LDAP-Server als syncrepl-mirror will nicht starten
Hallo, ein System mit opensuse 12.3 in der Filiale soll die LDAP-Daten vom LDAP-Server der Zentrale replizieren. Die Clients der Filiale hängen dann am LDAP der jeweiligen Filiale. Dazu habe ich den LDAP-Server mit syncrepl als Mirror konfiguriert. Exakt die gleiche Config tut auf Kisten mit 11.2 und 11.4 wie sie soll. Nur auf 12.3 lässt sie sich nicht starten. Hier mal die Config des Filial-LDAP: include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/yast.schema include /etc/openldap/schema/samba3.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args # Load dynamic backend modules: modulepath /usr/lib/openldap/modules # moduleload back_ldap.la # moduleload back_meta.la # moduleload back_monitor.la # moduleload back_perl.la moduleload syncprov.la moduleload accesslog.la moduleload back_bdb.la moduleload smbk5pwd.la serverID 1 "ldap://server.zentrale.xxx.de" serverID 2 "ldap://server.filiale1.xxx.de" serverID 3 "ldap://server.filiale2.xxx.de" serverID 4 "ldap://server.filiale3.xxx.de" serverID 5 "ldap://server.filiale4.xxx.de" access to dn.base="" by * read access to dn.base="cn=Subschema" by * read access to attrs=userPassword,userPKCS12 by self write by * read # by * auth access to attrs=shadowLastChange by self write by * read access to * by * read ####################################################################### # BDB database definitions ####################################################################### loglevel 0 database bdb suffix "dc=xxx,dc=de" rootdn "cn=Administrator,dc=xxx,dc=de" rootpw "xxxx" directory /var/lib/ldap/ checkpoint 1024 5 cachesize 10000 index objectClass,uidNumber,gidNumber eq index member,mail eq,pres index cn,displayname,uid,sn,givenname sub,eq,pres sizelimit unlimited overlay smbk5pwd password-hash {CRYPT} syncrepl rid=001 provider=ldap://server.zentrale.xxx.de binddn="cn=Administrator,dc=xxx,dc=de" bindmethod=simple credentials=yyyyyy searchbase=" dc=xxx,dc=de" type=refreshAndPersist interval=00:00:00:10 retry="5 5 300 +" timeout=1 mirrormode TRUE overlay syncprov syncprov-nopresent TRUE syncprov-reloadhint TRUE syncprov-checkpoint 1000 60 Wenn ich das ganze starte sollte folgender Prozess laufen: /usr/lib/openldap/slapd -h ldap:/// -f /etc/openldap/slapd.conf -u ldap -g ldap -o slp=on Starte ich diesen auf dem 12er System von Hand kriege ich nur: read_config: no serverID / URL match found. Check slapd -h arguments. Weiß jemand wo das Problem in meiner Config ist? Und warum das erst unter 12.3 auftritt? Gruß Daniel -- Daniel Spannbauer Systemadministration marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4-6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Donnerstag, 9. Januar 2014, 15:20:46 schrieb Daniel Spannbauer: Ich glaube bei der 12.2 / 3 wurde die verschärfte Sicherheit bei ldap aktiviert. Du musst die Zertifikate vom Server auf die client kopieren und ein c_rehash ausführen.
ein System mit opensuse 12.3 in der Filiale soll die LDAP-Daten vom LDAP-Server der Zentrale replizieren. Die Clients der Filiale hängen dann am LDAP der jeweiligen Filiale. Dazu habe ich den LDAP-Server mit syncrepl als Mirror konfiguriert. Exakt die gleiche Config tut auf Kisten mit 11.2 und 11.4 wie sie soll. Nur auf 12.3 lässt sie sich nicht starten.
