Openldap nach Upgrade
Hei, liebe Gemeinde, ich bin gerade dabei, meinen Server bei Hetzner neu aufzusetzen. Derzeit scheitere ich an Openldap, der über cn=config konfiguriert werden soll. Beim Start mit der alten Konfiguration scheitert der Server. Die erste Hürde: Mai 19 14:09:55 mail slapd[6733]: UNKNOWN attributeDescription "OLCDBCACHESIZE" inserted. Mai 19 14:09:55 mail slapd[6733]: UNKNOWN attributeDescription "OLCDBCHECKPOINT" inserted. Mai 19 14:09:55 mail slapd[6733]: UNKNOWN attributeDescription "OLCDBIDLCACHESIZE" inserted. Mai 19 14:09:55 mail slapd[6733]: UNKNOWN attributeDescription "OLCDBINDEX" inserted. Mai 19 14:09:55 mail slapd[6733]: config error processing olcDatabase={1}hdb,cn=config: Wenn ich alles Gelesene richtig verstanden hat, kennt der Server hdb nicht, da durch den Wechsel zum modularen Aufbau das Modul erst noch geladen werden muss, dies aber nicht geschieht. Was ist zu tun? Eine Modifikation von cn=module{0}.ldif scheitert schon daran, dass die Datei nicht existiert. Fragende Grüße Hanns -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hei, Am 19.05.19 um 14:19 schrieb Hanns Mattes:
Hei, liebe Gemeinde,
ich bin gerade dabei, meinen Server bei Hetzner neu aufzusetzen. [...]
Das Ding läuft und synchronisiert, nachdem ich die fehlenden Einträge für die diversen Module händisch an die cn=config.ldif angefügt habe. Holzhammer-Methode, aber geht erst einmal. Hanns -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hanns Mattes
Hei,
Am 19.05.19 um 14:19 schrieb Hanns Mattes:
Hei, liebe Gemeinde,
ich bin gerade dabei, meinen Server bei Hetzner neu aufzusetzen. [...]
Das Ding läuft und synchronisiert, nachdem ich die fehlenden Einträge für die diversen Module händisch an die cn=config.ldif angefügt habe. Holzhammer-Methode, aber geht erst einmal.
Sei damit bitte vosichtig. Sieh dir die ersten Zeilen in cn=config.ldif an. Die Checksum wird nur modifiziert, wenn ldap Operationen die Werte verändern. Andernfalls hast du ein inkonsistentes System. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hei, Dieter,
"Dieter Kluenter"
Hanns Mattes
writes: Hei,
Am 19.05.19 um 14:19 schrieb Hanns Mattes:
Hei, liebe Gemeinde,
ich bin gerade dabei, meinen Server bei Hetzner neu aufzusetzen. [...]
Das Ding läuft und synchronisiert, nachdem ich die fehlenden Einträge für die diversen Module händisch an die cn=config.ldif angefügt habe. Holzhammer-Methode, aber geht erst einmal.
Sei damit bitte vosichtig. Sieh dir die ersten Zeilen in cn=config.ldif an. Die Checksum wird nur modifiziert, wenn ldap Operationen die Werte verändern. Andernfalls hast du ein inkonsistentes System.
Noch interessanter: Da gibt's keine Checksum. Wird die hergestellt, wenn ich zum Beispiel über ldapmodify das Loglevel oder so etwas ändere? Dank und fragende Grüße -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hanns Mattes
Hei, Dieter,
"Dieter Kluenter"
schrieb: Hanns Mattes
writes: Hei,
Am 19.05.19 um 14:19 schrieb Hanns Mattes:
Hei, liebe Gemeinde,
ich bin gerade dabei, meinen Server bei Hetzner neu aufzusetzen. [...]
Das Ding läuft und synchronisiert, nachdem ich die fehlenden Einträge für die diversen Module händisch an die cn=config.ldif angefügt habe. Holzhammer-Methode, aber geht erst einmal.
Sei damit bitte vosichtig. Sieh dir die ersten Zeilen in cn=config.ldif an. Die Checksum wird nur modifiziert, wenn ldap Operationen die Werte verändern. Andernfalls hast du ein inkonsistentes System.
Noch interessanter: Da gibt's keine Checksum. Wird die hergestellt, wenn ich zum Beispiel über ldapmodify das Loglevel oder so etwas ändere?
