Hi Thomas, Am Fr 3.August 2007 09:19:01 schrieb Thomas Pries:
Was spricht dagegen mit dem file in /etc/openldap/slapd.conf.v3 produktiv zu arbeiten?
Nein, im Prinzip nicht, ich wollte halt nur so weit wie möglich den "neuen Weg" nutzen.
dazu kann man durchaus auch eine andere Meinung haben. mir hat die slapd.conf gefallen ... aber darüber haben sicherlich schon ein paar Entwickler umfassend diskutiert. Ein Configfile u.U. mit der Möglichkeit weitere zu includieren reicht imho völlig aus.
Das eigentliche Problem ist, das der slapd die Konfiguration unter slapd.d nicht will (bzw diese nicht korrekt ist, obwohl 'spaldtest -F /etc/openldap/slapd.d' succeeded sagt).
beschwert er sich denn irgendwo wenn du ihn einfach so von hand startest?
Nein, es fehlen ihm halt nur alle TLS-Einstellungen in slapd.d. Die werden von "slapd -f ... -F ...." einfach nicht nach slapd.d konvertiert und wenn ich ihn ohne -f starte (d.h. per rcldap start) fehlt ihm halt das TLS-Zeug.
ldap:~# /usr/lib/openldap/slapd -d -1 -f /etc/openldap/slapd.conf.v3 -F /etc/openldap/slapd.d/ ... line 93 (TLSCertificateFile /etc/openldap/certs/newcert.pem) line 96 (TLSCertificateKeyFile /etc/openldap/certs/ldapkey.pem) line 99(TLSCACertificateFile /etc/openldap/certs/cacert.pem) line 102 (TLSVerifyClient demand) ... oc_check_allowed type "olcTLSCACertificateFile" oc_check_allowed type "olcTLSCertificateFile" oc_check_allowed type "olcTLSCertificateKeyFile" oc_check_allowed type "olcTLSCRLCheck" oc_check_allowed type "olcTLSVerifyClient" ...
Das ist alles im Zusammenhang mit TLS.
Warum er sie nicht konvertiert ist mir nicht klar, die einzigste verdächtige Stelle in der Debug-Ausgabe ist:
oc_check_allowed type "modifyTimestamp" ldif_back_add: err: 68 text: send_ldap_result: conn=-1 op=0 p=0 send_ldap_result: err=68 matched="" text="" config_build_entry: "cn=include{1}" ldif_back_add: "cn=include{1},cn=config"
so etwas kommt ein paar mal vor.
dazu müsste man jetzt den Code bemühen - insbesondere was er hier mit error 68 meint - und ob es sich bei dieser debug ausgabe überhaupt um einen Fehler handelt, aber wenn es einen Workaround gibt würde ich mir das gleiche dann nochmal in der 10.3* anschauen oder wirklich den code an der Ecke untersuchen, das läuft dann aber unter 'Sportlicher Ehrgeiz' und nicht mehr unter Problemlösung. *) alternativ könnte man das configfile ja auch nochmal auf einer anderen distri wie debian oder ubuntu testen, mitunter differiert auch mal ein paket durch ein geändertes spec file oder eine lib. Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org