Страница 1 из 2
FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 11:44:15
blex
Код: Выделить всё
Здравствуйте! У меня проблема nss_ldap не пойму в чем проблема, когда в /etc/nsswitch.conf изменяю на group: files ldap то после рестарта slapd появляется ошибка nss_ldap: could not search ldap server - server is unavailable.
Код: Выделить всё
Если указать:
group: files
passwd: files ldap
shadow: files ldap
то нормально система видит пользователей из ldap, а когда изменяю на group: files ldap появляется опять ошибка.
Код: Выделить всё
/usr/local/etc/nss_ldap.conf:
host 127.0.0.1
base dc=nox,dc=local
ldap_version 3
port 389
scope one
timelimit 30
bind_timelimit 30
bind_policy soft
nss_connect_policy persist
idle_timelimit 3600
pagesize 1000
nss_base_passwd ou=users,dc=nox,dc=local?one
nss_base_shadow ou=users,dc=nox,dc=local?one
nss_base_group ou=groups,dc=nox,dc=local?one
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 13:00:21
Electronik
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 14:03:11
blex
Да существует
Код: Выделить всё
# ldapsearch -LLL -x -b 'dc=nox,dc=local' '*'
dn: dc=nox,dc=local
objectClass: dcObject
objectClass: organization
objectClass: top
dc: nox
o: nox
dn: ou=users,dc=nox,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users
dn: cn=blex,ou=users,dc=nox,dc=local
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
cn: blex
sn: blex
uid: blex
uidNumber: 5001
gidNumber: 0
gecos: Blex
homeDirectory: /home/blex
loginShell: /usr/local/bin/bash
dn: ou=groups,dc=nox,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups
dn: ou=computers,dc=nox,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers
В чем проблема не могу понять
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 16:32:25
Electronik
потому что группы постоянно обновляются.
в
rc.conf
Код: Выделить всё
slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/ ldap://127.0.0.1/"'
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 16:36:33
snorlov
blex писал(а):Код: Выделить всё
Здравствуйте! У меня проблема nss_ldap не пойму в чем проблема, когда в /etc/nsswitch.conf изменяю на group: files ldap то после рестарта slapd появляется ошибка nss_ldap: could not search ldap server - server is unavailable.
Код: Выделить всё
Если указать:
group: files
passwd: files ldap
shadow: files ldap
то нормально система видит пользователей из ldap, а когда изменяю на group: files ldap появляется опять ошибка.
[/quote]
Если это один раз при старте/restart'е сервера или самого лдапа, то забейте, если же постоянно идет на консоль то тут имеет смысл разбираться...
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 17:45:21
blex
В rc.conf:
Код: Выделить всё
slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/"'
slapd_sockets="/var/run/openldap/ldapi"
При старте а потом и на консоль постоянно с некоторым промежутком времени
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 18:27:45
snorlov
blex писал(а):
При старте а потом и на консоль постоянно с некоторым промежутком времени
Пропишите ip прямо
Код: Выделить всё
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://127.0.0.1/"'
Можно еще вместо файла /usr/local/etc/nss_ldap.conf сделать ссылку его на /usr/local/etc/openldap/ldap.conf, кроме этого у вас не указан пользователь от имени которого шарится в лдапе nss_switch...
Можно еще в лдапе включить уровень логирования и тогда, кажется в /var/log/debug.log будет сыпаться информация, кто что запрашивал...
И еще ldapsearch ишет в лдапе, а вам нужен поиск через nss_ldap, это немного другое, другими словами, один юзает одну конфигурацию /usr/local/etc/openldap/ldap.conf, а другой другую /usr/local/etc/nss_ldap.conf, а что кажет
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 19:08:49
blex
Код: Выделить всё
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://127.0.0.1/"'
это не помогло
Сделал ссылку на
тоже не помогло
Добавил
посыпалось
Код: Выделить всё
Feb 13 20:00:46 dc slapd: NSSWITCH(nslexer): /etc/nsswitch.conf line 17: syntax error at 'passwd'
Feb 13 20:00:46 dc slapd: NSSWITCH(nslexer): /etc/nsswitch.conf line 18: syntax error at 'group'
Код: Выделить всё
/var/log/slapd.log
[2453]: slapd stopped.
[2477]: @(#) $OpenLDAP: slapd 2.4.33 (Feb 12 2013 15:09:35) $ root@dc.nox.local
[2477]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact
[2477]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact
[2477]: nss_ldap: could not search LDAP server - Server is unavailable
[2477]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact
[2477]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact
[2477]: nss_ldap: could not search LDAP server - Server is unavailable
[2478]: slapd starting
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 19:11:02
blex
Код: Выделить всё
/var/log/slapd.log:
Feb 13 20:02:54 dc slapd[2478]: slapd starting
Feb 13 20:05:00 dc slapd[2478]: conn=1000 fd=9 ACCEPT from IP=127.0.0.1:65283 (I
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=0 BIND dn="" method=128
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=0 RESULT tag=97 err=0 text=
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=1 SRCH base="ou=users,dc=nox,dc=local scope=1 deref=0 filter="(&(objectClass=posixAccount) (uid=root))"
Feb 13 20:05:00 dc slapd[2478]: <= bdb_equality_candidates: (uid) not indexed
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=2 SRCH base="ou=groups,dc=nox,dc=local" scope=1 scope=1 deref=0 filter="(&(objectClass=posixGroup)(memberUid=root))"
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=2 SRCH attr=gidNumber
Feb 13 20:05:00 dc slapd[2478]: conn=1000 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Feb 13 20:05:00 dc slapd[2478]: conn=1000 fd=9 closed (connection lost)
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 20:08:45
blex
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 20:12:47
blex
/usr/local/etc/openldap/slapd.conf:
Код: Выделить всё
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
modulepath /usr/local/libexec/openldap
moduleload back_bdb
access to attrs=userPassword
by self write
by anonymous auth
by * none
access to *
by self write
by anonymous read
by * none
#######################################################################
# BDB database definitions
#######################################################################
database bdb
suffix "dc=nox,dc=local"
rootdn "cn=root,dc=nox,dc=local"
rootpw {SSHA}Qur3dORI1yXtdOKHWc+zRD0hjxJeixru
directory /var/db/openldap-data
loglevel 256
index objectClass eq
index cn eq
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 20:57:35
snorlov
Это добавлять никуда не надо, это команды на консоли, важен результат их вывода, должен быть список пользователей (passwd) и групп (group), которые есть в системе, включая системных и в самом лдапе...