Seltsam, bei mir sieht das z.B. so aus: # AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify. # CRC32 0f30d8dd dn: cn=config # AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify. # CRC32 4fec2b6d dn: cn=schema usw. jede *.ldif Datei hat eine Prüfsumme. Wenn diese Header nicht vorhanden sind, ist das config backend nicht ordnungsgemäß erstellt worden. Richtig wäre, dies mittels slapadd oder slaptest, oder auch ldapmodify herzustellen. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hei, Dieter, Am 20.05.19 um 16:26 schrieb Dieter Kluenter:
[manipulierte ldif-Dateien] Seltsam, bei mir sieht das z.B. so aus:
# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify. # CRC32 0f30d8dd dn: cn=config
# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify. # CRC32 4fec2b6d dn: cn=schema
usw. jede *.ldif Datei hat eine Prüfsumme.
Wenn diese Header nicht vorhanden sind, ist das config backend nicht ordnungsgemäß erstellt worden. Richtig wäre, dies mittels slapadd oder slaptest, oder auch ldapmodify herzustellen.
Das ist mit Sicherheit Folge eines manuellen Eingriffs. Fragt sich, wei man es heilt: Erste Idee: Die loadmodule-Anweisungen in einer eigenen module-ldif unterhalb von cn=config unterbringen. Aufgrund des Alters der Installation verfüge ich über keinen entsprechenden Eintrag, müsste ich also eine ldif-Datei für den Import basteln (oder hat jemand eine :-). Falls deren Import klappt, müsste ich die jetzige cn=config.ldif durch eine ersetzen, die tatsächlich bei gleichem Inhalt valide ist. Könnte das klappen, oder muss ich in jedem Fall von Grund auf neu beginnen? Fragende Grüße Hanns -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Hanns,
Hanns Mattes
Hei, Dieter,
Am 20.05.19 um 16:26 schrieb Dieter Kluenter:
[manipulierte ldif-Dateien] Seltsam, bei mir sieht das z.B. so aus:
# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify. # CRC32 0f30d8dd dn: cn=config
# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify. # CRC32 4fec2b6d dn: cn=schema
usw. jede *.ldif Datei hat eine Prüfsumme.
Wenn diese Header nicht vorhanden sind, ist das config backend nicht ordnungsgemäß erstellt worden. Richtig wäre, dies mittels slapadd oder slaptest, oder auch ldapmodify herzustellen.
Das ist mit Sicherheit Folge eines manuellen Eingriffs. Fragt sich, wei man es heilt:
Erste Idee: Die loadmodule-Anweisungen in einer eigenen module-ldif unterhalb von cn=config unterbringen. Aufgrund des Alters der Installation verfüge ich über keinen entsprechenden Eintrag, müsste ich also eine ldif-Datei für den Import basteln (oder hat jemand eine :-).
Falls deren Import klappt, müsste ich die jetzige cn=config.ldif durch eine ersetzen, die tatsächlich bei gleichem Inhalt valide ist.
Könnte das klappen, oder muss ich in jedem Fall von Grund auf neu beginnen?
Neue Module werden dem Objekt cn=module{0} hinzugefügt, meine Strutur sieht folgendermaßen aus: cn=config cn=schema cn=schema.ldif olcDatabase={0}config.ldif olcDatabase={-1}frontend.ldif olcDatabase={1}mdb olcDatabase={1}mdb.ldif olcDatabase={2}mdb.ldif olcDatabase={3}monitor.ldif Es könnte klappen, aber mein Rat wäre, aus den vorhandenen Informationen eine slapd.conf zu schreiben, diese mit slaptest prüfen und in config wandeln lassen. Da slaptest als root ausgeführt werden muss, chown ldap.ldap /var/lib/ldap -R und chown ldap.ldap /etc/openldap/slapd.d -R Viel Erfolg! -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hei, DIeter, hei, Liste Am 20.05.19 um 20:06 schrieb Dieter Kluenter:
Hallo Hanns,
Hanns Mattes
writes: Hei, Dieter,
Am 20.05.19 um 16:26 schrieb Dieter Kluenter:
[manipulierte ldif-Dateien] Erste Idee: Die loadmodule-Anweisungen in einer eigenen module-ldif unterhalb von cn=config unterbringen. Aufgrund des Alters der Installation verfüge ich über keinen entsprechenden Eintrag, müsste ich also eine ldif-Datei für den Import basteln (oder hat jemand eine :-).