Hier mal die Config des Filial-LDAP:
include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema include /etc/openldap/schema/yast.schema include /etc/openldap/schema/samba3.schema
pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args
# Load dynamic backend modules: modulepath /usr/lib/openldap/modules # moduleload back_ldap.la # moduleload back_meta.la # moduleload back_monitor.la # moduleload back_perl.la moduleload syncprov.la moduleload accesslog.la moduleload back_bdb.la moduleload smbk5pwd.la
serverID 1 "ldap://server.zentrale.xxx.de" serverID 2 "ldap://server.filiale1.xxx.de" serverID 3 "ldap://server.filiale2.xxx.de" serverID 4 "ldap://server.filiale3.xxx.de" serverID 5 "ldap://server.filiale4.xxx.de"
access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to attrs=userPassword,userPKCS12 by self write by * read # by * auth
access to attrs=shadowLastChange by self write by * read
access to * by * read
####################################################################### # BDB database definitions ####################################################################### loglevel 0 database bdb suffix "dc=xxx,dc=de" rootdn "cn=Administrator,dc=xxx,dc=de" rootpw "xxxx" directory /var/lib/ldap/ checkpoint 1024 5 cachesize 10000 index objectClass,uidNumber,gidNumber eq index member,mail eq,pres index cn,displayname,uid,sn,givenname sub,eq,pres sizelimit unlimited overlay smbk5pwd password-hash {CRYPT} syncrepl rid=001 provider=ldap://server.zentrale.xxx.de binddn="cn=Administrator,dc=xxx,dc=de" bindmethod=simple credentials=yyyyyy searchbase=" dc=xxx,dc=de" type=refreshAndPersist interval=00:00:00:10 retry="5 5 300 +" timeout=1
mirrormode TRUE overlay syncprov syncprov-nopresent TRUE syncprov-reloadhint TRUE syncprov-checkpoint 1000 60
Wenn ich das ganze starte sollte folgender Prozess laufen:
/usr/lib/openldap/slapd -h ldap:/// -f /etc/openldap/slapd.conf -u ldap -g ldap -o slp=on
Starte ich diesen auf dem 12er System von Hand kriege ich nur: read_config: no serverID / URL match found. Check slapd -h arguments.
Weiß jemand wo das Problem in meiner Config ist? Und warum das erst unter 12.3 auftritt?
Gruß
Daniel
-- mit freundlichen Grüßen / best Regards, Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Sorry, hatte ich vergessen: Kein sssd installiert, es läuft der alte nscd. Dadurch brauche ich keine Zertifikate. Mein ich jedenfalls mal.... Gruß Daniel Am 01/09/2014 06:10 PM, schrieb Günther J. Niederwimmer:
Hallo, Am Donnerstag, 9. Januar 2014, 15:20:46 schrieb Daniel Spannbauer:
Ich glaube bei der 12.2 / 3 wurde die verschärfte Sicherheit bei ldap aktiviert.
Du musst die Zertifikate vom Server auf die client kopieren und ein c_rehash ausführen.
ein System mit opensuse 12.3 in der Filiale soll die LDAP-Daten vom LDAP-Server der Zentrale replizieren. Die Clients der Filiale hängen dann am LDAP der jeweiligen Filiale. Dazu habe ich den LDAP-Server mit syncrepl als Mirror konfiguriert. Exakt die gleiche Config tut auf Kisten mit 11.2 und 11.4 wie sie soll. Nur auf 12.3 lässt sie sich nicht starten.
Hier mal die Config des Filial-LDAP:
include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema include /etc/openldap/schema/yast.schema include /etc/openldap/schema/samba3.schema
pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args
# Load dynamic backend modules: modulepath /usr/lib/openldap/modules # moduleload back_ldap.la # moduleload back_meta.la # moduleload back_monitor.la # moduleload back_perl.la moduleload syncprov.la moduleload accesslog.la moduleload back_bdb.la moduleload smbk5pwd.la
serverID 1 "ldap://server.zentrale.xxx.de" serverID 2 "ldap://server.filiale1.xxx.de" serverID 3 "ldap://server.filiale2.xxx.de" serverID 4 "ldap://server.filiale3.xxx.de" serverID 5 "ldap://server.filiale4.xxx.de"
access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to attrs=userPassword,userPKCS12 by self write by * read # by * auth
access to attrs=shadowLastChange by self write by * read
access to * by * read
####################################################################### # BDB database definitions ####################################################################### loglevel 0 database bdb suffix "dc=xxx,dc=de" rootdn "cn=Administrator,dc=xxx,dc=de" rootpw "xxxx" directory /var/lib/ldap/ checkpoint 1024 5 cachesize 10000 index objectClass,uidNumber,gidNumber eq index member,mail eq,pres index cn,displayname,uid,sn,givenname sub,eq,pres sizelimit unlimited overlay smbk5pwd password-hash {CRYPT} syncrepl rid=001 provider=ldap://server.zentrale.xxx.de binddn="cn=Administrator,dc=xxx,dc=de" bindmethod=simple credentials=yyyyyy searchbase=" dc=xxx,dc=de" type=refreshAndPersist interval=00:00:00:10 retry="5 5 300 +" timeout=1
mirrormode TRUE overlay syncprov syncprov-nopresent TRUE syncprov-reloadhint TRUE syncprov-checkpoint 1000 60
Wenn ich das ganze starte sollte folgender Prozess laufen:
/usr/lib/openldap/slapd -h ldap:/// -f /etc/openldap/slapd.conf -u ldap -g ldap -o slp=on
Starte ich diesen auf dem 12er System von Hand kriege ich nur: read_config: no serverID / URL match found. Check slapd -h arguments.