Если судить по debug.log то все работает...
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 21:00:10
snorlov
Код: Выделить всё
Feb 13 20:05:00 dc slapd[2478]: <= bdb_equality_candidates: (uid) not indexed
Это не ошибка, просто индекс на это поле надо создать в конфиге лдапа...
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 21:02:36
blex
Команда getent passwd вывела:
Код: Выделить всё
root:$6$XjPUKYwSGn2rMGoL$eUTFK.Zm32PjGbl.j66YO2Xwo7/f.cO5jE0/j/GDENQuuT3JK8ervNX1qMqsC2rZqanhqBS1zEHpJlipxLpga0:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
hast:*:845:845:HAST unprivileged user:/var/empty:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
alex:$6$hLh4reZ1qQHpAMeD$W8yN7XFEFfSeIUiiaMvLO2D8n40omAO10pIVX.V3faMNWnv44St1jz4aRpzJe/860DjrKBFlxqZ7mJ8xpX44a/:1001:1001:User &:/home/alex:/bin/sh
ldap:*:389:389:OpenLDAP Server:/nonexistent:/usr/sbin/nologin
blex:*:5001:0:Blex:/home/blex:/usr/local/bin/bash
Команда getent group вывела:
Код: Выделить всё
wheel:*:0:root,alex
daemon:*:1
kmem:*:2
sys:*:3
tty:*:4
operator:*:5:root
mail:*:6
bin:*:7
news:*:8
man:*:9
games:*:13
ftp:*:14
staff:*:20
sshd:*:22
smmsp:*:25
mailnull:*:26
guest:*:31
bind:*:53
proxy:*:62
authpf:*:63
_pflogd:*:64
_dhcp:*:65
uucp:*:66
dialer:*:68
network:*:69
audit:*:77
www:*:80
hast:*:845
nogroup:*:65533
nobody:*:65534
alex:*:1001
ldap:*:389
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 22:58:29
snorlov
Ну вроде все... Попробуй добавить группу в лдап и через
ее увидеть...
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 23:49:03
blex
Добавил группу. через команду getent group отображается в списке
Но все равно появляется ошибка
Код: Выделить всё
nss_ldap: could not search ldap server - server is unavailable
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-13 23:49:55
blex
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-14 10:59:29
snorlov
В строку запуска лдапа добавить
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-14 11:18:28
blex
Не помогло
Все так же ошибка
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-14 11:36:49
snorlov
Ищите в конфигах, где-то идет поиск по адресу/протоколу, который не слушает запущенный лдап, это могут быть nss_ldap.conf, ldap.conf, smb.conf, конфиг от ldapscripts, конфиг jn smbldap-tools, последние 2-а если стоят.
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-14 12:18:28
blex
Стоит только nss_ldap.conf, ldap.conf и ldap.conf
Конфиги я вылаживал выше там вроде ничего такого нет
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-14 13:04:47
snorlov
blex писал(а):Стоит только nss_ldap.conf, ldap.conf и ldap.conf
Конфиги я вылаживал выше там вроде ничего такого нет
Еще раз выложите /etc/rc.conf (все что к лдапу), /etc/nsswitch.conf, /usr/local/etc/nss_ldap.conf,/usr/local/etc/ldap.conf (если есть), /usr/local/etc/openldap/ldap.conf
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-14 13:34:38
blex
Код: Выделить всё
# cat /etc/rc.conf
hostname="dc.nox.local"
keymap="ru.koi8-r.kbd"
ifconfig_em0=" inet 192.168.1.20 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
sshd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://127.0.0.1/"'
slapd_sockets="/var/run/openldap/ldapi"
Код: Выделить всё
# cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: release/9.1.0/etc/nsswitch.conf 224765 2011-08-10 20:52:02Z dougb $
#
group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: files ldap
passwd_compat: nis
shadow: files ldap
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
Код: Выделить всё
# cat /usr/local/etc/nss_ldap.conf:
host 127.0.0.1
base dc=nox,dc=local
ldap_version 3
port 389
scope one
timelimit 30
bind_timelimit 30
bind_policy soft
nss_connect_policy persist
idle_timelimit 3600
nss_paged_results yes
pagesize 1000
nss_base_passwd ou=users,dc=nox,dc=local?one
nss_base_shadow ou=users,dc=nox,dc=local?one
nss_base_group ou=groups,dc=nox,dc=local?one
nss_base_passwd ou=computers,dc=nox,dc=local?one
Код: Выделить всё
# cat /usr/local/etc/openldap/ldap.conf
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-14 15:31:43
snorlov
Вроде все читсо, хотя у меня /usr/local/etc/openldap.conf имеет такое же содержимое как и /usr/local/etc/nss_ldap.conf с добавлением
Код: Выделить всё
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi
Re: FreBSD в роли PDC с LDAP проблема nss_ldap
Добавлено: 2013-02-14 15:57:27
blex
Попробовал но тоже не помогло
не пойму в чем дело