Hallo Dieter ich habe mich nun länger nicht mehr gemeldet. hatte noch andere probleme bzw. immer noch (Openwebmail). Na ja man kann sich nicht alles aussuchen. meine installation mit suse 9.0 ldap und samba läuft jetzt wirklich sehr gut und auch die indexe habe ich nun glaube ich io. ich habe gestern einmal vom bestehenden nt-pdc (dieser soll abgelöst werden) die daten (net .. vampire) abgesaugt und in ldap übernommen. hier kam dann die ernüchterung. die bisher gut laufenden scripte (smbtools..pl) haben nur teilweise funktioniert und auch noch weitere fragen offen lassen. es scheint, dass dieses net .. vampire auch nur teilweise damit klarkommt. es gab einige grobe fehler (zb. falsche oder keine objektklasse bei den usern, leere passwörter, usw. ich habe dann probeweise die scripte im smb.conf mit denen in der suse-musterconfig smbldap... getauscht und auch hier wieder neu und andere fehler festgestellt. einzig und allein wurde die gruppen (weiss der herrgott warum) immer gut übernommen. die domäne hat viele maschienen und viele user. dies hat die sache natürlich noch zusätzlich erschwert. ich habe keine möglichkeit gefunden den prozess nur auf teilbereiche zu begrenzen oder den ablauf genau zu debuggen. besonders die sache mit der uebertragung des passwortes ist mir völlig suspect. ich werde jetzt hier einen kleinen nt-server zum test aufsetzen, so dass wenigstens die datenmenge (um die probleme zu untersuchen) klein ist. es könnte auch sein, dass ich mit der datenübernahme vom nt in samba mit ldap einfach zuviel miteinander wollte. ein anderer weg wäre eine einfache variante der samba benutzerdatenbank zum übertrag und dann die migration nach ldap. ob das überhaupt so geht weiss ich aktuell noch nicht. die sache mit den pl.-scripten ist auch noch nicht ganz io. ich habe festgestellt, dass bei suse und samba bei weitem nicht die aktuellsten scripte dabei sind. ich hatte schon einmal die neuesten runtergeladen, musste aber festellen, dass dazu notwendige tools fehlen, bzw. auf der suse nicht vorhanden sind (scripte sind für rh). ich habe dann darauf verzichtet hier weiter zu machen. es wäre sehr freundlich von dir, wenn du zu dem einen oder anderen punkt mir noch etwas aus deinem (reichen) erfahrungsschatz mitteilen könntest. ich bin jetzt kommende woche in den ferien und daher könntest du dir auch damit zeit lassen. ein anderes problem drückt mich noch. ich frage dich einfach mal. wir haben unter suse 9.1 vor einiger zeit ein openwebmail eingerichtet. dies ging so ca. 10 tage gut. es sind perlscripte die dann mit suidperl ablaufen. der kunde hat sicher an seiner konfiguration etwas manipuliert (kann aber nicht sagen was und wo) und openwebmail geht nicht mehr. nach dem login, bevor das nächste modul geladen wird kommt: Out of memory! [Wed Sep 29 17:19:38 2004] [error] [client 192.168.190.22] Premature end of script headers: openwebmail.pl, referer: http://mail.netvision.ch/cgi-bin/openwebmail/openwebmail.pl es ist so, dass alle berechtigungen der scripte und des suidperl richtig sind. in der mailingliste von owm hat mir leider bisher noch niemand geantwortet. in der suse liste ich auch nichts schlaues dabei herausgekommen. ein ersatz von owm, perl und apache hat nichts gebracht? wie gesagt ich dachte ich frag mal. auf jeden fall und wie auch immer herzlichen dank und beste grüsse aus der schweiz. bernhard Am Freitag, 17. September 2004 17.36 schrieb Bernhard Buehler:
Hallo Dieter danke vorerst. ich melde mich wieder dazu. schönes wochenende. Bernhard
Am Freitag, 17. September 2004 15.58 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler <bbuehler@bbm-bbmicro.ch> writes:
Hallo Dieter
ich hoffe, du hast die fortsetzung gefunden. ich bin (dank deiner hilfe) nun gut vorangekommen. ldap mit samba geht gut, user lassen sich mit yast, lam oder pl-script anlegen und modifizieren.
