Hallo Dieter danke vorerst. ich melde mich wieder dazu. schönes wochenende. Bernhard Am Freitag, 17. September 2004 15.58 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler <bbuehler@bbm-bbmicro.ch> writes:
Hallo Dieter
ich hoffe, du hast die fortsetzung gefunden. ich bin (dank deiner hilfe) nun gut vorangekommen. ldap mit samba geht gut, user lassen sich mit yast, lam oder pl-script anlegen und modifizieren.
Wie du siehst, habe ich die Fortsetzung gefunden :-)
[...]
wie gesagt mit ldap geht es gut ausser der indexfrage. würdes du mir hier einmal helfen?
ich habe in der slap.conf:
[ index settings ]
diese indexe gehen. es gibt jedoch eine fehlermeldung beim anmelden:
Sep 17 14:15:00 stag-lx1 slapd[2489]: conn=2 op=2 SRCH base="dc=stag,dc=ch" scope=2 filter="(&(objectClass=posixGroup)(|(memberUid=root) (uniqueMember=uid=root,ou=people,dc=stag,dc=ch)))" Sep 17 14:15:00 stag-lx1 slapd[2489]: conn=2 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber Sep 17 14:15:00 stag-lx1 slapd[2489]: <= bdb_equality_candidates: (uniqueMember) index_param failed (18)
es ist noch so, das sich root gar nicht anmeldet. könnte das problem ev auch an den indexen (wird falsches von noch weiter oben gefunden) liegen?
Das sind eindeutig Suchaufträge von PAM, da solltest du dich nicht drum kümmern. Ich habe festgestellt, daß PAM ziemlich Resourcenfressend sein kann, denn für jedes Öffnen einer Datei, für nahezu jeden Tastendruck werden Rechte überprüft. Anfangs hatte ich mal einen ziemlich hohen Loglevel, innerhalb von wenigen Stunden war die Logdatei voll.
Zum Thema uniqueMember, das kann nicht indiziert werden, da das die Syntax nicht zulässt, das ganze Attribut ist eine Krankheit. Wenn du es nicht verwendest und auch zukünftig nicht verwenden möchtest, kannst du die Suche in /etc/ldap.conf unterdrücken.
ich habe versucht memberUid und uniqueMember zu indexieren. dies gelang aber nicht.
MemberUid sollte problemlos indiziert werden können, auch als substring match, da muß der Fehler an anderer Stelle liegen.
im buch samba3 von jens kühnel wird empfohlen:
# Indices to maintain index objectClass eq index uid,cn,sn,displayname pres,eq,sub index uidNumber XXXXXXXX index mail,surname,givenname eq,subinitial index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq index default sub
bei XXXXX fehlt leider etwas im buch. will ich nach obigen beispiel indexieren geht dies praktisch nicht (fehler verschiebt sich je nach dem was auskommentiert ist) bei XXX hatte ich zb. eq.
Ich weiß ja nicht, was Jens Kühnel mit 'subinitial' meint, aber diesen Index gibt es nicht, also weg damit, denn das ist die Fehlerquelle. Es gibt: approx - für phonetische Ähnlichkeit eq - für exact match pres - für Präsenz, also ist vorhanden sub - für substring match, also Wildcard suche.
(ich gebe zu, dass ich mich über die indexe nicht so informiert habe, aber es gibt ja noch Dieter)
Na, na, jetzt muß ich den Oberlehrer--Zeigefinger heben :-) Bilden von Idices ist zwar wichtig, da hierdurch die Performance erheblich gesteigert werden kann, andererseits wird dadurch auch mehr Plattenplatz benötigt. Als Index sind die Attribute wichtig, die in einem Suchfilter enthalten sind, also üblicherweise cn, uid, sn, mail, welche Filter Samba verwendet kann ich nicht sagen Wenn du mal den Server etliche Tage durchlaufen läßt kannst du mit dem BerkeleyDB Tool 'db_stat' prüfen, wie oft auf die Indexdateien zu gegriffen wird und wie häufig Daten von der Platte gelesen werden müssen, danach kannst du dann deine Indices anpassen.
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328