Falls deren Import klappt, müsste ich die jetzige cn=config.ldif durch eine ersetzen, die tatsächlich bei gleichem Inhalt valide ist.
Könnte das klappen, oder muss ich in jedem Fall von Grund auf neu beginnen?
Neue Module werden dem Objekt cn=module{0} hinzugefügt, meine Strutur sieht folgendermaßen aus:
cn=config cn=schema cn=schema.ldif olcDatabase={0}config.ldif olcDatabase={-1}frontend.ldif olcDatabase={1}mdb olcDatabase={1}mdb.ldif olcDatabase={2}mdb.ldif olcDatabase={3}monitor.ldif
Es könnte klappen, aber mein Rat wäre, aus den vorhandenen Informationen eine slapd.conf zu schreiben, diese mit slaptest prüfen und in config wandeln lassen. Da slaptest als root ausgeführt werden muss, chown ldap.ldap /var/lib/ldap -R und chown ldap.ldap /etc/openldap/slapd.d -R
Also: Es klappt, aber ich werde trotzdem die saubere Lösung wählen, sobald ich etwas Luft habe. Tatsächlich lässt sich der "Betrug" an openldap kaschieren bis hin zum korrigieren der Prüfsumme, aber das ist alles quick'n'dirty. Danke für die Hilfe Hanns -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hanns Mattes
Hei, liebe Gemeinde,
ich bin gerade dabei, meinen Server bei Hetzner neu aufzusetzen.
Derzeit scheitere ich an Openldap, der über cn=config konfiguriert werden soll.
Da bist du bei mir an der richtigen Stelle :-)
Beim Start mit der alten Konfiguration scheitert der Server. Die erste Hürde:
Der Server scheitert nur an der Konfiguration in /etc/sysconfig.
Mai 19 14:09:55 mail slapd[6733]: UNKNOWN attributeDescription "OLCDBCACHESIZE" inserted. Mai 19 14:09:55 mail slapd[6733]: UNKNOWN attributeDescription "OLCDBCHECKPOINT" inserted. Mai 19 14:09:55 mail slapd[6733]: UNKNOWN attributeDescription "OLCDBIDLCACHESIZE" inserted. Mai 19 14:09:55 mail slapd[6733]: UNKNOWN attributeDescription "OLCDBINDEX" inserted. Mai 19 14:09:55 mail slapd[6733]: config error processing olcDatabase={1}hdb,cn=config:
Wenn ich alles Gelesene richtig verstanden hat, kennt der Server hdb nicht, da durch den Wechsel zum modularen Aufbau das Modul erst noch geladen werden muss, dies aber nicht geschieht.
Was ist zu tun? Eine Modifikation von cn=module{0}.ldif scheitert schon daran, dass die Datei nicht existiert.
Einige grundsätzliche Dinge: back-hdb und back-bdb wird eingestellt, es gibt nur noch back-mdb. Wenn du eine alte slapd.conf hast, kannst du diese verwenden, daraus kann das cn=config erstellt werden. 1. Konfiguration mit slapd.conf: Nur 'database mdb' statt 'database hdb' eintragen. Einige Konfigurationsparameter aus back-hdb und back-bdb fallen weg, siehe dazu man slapd-mdb(5). In etc/sysconfig/openldap musst du gegenengfalls die Enstellung ändern. Beachte bitte, dass slapd nur mit dem Parameter -f gestartet werden darf, nicht mit -F. An den Pfaden hat sich gegebenenfalls einiges geändert. slapd liegt entweder in /usr/sbin oder in /usr/lib64/openldap das solltest du prüfen. Ich habe mir angewöhnt, als erste database config anzulegen, z.B. globale Konfigurationsparameter, include, TLS etc. database config database mdb siehe dazu man slapd-config(5) 2. Konfiguration mit cn=config vorausgesetzt eine database config ist in slapd.conf konfiguriert: starte als root manuell slapdtest \ -f /etc/openldap/slapd.conf \ -F /etc/openldap/slapd.d \ -u ldap -g ldap \ -h "ldap:/// ldapi:///" \ -d 256 Da treten dann wahrscheinlich Error auf, sieh die diese Fehlermeldungen an, wahrscheinlich sind das Berechtigungsprobleme, das ist alles lösbar. Ich habe noch eine alte Anleitung online: https://blog.sys4.de/openldap-bootstrapping-de.html -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Dieter Kluenter
-
Hanns Mattes