Moin, On Wed, 2 Nov 2005 16:47:14 +0100 Steffen Moser <lists@steffen-moser.de> wrote:
Hallo Hans-Werner,
* On Tue, Nov 01, 2005 at 09:01 AM (+0100), Steffen Moser wrote:
Ich versuche jetzt einmal abzuklären, ob es tatsächlich zu einer "Race Condition" kommen kann.
So nach dem Motto: Der Syslog will reloaden. Er läuft dabei. Er muss aber zum Reload -aus welchem Grund auch immer- den OpenLDAP fragen. Dieser will daraufhin auch antworten, aber loggt natürlich erstmal.
Und genau in die Richtung scheint es zu gehen!
[...] Jetzt muss ich noch schauen, wie ich das sicher reproduzieren kann, dann geht's an SuSE als Bugreport raus. Gestern hatte ich einige Zeit herumgespielt, es aber nicht "auf Befehl" hingekriegt.
Die Frage dürfte vor allem sein: Wieso braucht "syslog-ng" die "nss_ldap" und wieso hilft hier der Timeout nicht aus der Ver- klemmung?
syslog-ng parst die Konfiguration neu. Dabei dürften die Anfragen rausgehen. Vielleicht der Nutzer/die Gruppe, auf die syslog-ng seine Rechte abwirft, vielleicht Einstellungen zu den Rechten der Logfiles oder des Unix-Sockets (/dev/log). Das Problem scheint nss_ldap zu sein. Es blockt nämlich scheinbar, wenn der Unix-Socket zwar bereits offen ist - es gibt schließlich auch schon ein Handle - aber die hineingeschriebenen Daten nicht liest. Das MSG_DONTWAIT-Flag bei sendto ist ja auch nicht gesetzt. Der kürzeste Weg aus der Misere scheint mir zu sein, mal /etc/nsswitch.conf zu checken. Sollte so aussehen: passwd: files ldap (und nicht "passwd: ldap files") gilt auch für die anderen. Die Bedeutung ist dann anders: Es wird erst versucht, auf Dateibasis alles zu machen, und wenn's da Probleme gibt, wird auf LDAP zurückgegriffen. Dann müssen natürlich die User rund um syslog-ng auch über das "files"-Modul verfügbar sein. Grundsätzlich wäre es bei so etwas grundlegendem wie dem nss_ldap/pam_ldap-Modul vielleicht auch besser, mit einem Timeout zu arbeiten... (achso ja, in /etc/pam.d natürlich auch nach der Präferenz der Authentifizierungsverfahren gucken, sollte hier aber mangels Authentifikation nicht relevant sein, wenn ich nicht irre). Vielleicht magst du ja auch deine augenblickliche Fassung von /etc/nsswitch.conf mal posten. Gruß, -hwh