openSUSE 12.3: ldap nur mit SSL/TLS möglich?
Hallo, Ich habe hier ein openSUSE 12.3 installiert. Nun wollte ich LDAP einrichten. Das klappt zwar erstmal ganz gut, aber ich kann mich nicht anmelden! Eingerichtet habe ich das ganze mit Yast2 und erstmal SSL bzw. TLS nicht aktiviert! Ich kann mit "Yast2 users" die Benutzer problemlos anlegen, aber mich dann mit diesem Nutzer nicht anmelden. In den "messages" steht dann folgendes: ---------------------------------------------------------- 2013-03-27T13:46:54.707943+01:00 dorsy sshd[8554]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=br 2013-03-27T13:46:54.846059+01:00 dorsy slapd[7693]: conn=1008 op=0 do_extended: unsupported operation "1.3.6.1.4.1.1466.20037" 2013-03-27T13:46:54.852890+01:00 dorsy sssd[be[default]]: Could not start TLS encryption. unsupported extended operation 2013-03-27T13:46:54.853840+01:00 dorsy sshd[8554]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=br 2013-03-27T13:46:54.854685+01:00 dorsy sshd[8554]: pam_sss(sshd:auth): received for user br: 9 (Authentication service cannot retrieve authentication info) 2013-03-27T13:46:56.720132+01:00 dorsy sshd[8552]: error: PAM: Authentication service cannot retrieve authentication info for br from localhost ---------------------------------------------------------- Nun habe ich aber auch die "SSSD- OfflineEncryption" nicht aktiviert! Da steht nun was von "sssd[be[default]]"! Bedeutet das , dass es ohne nicht mehr geht? Auch das LDAP-Schema "1.3.6.1.4.1.1466.20037" deutet ja auf ein fehlendes/ falsches/ beschädigtes Zertifikat hin. Aber das habe ich ja noch gar nicht eingerichtet! Ich würde gern erstmal das ganze ohne Verschlüsselung einrichten und wenn alles geht, dann kommt die Verschlüsselung dazu.... -- Mit freundlichen Grüßen Sebastian Reinhardt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Sebastian Reinhardt [27.03.2013 13:51]:
Hallo,
Ich habe hier ein openSUSE 12.3 installiert. Nun wollte ich LDAP einrichten. Das klappt zwar erstmal ganz gut, aber ich kann mich nicht anmelden!
Ja, kenne ich :-(
Eingerichtet habe ich das ganze mit Yast2 und erstmal SSL bzw. TLS nicht aktiviert! Ich kann mit "Yast2 users" die Benutzer problemlos anlegen, aber mich dann mit diesem Nutzer nicht anmelden.
Ja, kenne ich :-( Hast Du in /etc/ldap.conf den Parameter ssl auf no gesetzt? Und in /etc/sssd/sssd.conf den Parameter ldap_id_use_start_tls = False? Schlimmstenfalls kannst Du in /etc/pam.d/common* die sssd-Einträge auskommentieren. Und/oder "auth optional pam_unix2.so" (statt sufficient oder required). Aber das macht Sicherheitslöcher auf, also Vorsicht bitte. Ich habe inzwischen den sssd wieder entfernt und alles von Hand eingerichtet. Dazu gehörte auch, in /etc/nsswitch.conf passwd und group auf "files ldap" statt "files sss" zu stellen. HTH Werner -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 27.03.2013 14:06, schrieb Werner Flamme:
Sebastian Reinhardt [27.03.2013 13:51]:
Hallo,
Ich habe hier ein openSUSE 12.3 installiert. Nun wollte ich LDAP einrichten. Das klappt zwar erstmal ganz gut, aber ich kann mich nicht anmelden! Ja, kenne ich :-(
Eingerichtet habe ich das ganze mit Yast2 und erstmal SSL bzw. TLS nicht aktiviert! Ich kann mit "Yast2 users" die Benutzer problemlos anlegen, aber mich dann mit diesem Nutzer nicht anmelden. Ja, kenne ich :-(
Hast Du in /etc/ldap.conf den Parameter ssl auf no gesetzt? Hab ich.... Und in /etc/sssd/sssd.conf den Parameter ldap_id_use_start_tls = False?
