Hallo Beda,
Bitte keine private Mail, sondern nur an die Liste.
"Beda Szukics"
Hallo Dieter
Dein Hauptproblem ist die start_tls Funktion, da du keine Zertifikate erzeugt hast und auch keine TLS Konfiguration in slapd.conf und vermutlich auch ldap.conf vorgenommen hast. Nimm in /etc/ldap.conf (das ist die Konfiguration für PAM) den Eintrag ssl start_tls; oder ssl on je nachdem welcher Eintrag aktiviert wurde,heraus, vermutlich ist auch ein TLS Eintrag in smb.conf, den auch entfernen.
Danke, das war's. Das heisst ich habe fälschlicherweise in der Yast-Konfigurierung des LDAP-Client die TLS-Unterstützung angekreuzt. Jetzt habe ich die weggelassen und kann nun mal zumindest mit getent passwd alle meine Nutzer abrufen und mit su zu einem dieser wechseln. Herzlichen Dank.
Die access Regeln werden dir auch Kopfschmerzen bereiten, aber das ist dann der zweite Schritt. Setze diese am besten zurück auf ,----[ access rules ] | access to dn.base="" by * read | access to dn.base=cn=Subschema by * read | access to * | by users read | by anonymous auth `---- Wenn du access Regeln verstanden hast, kannst du das wieder sinnvoll ändern.
Sind sie so nicht etwas zu weit offen? Zum Testen werde ich sie mal so setzen und mich da reinlesen.
Sicher sind die access Regeln offen, sie dienen ja auch nur zum Üben und Testen, damit du sicher bist, das access Regeln keine Fehlerquelle sein können. Im Produktivumfeld mußt du dann strengere Regeln formulieren.
database ldbm Ich rate dir dringend, die Databasedefinition auf database bdb zu setzen. Dazu mußt du aber den Verzeichnisdienst vollständig neu aufsetzen.
Warum bdb und nicht ldbm? Ich habe beim Googeln zu meinem Problem etwas über Schwierigkeiten von bdb und reiserfs angetroffen.
Ja, ja, wenn man beim googlen nicht auf die Versionen achtet :-) Erst einmal Gründe warum mit OpenLDAP ab Version 2.1.x und BerkeleyDB-4.1.25 als Database bdb gewählt werden sollte. 1. Mit bdb wird eine Transaktionskontrolle möglich, so daß eine korrupte Datenbank gerettet werden kann. 2. Es ist möglich, das Backend (bdb) effizienter zu konfigurieren, so daß z.B. intensive Schreibzugriffe die Leseperformanz nicht beeinträchtigen müssen. 3. Die Größe des Datanbank-Caches ist konfigurierbar, so daß das System viel performanter wird. 4. Die Indexdateien können in Btree erstellt werden, (balanced tree) Ab BerkeleyDB-4.2.52 und OpenLDAP-2.2.6 wird es dann auch möglich, das ganze System nur im RAM zu fahren, da sind dann auch traumhafte Lesegeschwindigkeiten möglich, (ca. 300/sec) Zu deinen Bedenken hinsichtlich reiserfs und bdb. Einerseits ist reiserfs besser als ext2, da ein Eintrag im Verzeichnisdienst ca. 3-5 KB groß ist, dementsprechend kleine inodes gewählt werden können, und reiserfs bei kleinen Dateien performanter ist. Andererseits führen beide Systeme, reiserfs und Database-Management, Transaktionskontrollen durch, also doppelte Arbeit, daher kann bei hohen Schreibzugriffen, reiserfs langsamer sein als ext2, hohe Schreibzugriffe sind hier aber mehrere Hundert pro Minute, gelegentliches Schreiben, 1 bis 2 pro Minute, oder sogar noch weniger, beinträchtigen nicht die Leistungsfähigkeit.
Ich erwarte jetzt eigentlich, dass ich mich unter dieser Kennung am System anmelden kann. Doch das geht nicht. getenv passwd zeigt mir auch die LDAP-Nutzer nicht. Und wenn ich jetzt mit su Superuser werden will, so bleibe ich der gleiche (ohne eine Fehlermeldung bei Eingabe des richtigen Passwortes). In var/log/warn aber erhalte ich den Eintrag: Mär 9 13:38:18 schola su: pam_ldap: ldap_starttls_s: Connect error Mär 9 13:38:18 schola su: pam_ldap: ldap_result Can't contact LDAP server Ich erhalte aber da keinen Eintrag, wenn ich mich als viktor anmelden will. Wo liegt mein Fehler? Steht doch in der Logdatei, PAM kann den Ldapserver nicht erreichen, da dieser kein ldap_start_tls ausführen kann (mangels Zertifikat).
Ja, richtig lesen und richtig interpretieren sollte man können. :-) Was ich aber nicht ganz verstehe: Weshalb gibt es bei su diese Meldung und beim Anmeldeversuch mit viktor nicht?
