© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
tequnix(at)frogmi.net schrieb:
> Am Wed, 23 Jul 2008 17:39:29 +0200
> schrieb Rainer Duffner <rainer(at)ultra-secure.de>:
>
>
>> Hi,
>>
>> ich habe einen Server mit FreeBSD6.2 und nss_ldap
>> nss_ldap-1.244 RFC 2307 NSS module
>> openldap-client-2.3.11 Open source LDAP client implementation
>> p5-perl-ldap-0.33 A Client interface to LDAP servers
>> pam_ldap-1.8.0 A pam module for authenticating with LDAP
>>
>>
>> Ich kriege jetzt seit letztens öfters diese Meldung:
>> Jul 23 01:35:34 blaserver pure-ftpd: pam_ldap: ldap_search_s Server is
>> unavailable
>>
>> Manchmal/Meistens scheitert dann auch die Userauflösung, d.h. die Leute
>> können sich nicht mehr per FTP einloggen und
>> id <username>
>> gibt zurück, das der User nicht existiert.
>>
>
> dieses Problem (id <username> ergibt dass User nicht existiert) hatte
> ich auch schon mal. Grund war damals dass ein paar der Index Dateien
> offenbar zerstört waren. Nach einem Aufruf von slapindex gings wieder ..
> Könnte natürlich auch an binddn/rootbinddn in der nss_ldap.conf vs.
> ACL's in slapd.conf liegen ...
>
>
Das Problem ist, das das auf dem Rechner wohl immer funktioniert hat,
bis zwei Tage nachdem mein Kollege in den Urlaub gefahren ist ;-)
> Wenn das bei dir allerdings nur manchmal auftritt, dürft's eher was
> anderes sein ...
> Eventuell mal überprüfen ob die Sockets existieren (je nach
> konfiguriertem uri-schema in ldap.conf - ldap|ldaps|ldapi im output
> von sockstat nachsehen ob's die auch wirlich gibt)
>
>
Es fängt so an, das in den Logs steht:
Jul 24 06:00:57 bla pure-ftpd: pam_ldap: error trying to bind as user
"uid=ipmonitor,ou=people,dc=comp,dc=de" (Server
is unavailable)
Dann flap't es noch eine Weile hin- und her und irgendwann ist dann der
Reboot angesagt.
>> Hat sowas jemand schonmal gehabt? Gibt's dafür einen Grund?
>> Auf dem Server funktioniert der betreffende ldapsearch schon noch - es
>> findet auch noch Kommunikation zwischen Client und Server statt - aber
>> es kommt irgendwie nix dabei raus.
>>
>
> Würde das immer passieren, würden mir bei solchem Verhalten mal spontan
> Berechtigungsprobleme einfallen, z.b. wenn ldapsearch mit anderem
> binddn ausgeführt wird als jenem der von pam verwendet wird (also in der
> ldap.conf konfiguriert ist), und letzterer möglicherweise nicht
> ausreichend Berechtigungen hat, vllt. fehlende Leserechte auf einzelne
> Attribute ..
>
>
Ich hab' noch mehr Server, und er ist der einzige, wo es nicht geht.
Kann höchstens mal die ldap.conf vergleichen.
> auf alle Fälle mal den loglevel vom slapd hochsetzen (255 oder so) und
> Logfile gucken ..
>
>
Danke erstmal.
Rainer
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 24 Jul 2008 - 13:21:04 CEST