Schlimmstenfalls kannst Du in /etc/pam.d/common* die sssd-Einträge auskommentieren. Und/oder "auth optional pam_unix2.so" (statt sufficient oder required). Aber das macht Sicherheitslöcher auf, also Vorsicht bitte.
Ich habe inzwischen den sssd wieder entfernt und alles von Hand eingerichtet. Dazu gehörte auch, in /etc/nsswitch.conf passwd und group auf "files ldap" statt "files sss" zu stellen. Ach, stimmt, dort muss ich noch mal nachschauen....nur hatte ich gehofft, das solche "händischen Eingriffe" nicht mehr notwendig seinen....:-(
HTH Werner
-- Mit freundlichen Grüßen Sebastian Reinhardt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 27.03.2013 14:27, schrieb Sebastian Reinhardt:
Ich habe inzwischen den sssd wieder entfernt und alles von Hand eingerichtet. Dazu gehörte auch, in /etc/nsswitch.conf passwd und group auf "files ldap" statt "files sss" zu stellen. Ach, stimmt, dort muss ich noch mal nachschauen....nur hatte ich gehofft, das solche "händischen Eingriffe" nicht mehr notwendig seinen....:-( Sind sie auch nicht, zumindest bei mir.
Was ich allerdings hinzufügen muss ist ldap_tls_reqcert = never in der datei sssd.conf Dann klappt alles prima soweit ich das in meiner Test-VM beurteilen kann Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 27.03.2013 14:58, schrieb Manfred Kreisl:
Am 27.03.2013 14:27, schrieb Sebastian Reinhardt:
Ich habe inzwischen den sssd wieder entfernt und alles von Hand eingerichtet. Dazu gehörte auch, in /etc/nsswitch.conf passwd und group auf "files ldap" statt "files sss" zu stellen. Ach, stimmt, dort muss ich noch mal nachschauen....nur hatte ich gehofft, das solche "händischen Eingriffe" nicht mehr notwendig seinen....:-( Sind sie auch nicht, zumindest bei mir.
Was ich allerdings hinzufügen muss ist ldap_tls_reqcert = never in der datei sssd.conf
Dann klappt alles prima soweit ich das in meiner Test-VM beurteilen kann
Gruß Manfred
Danke für eure Antworten. Nun hat das nicht funktioniert und ich wollte nicht zu viel Zeit rein stecken, da ich am Ende eh mit Verschlüsselung arbeiten möchte. Also habe ich "einfach" mal das LDAP mit TLS eingerichtet. Dazu gibt es eine nette Anleitung: http://www.opensuse-forum.de/openldap-einrichten-server/themen-f9/t6928-f50/ Das hat auch sehr gut funktioniert, aber ich bekomme trotzdem kein Login via ssh hin! Die Zertifikate wurden automatisch übernommen und ich kann mit dem "Yast2 ldap_browser" und aktiviertem "TLS" in den Baum einloggen und diesen betrachten. Versuche ich mich ein zu loggen, bekomme ich leider nur: ------------------------------------------------------------- 2013-03-28T20:16:28.935310+01:00 dorsy sshd[16624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=xx 2013-03-28T20:16:30.860737+01:00 dorsy sshd[16622]: error: PAM: Authentication failure for xx from localhost ------------------------------------------------------------- Ich habe nat. auch schon in die sssd.conf, nsswitch.conf und ldap.conf (beide) sowie in die slapd.conf geschaut. Dort ist die Verschlüsselung aktiviert und die "dc"'s und "ou"'s stimmen auch. Eigenartig ist, dass Yast2 neue Benutzer nicht in "ou=people,dc=meinserver,dc=o" anlegt, sondern in "dc=meinserver,dc=o". Ich habe den Nutzer ant. auch schon verschoben/ kopiert (mit LAM) und an beiden Stellen stehen gehabt. Kein Erfolg. Wo kann ich ansetzten? -- Mit freundlichen Grüßen Sebastian Reinhardt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 28.03.2013 20:30, schrieb Sebastian Reinhardt:
Danke für eure Antworten. Nun hat das nicht funktioniert und ich wollte nicht zu viel Zeit rein stecken, da ich am Ende eh mit Verschlüsselung arbeiten möchte. Also habe ich "einfach" mal das LDAP mit TLS eingerichtet. Dazu gibt es eine nette Anleitung: http://www.opensuse-forum.de/openldap-einrichten-server/themen-f9/t6928-f50/
Das hat auch sehr gut funktioniert, aber ich bekomme trotzdem kein Login via ssh hin! Die Zertifikate wurden automatisch übernommen und ich kann mit dem "Yast2 ldap_browser" und aktiviertem "TLS" in den Baum einloggen und diesen betrachten. Versuche ich mich ein zu loggen, bekomme ich leider nur: ------------------------------------------------------------- 2013-03-28T20:16:28.935310+01:00 dorsy sshd[16624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=xx 2013-03-28T20:16:30.860737+01:00 dorsy sshd[16622]: error: PAM: Authentication failure for xx from localhost ------------------------------------------------------------- Ich habe nat. auch schon in die sssd.conf, nsswitch.conf und ldap.conf (beide) sowie in die slapd.conf geschaut. Dort ist die Verschlüsselung aktiviert und die "dc"'s und "ou"'s stimmen auch. Eigenartig ist, dass Yast2 neue Benutzer nicht in "ou=people,dc=meinserver,dc=o" anlegt, sondern in "dc=meinserver,dc=o". Ich habe den Nutzer ant. auch schon verschoben/ kopiert (mit LAM) und an beiden Stellen stehen gehabt. Kein Erfolg.
