Re: Problem mit nss_ldap und Timeouts bzw. fehlgeschlagene searches

From: <tequnix(at)frogmi.net>
Date: Thu, 24 Jul 2008 12:12:09 +0200



Am Wed, 23 Jul 2008 17:39:29 +0200


schrieb Rainer Duffner <rainer(at)ultra-secure.de>:



> Hi,


> 


> ich habe einen Server mit FreeBSD6.2 und nss_ldap


> nss_ldap-1.244      RFC 2307 NSS module


> openldap-client-2.3.11 Open source LDAP client implementation


> p5-perl-ldap-0.33   A Client interface to LDAP servers


> pam_ldap-1.8.0      A pam module for authenticating with LDAP


> 


> 


> Ich kriege jetzt seit letztens öfters diese Meldung:


> Jul 23 01:35:34 blaserver pure-ftpd: pam_ldap: ldap_search_s Server is 


> unavailable


> 


> Manchmal/Meistens scheitert dann auch die Userauflösung, d.h. die Leute 


> können sich nicht mehr per FTP einloggen und


> id <username>


> gibt zurück, das der User nicht existiert.



dieses Problem (id <username> ergibt dass User nicht existiert) hatte


ich auch schon mal. Grund war damals dass ein paar der Index Dateien


offenbar zerstört waren. Nach einem Aufruf von slapindex gings wieder ..


Könnte natürlich auch an binddn/rootbinddn in der nss_ldap.conf vs.


ACL's in slapd.conf liegen ...



Wenn das bei dir allerdings nur manchmal auftritt, dürft's eher was


anderes sein ... 


Eventuell mal überprüfen ob die Sockets existieren (je nach


konfiguriertem uri-schema in ldap.conf - ldap|ldaps|ldapi im output


von sockstat nachsehen ob's die auch wirlich gibt)



> Hat sowas jemand schonmal gehabt? Gibt's dafür einen Grund?


> Auf dem Server funktioniert der betreffende ldapsearch schon noch - es 


> findet auch noch Kommunikation zwischen Client und Server statt - aber 


> es kommt irgendwie nix dabei raus.



Würde das immer passieren, würden mir bei solchem Verhalten mal spontan


Berechtigungsprobleme einfallen, z.b. wenn ldapsearch mit anderem


binddn ausgeführt wird als jenem der von pam verwendet wird (also in der


ldap.conf konfiguriert ist), und letzterer möglicherweise nicht


ausreichend Berechtigungen hat, vllt. fehlende Leserechte auf einzelne


Attribute .. 



auf alle Fälle mal den loglevel vom slapd hochsetzen (255 oder so) und


Logfile gucken ..



lg,


¨reinhard



-- 
A man who cannot seduce men cannot save them either.
		-- Soren Kierkegaard
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 24 Jul 2008 - 12:12:15 CEST













search this site