldap-data

# Индексы, для ускорения поиска по базе
index   objectClass     eq
index   cn              eq

Код: Выделить всё

[f0s@mail] /usr/local/etc/rc.d/> echo slapd_enable=\"YES\" >> /etc/rc.conf
[f0s@mail] /usr/local/etc/rc.d/> echo slapd_flags=\'-h \"ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://192.168.10.8/ ldap://127.0.0.1/\"\' >> /etc/rc.conf
[f0s@mail] /usr/local/etc/rc.d/> mv /usr/local/etc/rc.d/slapd /usr/local/etc/rc.d/slapd.sh
[f0s@mail] /usr/local/etc/rc.d/> /usr/local/etc/rc.d/slapd.sh start
Starting slapd.
[f0s@mail] /usr/local/etc/rc.d/> ps ax | grep slap
[f0s@mail] /usr/local/etc/rc.d/> ./slapd restart
slapd not running? (check /var/run/openldap/slapd.pid).
Starting slapd.
[f0s@mail] /usr/local/etc/rc.d/>

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[spmn]

У меня ругалось на некоторые схемы ... и еще пришлось прописать в rc.conf сокет (как в файле sldap.sh описанно)

[f0s]

действительно, схемы. спасибо

[f0s]

пытаюсь добавить группу, пишу:

Код: Выделить всё

# ldapaddgroup admins
Error adding group admins to LDAP

хехе.. а точнее ругается в логах что пароль неверный (если я правильно понимаю).

Код: Выделить всё

ldap_bind: Invalid credentials (49)

пароль я задал таким образом:

Код: Выделить всё

/usr/local/etc/ldapscripts/ldapscripts.conf:


# Конфигурация соединения с ldap сервером.
SERVER="localhost"
BINDDN="cn=root,dc=artpaint,dc=spb,dc=ru"
BINDPWD="{SSHA}KjFZSWPFXXrL4pLyQRsUleVA1J75WESF"

или там обязатеьно надо задавать пароль в нешфрированном виде?

делаю по статье - http://www.lissyara.su/?id=1329

[f0s]

[f0s@mail] /home/f0s/> /usr/local/etc/rc.d/slapd restart
Stopping slapd.
Waiting for PIDS: 3682.
Starting slapd.
Jun 13 16:19:23 mail slapd[3720]: nss_ldap: could not search LDAP server - Server is unavailable
[f0s@mail] /home/f0s/>

Код: Выделить всё

# Корневой каталог LDAP сервера
base dc=artpaint,dc=spb,dc=ru

# Если не удалось подключиться к LDAP,
# То не пытаться переподключиться
bind_policy soft

# Timeout подключения к LDAP серверу
bind_timelimit 10

# ip-адрес или hostname LDAP сервера
host localhost

# nss_ldap закроет подключение, если сервер
# не ответит в указонное в idle_timelimit время
idle_timelimit 3600

# Версия протокола
ldap_version 3

# Описание каталогов, где хранятся группы, пользователи, пароли соответственно
nss_base_group  ou=groups,dc=artpaint,dc=spb,dc=ru?one
nss_base_passwd ou=users,dc=artpaint,dc=spb,dc=ru?one
# Следущая строку нужна для samb'ы, так как аккаунты
# компьютеров должны быть видны системе
nss_base_passwd ou=computers,dc=artpaint,dc=spb,dc=ru?one
nss_base_shadow ou=users,dc=artpaint,dc=spb,dc=ru?one

# persist -- не отключаться от LDAP сервера
# oneshot -- отключаться после каждого запроса
nss_connect_policy persist

# Использовать страничный вывод
nss_paged_results yes

# Размер страницы
pagesize 1000

# Порт, на котором работает LDAP
port 389

# Область поиска
scope one

# Время ожидпния при поиске
timelimit 30

не понимаю, почему не видит....