Wo kann ich ansetzten?
Nachdem ich nun auf meinem Testrechner, bis auf oben genanntes Problem, den LDAP-Server mit TLS erfolgreich aufgesetzt habe, versuche ich nun LDAP auf dem "richtigen" Server zu konfigurieren. Leider ohne Erfolg! Wenn ich mit Yast" versuche den LDAP-Server einzurichten, dann erhalte ich nur eine Fehlermeldung, das es fehlgeschlagen ist (beim abschließenden Speichern). Die angebotenen Details lassen sich in diesem Yast2- Dialogfenster aber nicht aufrufen. In "messages" erhalte ich folgendes: -------------------------------------------------------------------- Apr 15 17:29:22 lmvserver.lmv slapadd[8054]: DIGEST-MD5 common mech free Apr 15 17:29:23 lmvserver.lmv systemd[1]: Starting LSB: OpenLDAP Server (slapd)... Apr 15 17:29:23 lmvserver.lmv slapd[8087]: @(#) $OpenLDAP: slapd 2.4.33 $ Apr 15 17:29:23 lmvserver.lmv slapd[8088]: unable to open pid file "/var/run/slapd/slapd.pid": 13 (Permission denied) Apr 15 17:29:23 lmvserver.lmv slapd[8088]: DIGEST-MD5 common mech free Apr 15 17:29:23 lmvserver.lmv slapd[8088]: slapd stopped. Apr 15 17:29:23 lmvserver.lmv slapd[8088]: connections_destroy: nothing to destroy. Apr 15 17:29:23 lmvserver.lmv startproc[8086]: startproc: exit status of parent of /usr/lib/openldap/slapd: 1 Apr 15 17:29:23 lmvserver.lmv ldap[8066]: Starting ldap-server..failed Apr 15 17:29:23 lmvserver.lmv systemd[1]: ldap.service: control process exited, code=exited status=7 Apr 15 17:29:23 lmvserver.lmv systemd[1]: Failed to start LSB: OpenLDAP Server (slapd). Apr 15 17:29:23 lmvserver.lmv systemd[1]: Unit ldap.service entered failed state -------------------------------------------------------------------- Das Verzeichnis "/var/run/slapd/" exsitiert und es ist nur folgendes enthalten: -------------------------------------------------------------------- lmvserver:/var/lib/ldap # l insgesamt 16 drwx------ 2 ldap ldap 4096 15. Apr 17:29 ./ drwxr-xr-x 58 root root 4096 15. Apr 13:31 ../ -rw-r--r-- 1 ldap ldap 148 15. Apr 17:29 DB_CONFIG -rw-r--r-- 1 ldap ldap 845 27. Jan 03:11 DB_CONFIG.example lmvserver:/var/lib/ldap # cat DB_CONFIG set_cachesize 0 15000000 1 set_lg_regionmax 262144 set_lg_bsize 2097152 set_flags DB_LOG_AUTOREMOVE set_lk_max_locks 30000 set_lk_max_objects 30000 lmvserver:/var/lib/ldap # -------------------------------------------------------------------- Ich habe auch schon den Bug im Yast gefunden: https://bugzilla.novell.com/show_bug.cgi?id=799660 Die Meldung kommt bei mir auch beim Starten von "Yast2 ldap-server" auf beiden Rechnern, aber auf dem "Probierrechner" geht es.....zum Verzweifeln! -- Mit freundlichen Grüßen Sebastian Reinhardt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 15.04.2013 17:56, schrieb Sebastian Reinhardt:
Am 28.03.2013 20:30, schrieb Sebastian Reinhardt:
Danke für eure Antworten. Nun hat das nicht funktioniert und ich wollte nicht zu viel Zeit rein stecken, da ich am Ende eh mit Verschlüsselung arbeiten möchte. Also habe ich "einfach" mal das LDAP mit TLS eingerichtet. Dazu gibt es eine nette Anleitung: http://www.opensuse-forum.de/openldap-einrichten-server/themen-f9/t6928-f50/