Kann ich so auch nicht sagen, hängt von PAM ab.
Lies erst einmal http://www.openldap.org/doc/admin21/ dann setze den Server neu auf, wenn ein Minimalsystem läuft, dann beschäftige dich mit der Samba-Integration und zum Schluß mit TLS.
P.S.: Ich werd mir wohl Dein Buch kaufen :-)
Das ist im Verlag ausverkauft, im Handel liegen aber noch Restexemplare. Ich arbeite an der zweiten Auflage, wird im April fertig und im August erscheinen. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo Dieter
Bitte keine private Mail, sondern nur an die Liste.
Irgendwas an meinem sqwebmail ist falsch. Ich habe auf reply-to-list gedrückt und es erschien Deine Adresse im To:-Feld. Jetzt habe ich die SuSE-Liste manuell eingetragen. Ich hoffe, es stimmt so.
Sind sie so nicht etwas zu weit offen? Zum Testen werde ich sie mal so setzen und mich da reinlesen.
Sicher sind die access Regeln offen, sie dienen ja auch nur zum Üben und Testen, damit du sicher bist, das access Regeln keine Fehlerquelle sein können. Im Produktivumfeld mußt du dann strengere Regeln formulieren.
Ich taste mich mal vor und werde den Server nicht freigeben, bevor ich nicht die Regeln verstanden und halbwegs vernünftig angebpasst habe.
Zu deinen Bedenken hinsichtlich reiserfs und bdb. Einerseits ist reiserfs besser als ext2, da ein Eintrag im Verzeichnisdienst ca. 3-5 KB groß ist, dementsprechend kleine inodes gewählt werden können, und reiserfs bei kleinen Dateien performanter ist. Andererseits führen beide Systeme, reiserfs und Database-Management, Transaktionskontrollen durch, also doppelte Arbeit, daher kann bei hohen Schreibzugriffen, reiserfs langsamer sein als ext2, hohe Schreibzugriffe sind hier aber mehrere Hundert pro Minute, gelegentliches Schreiben, 1 bis 2 pro Minute, oder sogar noch weniger, beinträchtigen nicht die Leistungsfähigkeit.
Die meisten Zugriffe aufs Mal wird es wohl geben, wenn eine ganze Klasse mit einer Unterrichtsstunde im Informatikraum beginnt und alle zur gleichen Zeit die Maschinen starten. Doch mehr als etwa 20 Zugriffe pro Minute wird es wohl nie geben. Darf ich Dir noch ein paar Zusatzfragen stellen? Wir wollen unseren Schülern wohl einiges ermöglichen, Ihnen aber auch Grenzen setzen. So möchten wir ihnen ihr persönliches Verzeichnis anbieten, das aber mit disk-quota auf etwa 50 MB begrenzen. Sie sollen drucken können, aber, was sie über eine bestimmte Grenze hinaus verbrauchen, bezahlen müssen (ich meine es müsse mit lprng möglich sein, solches zu realisieren). Gibt es eine Möglichkeit, die beiden Grenzen für jeden Nutzer mittels LDAP zu erfassen? Unter Umständen (d.h. wenn wir die politischen Hürden überwinden können) möchten wir einige Arbeitsstationen neben Windows mit einem Linux ausrüsten, so dass die Benutzer wählen können, mit welchem OS sie arbeiten wollen. Ist es möglich, den Nutzereintrag so zu gestalten, dass _ein_ Eintrag für beide Anmeldungsarten genügt. Zur Zeit erfassen wir einige Nutzer mit dem Yast-Modul Benutzerverwaltung.
Das ist im Verlag ausverkauft, im Handel liegen aber noch Restexemplare. Ich arbeite an der zweiten Auflage, wird im April fertig und im August erscheinen.
Dann wart ich mal und versuche, mich in der Zwischenzeit mit den online verfügbaren Dokumentationen schlau zu machen. Gruss Beda
Hallo,
"Beda Szukics"
Hallo Dieter [...]
Die meisten Zugriffe aufs Mal wird es wohl geben, wenn eine ganze Klasse mit einer Unterrichtsstunde im Informatikraum beginnt und alle zur gleichen Zeit die Maschinen starten. Doch mehr als etwa 20 Zugriffe pro Minute wird es wohl nie geben.
