Автор Тема: FreeBSD LDAP проблема c nss_ldap  (Прочитано 20010 раз)

blex

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
FreeBSD LDAP проблема c nss_ldap
« : 15 Февраль 2013, 01:16:20 »
Здравствуйте! У меня проблема nss_ldap не пойму в чем проблема, когда в /etc/nsswitch.conf изменяю на group: files ldap то после рестарта slapd  появляется ошибка nss_ldap: could not search ldap server - server is unavailable.
Если указать:
                     group: files 
                     passwd: files ldap
                     shadow: files ldap
то нормально система видит пользователей из ldap, а когда изменяю на group: files ldap появляется опять ошибка.
# cat /etc/rc.conf
hostname="dc.nox.local"
keymap="ru.koi8-r.kbd"
ifconfig_em0=" inet 192.168.1.20 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
sshd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
slapd_enable="YES"
slapd_flags='-h "ldapi:///var/run/openldap/ldapi/ ldap://127.0.0.1/"'
slapd_sockets="/var/run/openldap/ldapi"
# cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: release/9.1.0/etc/nsswitch.conf 224765 2011-08-10 20:52:02Z dougb $
#
group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: files ldap
passwd_compat: nis
shadow: files ldap
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
# cat /usr/local/etc/nss_ldap.conf:
host 127.0.0.1
base dc=nox,dc=local
ldap_version 3
port 389
scope one
timelimit 30
bind_timelimit 30
bind_policy soft
nss_connect_policy persist
idle_timelimit 3600
nss_paged_results yes
pagesize 1000
nss_base_passwd         ou=users,dc=nox,dc=local?one
nss_base_shadow         ou=users,dc=nox,dc=local?one
nss_base_group         ou=groups,dc=nox,dc=local?one
nss_base_passwd         ou=computers,dc=nox,dc=local?one
cat /usr/local/etc/openldap/slapd.conf:

nclude         /usr/local/etc/openldap/schema/core.schema

include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args
modulepath      /usr/local/libexec/openldap
moduleload      back_bdb

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none

access to *
        by self write
        by anonymous read
        by * none

#######################################################################
# BDB database definitions
#######################################################################

database        bdb
suffix          "dc=nox,dc=local"
rootdn          "cn=root,dc=nox,dc=local"
rootpw          {SSHA}Qur3dORI1yXtdOKHWc+zRD0hjxJeixru
directory       /var/db/openldap-data
loglevel        256
index   objectClass     eq
index   cn                  eq
« Последнее редактирование: 15 Февраль 2013, 05:45:43 от egor »

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 404
    • Просмотр профиля
Re: FreeBSD LDAP проблема c nss_ldap
« Ответ #1 : 15 Февраль 2013, 06:41:21 »
Здравствуйте! Если я правильно понял, ошибка возникает при запуске slapd. Видимо, nss пытается определить, каким группам принадлежит пользователь, от имени которого запускается slapd в тот момент, когда он ещё не запущен (проблема курицы и яйца =) ). Попробуйте в файле /usr/local/etc/nss_ldap.conf (он случайно не должен называться /usr/local/etc/ldap.conf ?) применить опцию nss_initgroups_ignoreusers (её синтаксис можно посмотреть в man nss_ldap) -- укажите в ней пользователя, от имени которого запускается slapd.

Егор

blex

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: FreeBSD LDAP проблема c nss_ldap
« Ответ #2 : 15 Февраль 2013, 09:18:35 »
Цитировать
Попробуйте в файле /usr/local/etc/nss_ldap.conf (он случайно не должен называться /usr/local/etc/ldap.conf ?)

Нет на FreeBSD это nss_ldap.conf

blex

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: FreeBSD LDAP проблема c nss_ldap
« Ответ #3 : 15 Февраль 2013, 12:26:47 »
Спасибо !!! Добавил опцию nss_initgroups_ignoreusers помогло теперь нормально стартует

blex

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: FreeBSD LDAP проблема c nss_ldap
« Ответ #4 : 19 Февраль 2013, 01:55:37 »
Появилась еще проблема :( Поставил smbldap-tools и теперь машина не вводится в домен, но потом в скриптах изменил computersdn="ou=computers,${suffix}" на computersdn="ou=users,${suffix}" машина стала вводится в домен. Почему так ? и как исправить?
И еще когда создаю не перемещаемого пользователя на windows пишет что к серверу не может подключится и загружается с временным.

Вот конфиг smbldap.conf:

# General Configuration
SID="S-1-5-21-2911449762-652652553-878758398"
sambaDomain="NOX"
# LDAP Configuration
slaveLDAP="ldap://127.0.0.1/"
slavePort="389"
masterLDAP="ldap://127.0.0.1/"
slavePort="389"
ldapTLS="0"
suffix="dc=nox,dc=local"
usersdn="ou=users,${suffix}"
computersdn="ou=users,${suffix}"
groupsdn="ou=groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
scope="sub"
password_hash="CRYPT"
crypt_salt_format="%s"
# Unix Accounts Configuration
userLoginShell="/sbin/nologin"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
shadowAccount="0"
defaultMaxPasswordAge="45"
# SAMBA Configuration
#userSmbHome="\\PDC\%U"
#userProfile="\\PDC\profiles\%U"
#userHomeDrive="H:"
#userScript="logon.bat"
mailDomain=""
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="1"
slappasswd="/usr/sbin/slappasswd"

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 404
    • Просмотр профиля
Re: FreeBSD LDAP проблема c nss_ldap
« Ответ #5 : 20 Февраль 2013, 06:06:41 »
Здравствуйте! Очень путанное описание. smbldap-tools -- всего-лишь набор скриптов, его установка ни на что не влияет. Нужно бы еще smb.conf показать, чтобы можно было предметно о чём-то говорить.

Егор