Am 01.03.2012 16:41, schrieb Günther J. Niederwimmer:
Am Donnerstag, 1. März 2012, 15:52:56 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 14:45:40 +0100
schrieb Günther J. Niederwimmer<gjn@gjn.priv.at>:
Am Donnerstag, 1. März 2012, 12:35:44 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 11:41:01 +0100
schrieb Günther J. Niederwimmer<gjn@gjn.priv.at>:
Hallo,
Ich bin gerade beim "spielen" mit kerberos und habe mir einen XEN Server aufgesetzt mit einigen domU's.
einer davon soll ein kerberos Server sein ein anderer ein ldap Serevr.
Jetzt habe ich das Problem kerberos wartet nicht lange genug auf den ldap Server.
Gibt es da eine timeout Einstellung für den krb5 / kadmin Server die ich noch nicht gefunden habe?
Oder habt Ihr eine andere Idee.
Eigentlich gibt es kein Timeout für KDC, allerdings kennt LDAP ein Timeout. Durch welche Meldung wird denn der Eindruck erweckt, dass KDC nicht lange genug wartet? Welcher Error Code wird denn ausgegeben? Setze mal den Loglevel für LDAP hoch genug, dass Verbindungsdaten gelogged werden.
Er sagt nur
"Unable to Access Kerberos Database while Initializing, aborting" und das x 3, dann gibt krb5 und kadmin auf
selbiges auch im kadmin log :(.
Ich muss mal suchen ob es möglich ist, die Startreihenfolge im XEN anzupassen, damit der ldap server vor krb5 startet
Habe aber noch nichts darüber gefunden.
Etwas viel neues was ich da ausprobiere ;)
Wenn ich es dann per Hand starte läuft zwar der krb5& kadmin aber Anmelden tut sich noch nichts, wahrscheinlich habe ich noch zu wenig gelesen gesucht um das hin zu bekommen.
Dieter; das ist Kanonenfeuer ;), was unterbei steht ;)
Du setzt also openLDAP als Database für KDC ein. Welche krb5 Version nutzt du? Heimdal oder Umich? Baut der KDC die Verbindung über TCP oder über Unix IPC-Socket, vulgo ldapi:/// auf? Hast du systemd auf der XEN Maschine laufen? Dann kannst du die Startreihenfolge in /lib/systemd/system/krb5.system unter [Unit] Wants=ldap.service After=ldap.service
ändern.
Ich versuche es mal langsam ;), ich habe bis jetzt nur auf die YaSt2 Module gesetzt, bei der Installation, und nur vorhandenes installiert, das ist also MIT-Kerberos.
Der Aufbau der Verbindung sollte was ich in den config gefunden habe über ldapi:/// erfolgen (was "vulgo" bedeutet weiß ich noch nicht. mal Nachlesen ;))
Nein leider, es läuft noch nicht systemd, ist ein SLES Testsystem.
:((.
Dann werde ich mal neu installieren müssen, damit ldap zuerst kommt oder probieren ob umbenennen auch geht.
Wenn es nicht systemd ist, müsste das doch über Einträge in /etc/rc.d/.depend.start oder die required-start-Einträge in den Startscripten zu regeln sein??? Habe grad keine Ahnung, weil ich es nicht brauche, aber da waren schon threads dazu, sollten sich im Archiv finden... just my 2 ct cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org