Das hat auch sehr gut funktioniert, aber ich bekomme trotzdem kein Login via ssh hin! Die Zertifikate wurden automatisch übernommen und ich kann mit dem "Yast2 ldap_browser" und aktiviertem "TLS" in den Baum einloggen und diesen betrachten. Versuche ich mich ein zu loggen, bekomme ich leider nur: ------------------------------------------------------------- 2013-03-28T20:16:28.935310+01:00 dorsy sshd[16624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=xx 2013-03-28T20:16:30.860737+01:00 dorsy sshd[16622]: error: PAM: Authentication failure for xx from localhost ------------------------------------------------------------- Ich habe nat. auch schon in die sssd.conf, nsswitch.conf und ldap.conf (beide) sowie in die slapd.conf geschaut. Dort ist die Verschlüsselung aktiviert und die "dc"'s und "ou"'s stimmen auch. Eigenartig ist, dass Yast2 neue Benutzer nicht in "ou=people,dc=meinserver,dc=o" anlegt, sondern in "dc=meinserver,dc=o". Ich habe den Nutzer ant. auch schon verschoben/ kopiert (mit LAM) und an beiden Stellen stehen gehabt. Kein Erfolg.
Wo kann ich ansetzten?
Nachdem ich nun auf meinem Testrechner, bis auf oben genanntes Problem, den LDAP-Server mit TLS erfolgreich aufgesetzt habe, versuche ich nun LDAP auf dem "richtigen" Server zu konfigurieren. Leider ohne Erfolg! Wenn ich mit Yast" versuche den LDAP-Server einzurichten, dann erhalte ich nur eine Fehlermeldung, das es fehlgeschlagen ist (beim abschließenden Speichern). Die angebotenen Details lassen sich in diesem Yast2- Dialogfenster aber nicht aufrufen. In "messages" erhalte ich folgendes: -------------------------------------------------------------------- Apr 15 17:29:22 lmvserver.lmv slapadd[8054]: DIGEST-MD5 common mech free Apr 15 17:29:23 lmvserver.lmv systemd[1]: Starting LSB: OpenLDAP Server (slapd)... Apr 15 17:29:23 lmvserver.lmv slapd[8087]: @(#) $OpenLDAP: slapd 2.4.33 $ Apr 15 17:29:23 lmvserver.lmv slapd[8088]: unable to open pid file "/var/run/slapd/slapd.pid": 13 (Permission denied) Apr 15 17:29:23 lmvserver.lmv slapd[8088]: DIGEST-MD5 common mech free Apr 15 17:29:23 lmvserver.lmv slapd[8088]: slapd stopped. Apr 15 17:29:23 lmvserver.lmv slapd[8088]: connections_destroy: nothing to destroy. Apr 15 17:29:23 lmvserver.lmv startproc[8086]: startproc: exit status of parent of /usr/lib/openldap/slapd: 1 Apr 15 17:29:23 lmvserver.lmv ldap[8066]: Starting ldap-server..failed Apr 15 17:29:23 lmvserver.lmv systemd[1]: ldap.service: control process exited, code=exited status=7 Apr 15 17:29:23 lmvserver.lmv systemd[1]: Failed to start LSB: OpenLDAP Server (slapd). Apr 15 17:29:23 lmvserver.lmv systemd[1]: Unit ldap.service entered failed state -------------------------------------------------------------------- Das Verzeichnis "/var/run/slapd/" exsitiert und es ist nur folgendes enthalten: -------------------------------------------------------------------- lmvserver:/var/lib/ldap # l insgesamt 16 drwx------ 2 ldap ldap 4096 15. Apr 17:29 ./ drwxr-xr-x 58 root root 4096 15. Apr 13:31 ../ -rw-r--r-- 1 ldap ldap 148 15. Apr 17:29 DB_CONFIG -rw-r--r-- 1 ldap ldap 845 27. Jan 03:11 DB_CONFIG.example lmvserver:/var/lib/ldap # cat DB_CONFIG set_cachesize 0 15000000 1 set_lg_regionmax 262144 set_lg_bsize 2097152 set_flags DB_LOG_AUTOREMOVE set_lk_max_locks 30000 set_lk_max_objects 30000 lmvserver:/var/lib/ldap # --------------------------------------------------------------------
Ich habe auch schon den Bug im Yast gefunden: https://bugzilla.novell.com/show_bug.cgi?id=799660 Die Meldung kommt bei mir auch beim Starten von "Yast2 ldap-server" auf beiden Rechnern, aber auf dem "Probierrechner" geht es.....zum Verzweifeln!
