Hallo Beda, Bitte keine private Mail, sondern nur an die Liste. "Beda Szukics" <beda@ksobwalden.ch> writes:
Hallo Dieter
Dein Hauptproblem ist die start_tls Funktion, da du keine Zertifikate erzeugt hast und auch keine TLS Konfiguration in slapd.conf und vermutlich auch ldap.conf vorgenommen hast. Nimm in /etc/ldap.conf (das ist die Konfiguration für PAM) den Eintrag ssl start_tls; oder ssl on je nachdem welcher Eintrag aktiviert wurde,heraus, vermutlich ist auch ein TLS Eintrag in smb.conf, den auch entfernen.
Danke, das war's. Das heisst ich habe fälschlicherweise in der Yast-Konfigurierung des LDAP-Client die TLS-Unterstützung angekreuzt. Jetzt habe ich die weggelassen und kann nun mal zumindest mit getent passwd alle meine Nutzer abrufen und mit su zu einem dieser wechseln. Herzlichen Dank.
Die access Regeln werden dir auch Kopfschmerzen bereiten, aber das ist dann der zweite Schritt. Setze diese am besten zurück auf ,----[ access rules ] | access to dn.base="" by * read | access to dn.base=cn=Subschema by * read | access to * | by users read | by anonymous auth `---- Wenn du access Regeln verstanden hast, kannst du das wieder sinnvoll ändern.
Sind sie so nicht etwas zu weit offen? Zum Testen werde ich sie mal so setzen und mich da reinlesen.
Sicher sind die access Regeln offen, sie dienen ja auch nur zum Üben und Testen, damit du sicher bist, das access Regeln keine Fehlerquelle sein können. Im Produktivumfeld mußt du dann strengere Regeln formulieren.
database ldbm Ich rate dir dringend, die Databasedefinition auf database bdb zu setzen. Dazu mußt du aber den Verzeichnisdienst vollständig neu aufsetzen.
Warum bdb und nicht ldbm? Ich habe beim Googeln zu meinem Problem etwas über Schwierigkeiten von bdb und reiserfs angetroffen.
Ja, ja, wenn man beim googlen nicht auf die Versionen achtet :-) Erst einmal Gründe warum mit OpenLDAP ab Version 2.1.x und BerkeleyDB-4.1.25 als Database bdb gewählt werden sollte. 1. Mit bdb wird eine Transaktionskontrolle möglich, so daß eine korrupte Datenbank gerettet werden kann. 2. Es ist möglich, das Backend (bdb) effizienter zu konfigurieren, so daß z.B. intensive Schreibzugriffe die Leseperformanz nicht beeinträchtigen müssen. 3. Die Größe des Datanbank-Caches ist konfigurierbar, so daß das System viel performanter wird. 4. Die Indexdateien können in Btree erstellt werden, (balanced tree) Ab BerkeleyDB-4.2.52 und OpenLDAP-2.2.6 wird es dann auch möglich, das ganze System nur im RAM zu fahren, da sind dann auch traumhafte Lesegeschwindigkeiten möglich, (ca. 300/sec) Zu deinen Bedenken hinsichtlich reiserfs und bdb. Einerseits ist reiserfs besser als ext2, da ein Eintrag im Verzeichnisdienst ca. 3-5 KB groß ist, dementsprechend kleine inodes gewählt werden können, und reiserfs bei kleinen Dateien performanter ist. Andererseits führen beide Systeme, reiserfs und Database-Management, Transaktionskontrollen durch, also doppelte Arbeit, daher kann bei hohen Schreibzugriffen, reiserfs langsamer sein als ext2, hohe Schreibzugriffe sind hier aber mehrere Hundert pro Minute, gelegentliches Schreiben, 1 bis 2 pro Minute, oder sogar noch weniger, beinträchtigen nicht die Leistungsfähigkeit.
Ich erwarte jetzt eigentlich, dass ich mich unter dieser Kennung am System anmelden kann. Doch das geht nicht. getenv passwd zeigt mir auch die LDAP-Nutzer nicht. Und wenn ich jetzt mit su Superuser werden will, so bleibe ich der gleiche (ohne eine Fehlermeldung bei Eingabe des richtigen Passwortes). In var/log/warn aber erhalte ich den Eintrag: Mär 9 13:38:18 schola su: pam_ldap: ldap_starttls_s: Connect error Mär 9 13:38:18 schola su: pam_ldap: ldap_result Can't contact LDAP server Ich erhalte aber da keinen Eintrag, wenn ich mich als viktor anmelden will. Wo liegt mein Fehler? Steht doch in der Logdatei, PAM kann den Ldapserver nicht erreichen, da dieser kein ldap_start_tls ausführen kann (mangels Zertifikat).
Ja, richtig lesen und richtig interpretieren sollte man können. :-) Was ich aber nicht ganz verstehe: Weshalb gibt es bei su diese Meldung und beim Anmeldeversuch mit viktor nicht?
Kann ich so auch nicht sagen, hängt von PAM ab.
Lies erst einmal http://www.openldap.org/doc/admin21/ dann setze den Server neu auf, wenn ein Minimalsystem läuft, dann beschäftige dich mit der Samba-Integration und zum Schluß mit TLS.
P.S.: Ich werd mir wohl Dein Buch kaufen :-)
Das ist im Verlag ausverkauft, im Handel liegen aber noch Restexemplare. Ich arbeite an der zweiten Auflage, wird im April fertig und im August erscheinen. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de