[s.romanov]

посмотри
sockstat|grep ldap

если всё пучком идём дальше
ldapsearch -x - D ну и т.д про -h не забывем

линки проверь
ldap.conf ldap.secret ns_ и т.д

а если и тут всё нормально тогда
в лдап засунь
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
uri ldaps://127.0.0.1/

что к сердцу ближе

[f0s]

Код: Выделить всё

login as: f0s
Using keyboard-interactive authentication.
Password:

[f0s@mail] /home/f0s/> su
Password:
[f0s@mail] /home/f0s/> sockstat | grep ldap
ldap     slapd      413   3  dgram  -> /var/run/logpriv
ldap     slapd      413   6  stream /var/run/openldap/ldapi
ldap     slapd      413   7  tcp4   192.168.10.8:389      *:*
ldap     slapd      413   8  tcp4   127.0.0.1:389         *:*
[f0s@mail] /home/f0s/> ldapsearch -LLL -x -b 'dc=artpaint,dc=spb,dc=ru' '*'
dn: dc=artpaint,dc=spb,dc=ru
objectClass: dcObject
objectClass: organization
objectClass: top
dc: artpaint
o: artpaint

dn: ou=users,dc=artpaint,dc=spb,dc=ru
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=artpaint,dc=spb,dc=ru
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=computers,dc=artpaint,dc=spb,dc=ru
objectClass: top
objectClass: organizationalUnit
ou: computers

[f0s@mail] /home/f0s/>

прописал в nss_ldap.conf

Код: Выделить всё

uri ldap://127.0.0.1/
uri ldaps://127.0.0.1/
uri ldapi://%2fvar%2frun%2f/ldapi_sock/

не помогло


вот логи крона:

Код: Выделить всё

Jun 13 16:50:00 mail cron[669]: nss_ldap: failed to bind to LDAP server ldap://localhost: Invalid credentials
Jun 13 16:50:00 mail cron[669]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Invalid credentials
Jun 13 16:50:00 mail cron[669]: nss_ldap: failed to bind to LDAP server ldaps://127.0.0.1/: Can't contact LDAP server
Jun 13 16:50:00 mail cron[669]: nss_ldap: failed to bind to LDAP server ldapi://%2fvar%2frun%2fldapi_sock/: Can't contact LDAP server
Jun 13 16:50:00 mail cron[669]: nss_ldap: could not search LDAP server - Server  is unavailable

[Za...]

Тут даже проблема не в конфиге nss_ldap, а втом что это хрень наченает стартовать раньше чем сам опенлдап, что и вызывает енту ошибку, я сам не смог понять, и хочу узнать. Пока я сделал просто, создал slapd.sh с новым содержанием

Код: Выделить всё

#! /bin/sh
# /usr/local/libexec/slapd

[f0s]

разобрался вроде с траблой. пкм смог лдобавить юзером и группы. и nss_lap ьольше не беспокоит

оказалось, что в файле /usr/local/etc/ldapscripts/ldapscripts.conf:

нужно задавать пароль plain текстом

# Конфигурация соединения с ldap сервером.
SERVER="127.0.0.1"
BINDDN="cn=root,dc=artpaint,dc=spb,dc=ru"
BINDPWD="password"

т.е. не прокатывает типа:

BINDPWD="{SSHA}KjFZSWPFXXrL4pLyQRsUleVA1J75WESF"

есть ли варианты?

[f0s]

теперь сообщение

Код: Выделить всё

Jun 13 16:50:00 mail cron[669]: nss_ldap: could not search LDAP server - Server  is unavailable

появляется тока при старте системы. после starting slapd... как лечить?

[Гость]

Тут даже проблема не в конфиге nss_ldap, а втом что это хрень наченает стартовать раньше чем сам опенлдап, что и вызывает енту ошибку, я сам не смог понять, и хочу узнать. Пока я сделал просто, создал slapd.sh с новым содержанием

посмотри на это bind_timelimit

т.е. не прокатывает типа:

BINDPWD="{SSHA}KjFZSWPFXXrL4pLyQRsUleVA1J75WESF"

есть ли варианты?

да былоб не плохо его там шифрованым хранить, но пока увы...

[FreedomHex]

Столкнулся с такой проблемой совсем недавно... ещё глянь в файле ldapscrips.conf параметр BINDPWDFILE должен быть закоментирован