Ok, hab es gefunden: das Verzeichnis "var/run/slapd" gehörte dem Benutzer/Gruppe "root:root". Nach dem Ändern in "ldap:ldap" geht es. Warum das allerdings nicht richtig gesetzt war, keine Ahnung (hab nichts dran gemacht)......Ich habe das Verzeichnis einfach gelöscht, die Gruppe "ldap" und Nutzer "ldap" gelöscht, sowie "openldap"- Server und -Clientpakete "zwangsweise" neu geupdatet / installiert. Danach waren Nutzer und Gruppe "ldap" wieder da und ein erneutes Setup des LDAP-Servers mit Yast hat auf Anhieb funktioniert....Warum? Keine Ahnung! -- Mit freundlichen Grüßen Sebastian Reinhardt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 15.04.2013 23:33, schrieb Sebastian Reinhardt:
Am 15.04.2013 17:56, schrieb Sebastian Reinhardt:
Am 28.03.2013 20:30, schrieb Sebastian Reinhardt:
Danke für eure Antworten. Nun hat das nicht funktioniert und ich wollte nicht zu viel Zeit rein stecken, da ich am Ende eh mit Verschlüsselung arbeiten möchte. Also habe ich "einfach" mal das LDAP mit TLS eingerichtet. Dazu gibt es eine nette Anleitung: http://www.opensuse-forum.de/openldap-einrichten-server/themen-f9/t6928-f50/
Das hat auch sehr gut funktioniert, aber ich bekomme trotzdem kein Login via ssh hin! Die Zertifikate wurden automatisch übernommen und ich kann mit dem "Yast2 ldap_browser" und aktiviertem "TLS" in den Baum einloggen und diesen betrachten. Versuche ich mich ein zu loggen, bekomme ich leider nur: ------------------------------------------------------------- 2013-03-28T20:16:28.935310+01:00 dorsy sshd[16624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=xx 2013-03-28T20:16:30.860737+01:00 dorsy sshd[16622]: error: PAM: Authentication failure for xx from localhost ------------------------------------------------------------- Ich habe nat. auch schon in die sssd.conf, nsswitch.conf und ldap.conf (beide) sowie in die slapd.conf geschaut. Dort ist die Verschlüsselung aktiviert und die "dc"'s und "ou"'s stimmen auch. Eigenartig ist, dass Yast2 neue Benutzer nicht in "ou=people,dc=meinserver,dc=o" anlegt, sondern in "dc=meinserver,dc=o". Ich habe den Nutzer ant. auch schon verschoben/ kopiert (mit LAM) und an beiden Stellen stehen gehabt. Kein Erfolg.
Wo kann ich ansetzten?