Weiß jemand wo das Problem in meiner Config ist? Und warum das erst unter 12.3 auftritt?
Gruß
Daniel
-- Daniel Spannbauer Systemadministration marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4-6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Daniel Spannbauer schrieb (09.01.2014 15:20 Uhr):
ein System mit opensuse 12.3 in der Filiale soll die LDAP-Daten vom LDAP-Server der Zentrale replizieren. Die Clients der Filiale hängen dann am LDAP der jeweiligen Filiale. Dazu habe ich den LDAP-Server mit syncrepl als Mirror konfiguriert. Exakt die gleiche Config tut auf Kisten mit 11.2 und 11.4 wie sie soll. Nur auf 12.3 lässt sie sich nicht starten. vielleicht mal den Loglevel hoch drehen, damit man was sieht, und dann ins Log gucken.
Marc -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 01/10/2014 09:29 AM, schrieb Marc Patermann:
Hallo,
Daniel Spannbauer schrieb (09.01.2014 15:20 Uhr):
ein System mit opensuse 12.3 in der Filiale soll die LDAP-Daten vom LDAP-Server der Zentrale replizieren. Die Clients der Filiale hängen dann am LDAP der jeweiligen Filiale. Dazu habe ich den LDAP-Server mit syncrepl als Mirror konfiguriert. Exakt die gleiche Config tut auf Kisten mit 11.2 und 11.4 wie sie soll. Nur auf 12.3 lässt sie sich nicht starten. vielleicht mal den Loglevel hoch drehen, damit man was sieht, und dann ins Log gucken.
/usr/lib/openldap/slapd -h ldap:/// -f /etc/openldap/slapd.conf -u ldap
-g ldap -o slp=on -d 65565
ldap_url_parse_ext(ldap://localhost/)
ldap_init: trying /etc/openldap/ldap.conf
ldap_init: using /etc/openldap/ldap.conf
ldap_url_parse_ext(ldap://server.zentrale.xxx.de:389/)
ldap_url_parse_ext(ldap://ldap1:389/)
ldap_init: HOME env is /
ldap_init: trying //ldaprc
ldap_init: trying //.ldaprc
ldap_init: trying ldaprc
ldap_init: LDAPCONF env is NULL
ldap_init: LDAPRC env is NULL
52cfe47b @(#) $OpenLDAP: slapd 2.4.33 $
opensuse-buildservice@opensuse.org
ldap_pvt_gethostbyname_a: host=server, r=0
52cfe47b daemon_init: ldap:///
52cfe47b daemon_init: listen on ldap:///
52cfe47b daemon_init: 1 listeners to open...
ldap_url_parse_ext(ldap:///)
52cfe47b daemon: listener initialized ldap:///
52cfe47b daemon_init: 2 listeners opened
52cfe47b daemon: SLPReg(service:ldap://server) failed with -20, cookie = 0
ldap_create
52cfe47b slapd init: initiated server.
52cfe47b slap_sasl_init: initialized!
