Dieter Kluenter schrieb: Hallo,
Irgendwo habe ich mal geschrieben, daß die Lektüre des Quellcodes erhellend sein kann, das trifft auch hier mal wieder zu. :-) Ich habe mal den Quellcode pam_ldap.c gelesen und eine Codeschnipsel sind mir dabei aufgefallen:
jo, mir liegt die C-Sprache nicht so gut, sowas lernt man auf ner FH nicht mehr genügend, eher Win32-API, Java, C#. Respekt für deinen guten Durchblick.
1. die Auflistung mehrerer Hosts wird nur dann genötigt, wenn die authentifizierenden Verzeichnisdienste jeweils nur einen Teil der Suchbasis verwalten, also bei verteilten Systemen. 2. Bei einer TLS/SSL Verbindung wird die Sitzung nicht beendet, sondern aufrecht erhalten (persistant), das Zertifikat wird zu diesem Zweck im Cache gespeichert.
Vielen Dank, dass erklärt natürlich einiges. Sowas sollte man doch auch in die Doku von pam_ldap und nss_ldap reinschreiben oder? Das bedeutet das bei TLS Verbindungen nur ein Host da zu stehen hat. Sehe ich das falsch ?
Ich denke du verstehst, was das bedeutet, übrigens, daß ist kein Aprilscherz :-)
Ja besser ist die grausame Wahrheit ;-)
Dein Failover Szenario muß also anders konstruiert werden.
Nach ein bissl improvisieren fiel mir noch eine Möglichkeit ein, die prompt funktionierte. Denkbar einfach: Habe in /etc/hosts einfach alle AD-ServerIPs einem Namen zugeordnet. 143.xxx.xxx.2 ldaphosts 143.xxx.xxx.3 ldaphosts 143.xxx.xxx.4 ldaphosts 143.xxx.xxx.5 ldaphosts in die /etc/ldap.conf entsprechend ldaps://ldaphosts/ eingetragen. Funktioniert prächtig, fällt einer aus, wird mit Zeitverzögerung der nächste geholt. Da alle Server den selben Verzeichnisinhalt haben, reicht das ja auch. Ich bedanke mich recht herzlich, weil Du mich auf den richtigen Weg gebracht hast ;-). Alles gute noch! Gruss Patrick