Das ist relativ wenig. Wenn allerdings pam unzureichend konfiguriert ist, kann das Modul pam_ldap recht intensiv Suchaufträge erteilen. Bedenke, daß jeder Dateizugriff und jeder Konsolenwechsel dazu führt, daß pam die Identität und Rechte prüft. Dazu wird dann jedesmal das Attribut 'uid=Anwender' gesucht und dann wird in allen Gruppen geprüft, ob der User irgendwo Miglied ist. Aus Performancegründen kann man in einer Testumgebung mit wenigen Einträgen durchaus mal 'loglevel -1' in slapd.conf setzen, aber Achtung, nur kurze Zeit, da wird die die Logdatei in Sekundenschnelle vollgeschrieben. Um einen Eindruck über die Auslastung ohne hohen Loglevel zu bekommen würde ich Monitor verwenden. Ich hoffe, SuSE hat Monitor mit einkompiliert. Dazu muß nur eine Database Definition in slapd.conf geschrieben werden database monitor access to dn.subtree=cn=Monitor by * read ldapsearch -x -b cn=monitor -s sub zeigt erst einmal was alles verfügbar ist, ldapsearch -x -b "cn=total,cn=connections,cn=monitor" description liefert dann die Gesamtsumme der Verbindungen.
Darf ich Dir noch ein paar Zusatzfragen stellen? Wir wollen unseren Schülern wohl einiges ermöglichen, Ihnen aber auch Grenzen setzen. So möchten wir ihnen ihr persönliches Verzeichnis anbieten, das aber mit disk-quota auf etwa 50 MB begrenzen. Sie sollen drucken können, aber, was sie über eine bestimmte Grenze hinaus verbrauchen, bezahlen müssen (ich meine es müsse mit lprng möglich sein, solches zu realisieren). Gibt es eine Möglichkeit, die beiden Grenzen für jeden Nutzer mittels LDAP zu erfassen?
Disk-Quota sollte mit automount möglich sein. Ich bin aber nicht der große automount Spezialist. Automount mit LDAP wird besonders von Redhat propagiert, da gibt es mit Sicherheit auch umfangreiche Dokus. Eine prinzipielle Druckerlaubnis bzw. Verweigerung sollte machbar sein, eine Auswertung der Mengenbegrenzung halte ich für schwieriger, jedenfalls gibt es keine fertigen Tools dazu.
Unter Umständen (d.h. wenn wir die politischen Hürden überwinden können) möchten wir einige Arbeitsstationen neben Windows mit einem Linux ausrüsten, so dass die Benutzer wählen können, mit welchem OS sie arbeiten wollen. Ist es möglich, den Nutzereintrag so zu gestalten, dass _ein_ Eintrag für beide Anmeldungsarten genügt. Zur Zeit erfassen wir einige Nutzer mit dem Yast-Modul Benutzerverwaltung.
Windowsnutzer können sich mittels Samba und LDAP authentifizieren, dabei können die Anwender dann sowohl einen Posixaccount als auch einen Sambaaccount besitzen, also das was du möchtest. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Dieter Kluenter schrieb:
Das ist relativ wenig. Wenn allerdings pam unzureichend konfiguriert ist, kann das Modul pam_ldap recht intensiv Suchaufträge erteilen. Bedenke, daß jeder Dateizugriff und jeder Konsolenwechsel dazu führt, daß pam die Identität und Rechte prüft. Dazu wird dann jedesmal das Attribut 'uid=Anwender' gesucht und dann wird in allen Gruppen geprüft, ob der User irgendwo Miglied ist.
Sowas sollte in der Regel aber der "nscd-Dienst" abfangen. Name Service Cache Daemon. Zur Not kann man ihn noch entsprechend konfigurieren und die Werte erhöhen. Der nscd wird standardmässig in SuSE beim booten mitgestartet. Gruss Patrick
Hallo Dieter Dieter Kluenter writes:
database ldbm Ich rate dir dringend, die Databasedefinition auf database bdb zu setzen. Dazu mußt du aber den Verzeichnisdienst vollständig neu aufsetzen.
Nur noch eine kleine Verständnisfrage: bdb heisst, die Bekeley-DB auf einer andere Art laufen zu lassen? Ich muss kein neues Paket installieren und kann mit slapcat meine alten Inhalte auslesen, die Umstellung machen und die Datensätze wieder einspielen? Gruss Beda
Hallo Beda,
"Beda Szukics"
Hallo Dieter
Dieter Kluenter writes:
database ldbm Ich rate dir dringend, die Databasedefinition auf database bdb zu setzen. Dazu mußt du aber den Verzeichnisdienst vollständig neu aufsetzen.
Nur noch eine kleine Verständnisfrage: bdb heisst, die Bekeley-DB auf einer andere Art laufen zu lassen? Ich muss kein neues Paket installieren und kann mit slapcat meine alten Inhalte auslesen, die Umstellung machen und die Datensätze wieder einspielen? Gruss
Ja, rcldap stop, mit slapcat in einen ldif file auslesen, alle Datein in /var/lib/ldap (oder wo sich die .db files befinden) löschen slapd.conf ändern und mit slapadd den lif file wieder einlesen, rcldap start, fertig. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
participants (3)
-
Beda Szukics
-
Dieter Kluenter
-
Patrick Klaus