52cfe47b bdb_back_initialize: initialize BDB backend
52cfe47b bdb_back_initialize: Berkeley DB 4.8.30: (November 17, 2012)
52cfe47b hdb_back_initialize: initialize HDB backend
52cfe47b hdb_back_initialize: Berkeley DB 4.8.30: (November 17, 2012)
52cfe47b mdb_back_initialize: initialize MDB backend
52cfe47b mdb_back_initialize: MDB 0.9.4: (September 14, 2012)
ldap_url_parse_ext(ldap://server.zentrale.xxx.de)
ldap_url_parse_ext(ldap://server.filiale1.xxx.de)
ldap_url_parse_ext(ldap://server.filiale2.xxx.de)
ldap_url_parse_ext(ldap://server.filiale3.xxx.de)
ldap_url_parse_ext(ldap://server.filiale4.xxx.de)
52cfe47b >>> dnNormalize: <>
52cfe47b <<< dnNormalize: <>
52cfe47b >>> dnNormalize:
Daniel Spannbauer schrieb (10.01.2014 11:20 Uhr):
Am 01/10/2014 09:29 AM, schrieb Marc Patermann:
Daniel Spannbauer schrieb (09.01.2014 15:20 Uhr):
ein System mit opensuse 12.3 in der Filiale soll die LDAP-Daten vom LDAP-Server der Zentrale replizieren. Die Clients der Filiale hängen dann am LDAP der jeweiligen Filiale. Dazu habe ich den LDAP-Server mit syncrepl als Mirror konfiguriert. Exakt die gleiche Config tut auf Kisten mit 11.2 und 11.4 wie sie soll. Nur auf 12.3 lässt sie sich nicht starten. vielleicht mal den Loglevel hoch drehen, damit man was sieht, und dann ins Log gucken.
/usr/lib/openldap/slapd -h ldap:/// -f /etc/openldap/slapd.conf -u ldap -g ldap -o slp=on -d 65565 vs. 52cfe47b read_config: no serverID / URL match found. Check slapd -h arguments.
http://www.openldap.org/lists/openldap-technical/201304/msg00137.html slapd weiß nicht, welche Instanz er ist. Kann es sein, dass das das Problem ist:
ldap_pvt_gethostbyname_a: host=server, r=0 52cfe47b daemon: SLPReg(service:ldap://server) failed with -20, cookie = 0 ldap_create
Du gibt bei -h keinen Hostname an. Es wird nur "server" ermittelt und nichts, was in deiner URL-Liste steht. Marc -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 01/10/2014 12:07 PM, schrieb Marc Patermann:
Daniel Spannbauer schrieb (10.01.2014 11:20 Uhr):
Am 01/10/2014 09:29 AM, schrieb Marc Patermann:
Daniel Spannbauer schrieb (09.01.2014 15:20 Uhr):
ein System mit opensuse 12.3 in der Filiale soll die LDAP-Daten vom LDAP-Server der Zentrale replizieren. Die Clients der Filiale hängen dann am LDAP der jeweiligen Filiale. Dazu habe ich den LDAP-Server mit syncrepl als Mirror konfiguriert. Exakt die gleiche Config tut auf Kisten mit 11.2 und 11.4 wie sie soll. Nur auf 12.3 lässt sie sich nicht starten. vielleicht mal den Loglevel hoch drehen, damit man was sieht, und dann ins Log gucken.
/usr/lib/openldap/slapd -h ldap:/// -f /etc/openldap/slapd.conf -u ldap -g ldap -o slp=on -d 65565 vs. 52cfe47b read_config: no serverID / URL match found. Check slapd -h arguments.
http://www.openldap.org/lists/openldap-technical/201304/msg00137.html slapd weiß nicht, welche Instanz er ist.
Kann es sein, dass das das Problem ist:
ldap_pvt_gethostbyname_a: host=server, r=0 52cfe47b daemon: SLPReg(service:ldap://server) failed with -20, cookie = 0 ldap_create
Du gibt bei -h keinen Hostname an. Es wird nur "server" ermittelt und nichts, was in deiner URL-Liste steht.
Hmmm, der FQDN ist das Problem. Da hast du recht. Wenn ich nur den Hostnamen in der Server-ID angebe dann passt das. Stellt sich die Frage warum er hier nicht auch den FQDN abklopft... Gruß Daniel -- Daniel Spannbauer Systemadministration marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4-6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Daniel Spannbauer
-
Günther J. Niederwimmer
-
Marc Patermann