Nachdem ich nun auf meinem Testrechner, bis auf oben genanntes Problem, den LDAP-Server mit TLS erfolgreich aufgesetzt habe, versuche ich nun LDAP auf dem "richtigen" Server zu konfigurieren. Leider ohne Erfolg! Wenn ich mit Yast" versuche den LDAP-Server einzurichten, dann erhalte ich nur eine Fehlermeldung, das es fehlgeschlagen ist (beim abschließenden Speichern). Die angebotenen Details lassen sich in diesem Yast2- Dialogfenster aber nicht aufrufen. In "messages" erhalte ich folgendes: -------------------------------------------------------------------- Apr 15 17:29:22 lmvserver.lmv slapadd[8054]: DIGEST-MD5 common mech free Apr 15 17:29:23 lmvserver.lmv systemd[1]: Starting LSB: OpenLDAP Server (slapd)... Apr 15 17:29:23 lmvserver.lmv slapd[8087]: @(#) $OpenLDAP: slapd 2.4.33 $ Apr 15 17:29:23 lmvserver.lmv slapd[8088]: unable to open pid file "/var/run/slapd/slapd.pid": 13 (Permission denied) Apr 15 17:29:23 lmvserver.lmv slapd[8088]: DIGEST-MD5 common mech free Apr 15 17:29:23 lmvserver.lmv slapd[8088]: slapd stopped. Apr 15 17:29:23 lmvserver.lmv slapd[8088]: connections_destroy: nothing to destroy. Apr 15 17:29:23 lmvserver.lmv startproc[8086]: startproc: exit status of parent of /usr/lib/openldap/slapd: 1 Apr 15 17:29:23 lmvserver.lmv ldap[8066]: Starting ldap-server..failed Apr 15 17:29:23 lmvserver.lmv systemd[1]: ldap.service: control process exited, code=exited status=7 Apr 15 17:29:23 lmvserver.lmv systemd[1]: Failed to start LSB: OpenLDAP Server (slapd). Apr 15 17:29:23 lmvserver.lmv systemd[1]: Unit ldap.service entered failed state -------------------------------------------------------------------- Das Verzeichnis "/var/run/slapd/" exsitiert und es ist nur folgendes enthalten: -------------------------------------------------------------------- lmvserver:/var/lib/ldap # l insgesamt 16 drwx------ 2 ldap ldap 4096 15. Apr 17:29 ./ drwxr-xr-x 58 root root 4096 15. Apr 13:31 ../ -rw-r--r-- 1 ldap ldap 148 15. Apr 17:29 DB_CONFIG -rw-r--r-- 1 ldap ldap 845 27. Jan 03:11 DB_CONFIG.example lmvserver:/var/lib/ldap # cat DB_CONFIG set_cachesize 0 15000000 1 set_lg_regionmax 262144 set_lg_bsize 2097152 set_flags DB_LOG_AUTOREMOVE set_lk_max_locks 30000 set_lk_max_objects 30000 lmvserver:/var/lib/ldap # --------------------------------------------------------------------
Ich habe auch schon den Bug im Yast gefunden: https://bugzilla.novell.com/show_bug.cgi?id=799660 Die Meldung kommt bei mir auch beim Starten von "Yast2 ldap-server" auf beiden Rechnern, aber auf dem "Probierrechner" geht es.....zum Verzweifeln!
Ok, hab es gefunden: das Verzeichnis "var/run/slapd" gehörte dem Benutzer/Gruppe "root:root". Nach dem Ändern in "ldap:ldap" geht es. Warum das allerdings nicht richtig gesetzt war, keine Ahnung (hab nichts dran gemacht)......Ich habe das Verzeichnis einfach gelöscht, die Gruppe "ldap" und Nutzer "ldap" gelöscht, sowie "openldap"- Server und -Clientpakete "zwangsweise" neu geupdatet / installiert. Danach waren Nutzer und Gruppe "ldap" wieder da und ein erneutes Setup des LDAP-Servers mit Yast hat auf Anhieb funktioniert....Warum? Keine Ahnung!
Da ich nun das ganze erfolgreich mit TLS aufgesetzt habe und es funktioniert, können wir das hier schliessen! Tip für alle, die das gleiche machen wollen: Haltet euch an die Anleitung aus dem OpenSUSE Forum und genaues Augenmerk auf die Übereinstimmung von "Common name" und Hostname des Servers richten! Außerdem sollte man den Server- LDAP- Client auch über den Hostnamen des Servers und nicht über "localhost" (Voreinstellung in YaST2 ldap) zugreifen lassen (Hostname in Zertifikat ist nicht "localhost"!). Sonst hat der Server selbst keinen Zugriff aufs LDAP! -- Mit freundlichen Grüßen Sebastian Reinhardt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Manfred Kreisl -
Sebastian Reinhardt -
Werner Flamme