Wie du siehst, habe ich die Fortsetzung gefunden :-)
[...]
wie gesagt mit ldap geht es gut ausser der indexfrage. würdes du mir hier einmal helfen?
ich habe in der slap.conf:
[ index settings ]
diese indexe gehen. es gibt jedoch eine fehlermeldung beim anmelden:
Sep 17 14:15:00 stag-lx1 slapd[2489]: conn=2 op=2 SRCH base="dc=stag,dc=ch" scope=2 filter="(&(objectClass=posixGroup)(|(memberUid=root) (uniqueMember=uid=root,ou=people,dc=stag,dc=ch)))" Sep 17 14:15:00 stag-lx1 slapd[2489]: conn=2 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber Sep 17 14:15:00 stag-lx1 slapd[2489]: <= bdb_equality_candidates: (uniqueMember) index_param failed (18)
es ist noch so, das sich root gar nicht anmeldet. könnte das problem ev auch an den indexen (wird falsches von noch weiter oben gefunden) liegen?
Das sind eindeutig Suchaufträge von PAM, da solltest du dich nicht drum kümmern. Ich habe festgestellt, daß PAM ziemlich Resourcenfressend sein kann, denn für jedes Öffnen einer Datei, für nahezu jeden Tastendruck werden Rechte überprüft. Anfangs hatte ich mal einen ziemlich hohen Loglevel, innerhalb von wenigen Stunden war die Logdatei voll.
Zum Thema uniqueMember, das kann nicht indiziert werden, da das die Syntax nicht zulässt, das ganze Attribut ist eine Krankheit. Wenn du es nicht verwendest und auch zukünftig nicht verwenden möchtest, kannst du die Suche in /etc/ldap.conf unterdrücken.
ich habe versucht memberUid und uniqueMember zu indexieren. dies gelang aber nicht.
MemberUid sollte problemlos indiziert werden können, auch als substring match, da muß der Fehler an anderer Stelle liegen.
im buch samba3 von jens kühnel wird empfohlen:
# Indices to maintain index objectClass eq index uid,cn,sn,displayname pres,eq,sub index uidNumber XXXXXXXX index mail,surname,givenname eq,subinitial index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq index default sub
bei XXXXX fehlt leider etwas im buch. will ich nach obigen beispiel indexieren geht dies praktisch nicht (fehler verschiebt sich je nach dem was auskommentiert ist) bei XXX hatte ich zb. eq.
Ich weiß ja nicht, was Jens Kühnel mit 'subinitial' meint, aber diesen Index gibt es nicht, also weg damit, denn das ist die Fehlerquelle. Es gibt: approx - für phonetische Ähnlichkeit eq - für exact match pres - für Präsenz, also ist vorhanden sub - für substring match, also Wildcard suche.
(ich gebe zu, dass ich mich über die indexe nicht so informiert habe, aber es gibt ja noch Dieter)
Na, na, jetzt muß ich den Oberlehrer--Zeigefinger heben :-) Bilden von Idices ist zwar wichtig, da hierdurch die Performance erheblich gesteigert werden kann, andererseits wird dadurch auch mehr Plattenplatz benötigt. Als Index sind die Attribute wichtig, die in einem Suchfilter enthalten sind, also üblicherweise cn, uid, sn, mail, welche Filter Samba verwendet kann ich nicht sagen Wenn du mal den Server etliche Tage durchlaufen läßt kannst du mit dem BerkeleyDB Tool 'db_stat' prüfen, wie oft auf die Indexdateien zu gegriffen wird und wie häufig Daten von der Platte gelesen werden müssen, danach kannst du dann deine Indices anpassen.
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328