[Comm] OpenLDAP(slapd.conf) :: reload

[Comm] OpenLDAP(slapd.conf) :: reload

[ishevchenko]

Hello community,
 Продолжаю настраивать LDAP, точнее связку PDC на Samba и LDAP,
>>   Можете что-нибудь подсказать?
>Поставьте openldap-* из backports к М2.4 и запустите его с дефолтным
>конфигом. Затем перед каждым изменение рабочий конфиг сохранять,
>думать, изменять, думать почему не работает...
     Так и сделал(Может мало думал?). В итоге имею две проблемы:
     как и раньше нет логов, только в консоли ругается
     start-stop-daemon:
Checking slapd configuration:   [ DONE ]
Adjusting enviroment for slapd: [ DONE ]
Starting slapd service:         [FAILED]
     , хотя как и советовали
>ну, неплохо было в конфиг прописать
>loglevel 64 - как раз покажет анализ конфига.
>далее, по дефолту логи валятся в LOCAL4 у syslog'а. кажется для этого надо
>подредактировать syslog.conf и перенаправить куда надо.
    поменял loglevel. На -1, так как в конфиге написано, что это full.
    Также прописал в syslog.conf local4.* /var/log/ldap.
    А логов хочется, так как не получается исппользовать SSL
    сертификат. Я генерю его с помощью
    /var/lib/ssl/misc/CA.pl -newcert
    переименовываю в slapd.pem и сую в /etc/openldap/ssl.
    Далее, LDAP грузится нормально, пока я не раскомментирую строки в
    разделе TLS options:
TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCertificateFile /etc/openldap/ssl/slapd.pem
TLSCertificateKeyFile /etc/openldap/ssl/slapd.pem

    Где копать?
-- 
Best regards,
 ishevchenko                          mailto:ishevchenko@emdev.ru

Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[ishevchenko]

[-- Attachment #1: Type: text/plain, Size: 1619 bytes --]

Господа, неужели никто не может подкинуть какой-нибудь мыслишки?

===8<==============Original message text===============
Hello community,
 Продолжаю настраивать LDAP, точнее связку PDC на Samba и LDAP,
>>   Можете что-нибудь подсказать?
>Поставьте openldap-* из backports к М2.4 и запустите его с дефолтным
>конфигом. Затем перед каждым изменение рабочий конфиг сохранять,
>думать, изменять, думать почему не работает...
     Так и сделал(Может мало думал?). В итоге имею две проблемы:
     как и раньше нет логов, только в консоли ругается
     start-stop-daemon:
Checking slapd configuration:   [ DONE ]
Adjusting enviroment for slapd: [ DONE ]
Starting slapd service:         [FAILED]
     , хотя как и советовали
>ну, неплохо было в конфиг прописать
>loglevel 64 - как раз покажет анализ конфига.
>далее, по дефолту логи валятся в LOCAL4 у syslog'а. кажется для этого надо
>подредактировать syslog.conf и перенаправить куда надо.
    поменял loglevel. На -1, так как в конфиге написано, что это full.
    Также прописал в syslog.conf local4.* /var/log/ldap.
    А логов хочется, так как не получается исппользовать SSL
    сертификат. Я генерю его с помощью
    /var/lib/ssl/misc/CA.pl -newcert
    переименовываю в slapd.pem и сую в /etc/openldap/ssl.
    Далее, LDAP грузится нормально, пока я не раскомментирую строки в
    разделе TLS options:
TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCertificateFile /etc/openldap/ssl/slapd.pem
TLSCertificateKeyFile /etc/openldap/ssl/slapd.pem

    Где копать?
-- 
Best regards,
 ishevchenko                          mailto:ishevchenko@emdev.ru

[-- Attachment #2: Part.txt --]
[-- Type: TEXT/PLAIN, Size: 145 bytes --]

_______________________________________________
Community mailing list
Community@altlinux.ru
https://lists.altlinux.ru/mailman/listinfo/community

Re: Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[Nikolay A. Fetisov]

On Friday 29 July 2005 16:37, ishevchenko wrote:
> Господа, неужели никто не может подкинуть какой-нибудь
> мыслишки?
В праздничный день, да ещё в пятницу вечером - и мысли... 
Откуда?

> ........
>     Далее, LDAP грузится нормально, пока я не раскомментирую
> строки в разделе TLS options:

Если до задействования TLS slapd запускается, а после - нет, то, 
наверное, не может прочитать сертификат. Стоит проверить, 
скопировался ли сертификат в /var/lib/ldap/etc/openldap/ssl/ и 
права на него, если он там лежит.

По отладке LDAP: можно почитать man slapd на предмет опции -d и 
посмотреть в /etc/sysconfig/ldap на параметр SLAPD_OPTIONS.


-- 
С уважением,
Николай Фетисов

Re[2]: Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[ishevchenko]

Hello Nikolay,

Friday, July 29, 2005, 5:12:43 PM, you wrote:

> On Friday 29 July 2005 16:37, ishevchenko wrote:
>> Господа, неужели никто не может подкинуть какой-нибудь
>> мыслишки?
> В праздничный день, да ещё в пятницу вечером - и мысли... 
> Откуда?

>> ........
>>     Далее, LDAP грузится нормально, пока я не раскомментирую
>> строки в разделе TLS options:

> Если до задействования TLS slapd запускается, а после - нет, то, 
> наверное, не может прочитать сертификат. Стоит проверить, 
> скопировался ли сертификат в /var/lib/ldap/etc/openldap/ssl/ и 
> права на него, если он там лежит.
 Сертификат есть, права 644. root:root.
> По отладке LDAP: можно почитать man slapd на предмет опции -d и 
> посмотреть в /etc/sysconfig/ldap на параметр SLAPD_OPTIONS.
SLAPD_OPTIONS="", то есть debuglevel -1 из конфига доолжно
срабатывать.




-- 
Best regards,
 ishevchenko                            mailto:ishevchenko@emdev.ru

Re: Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[Dmitry Lebkov]

ishevchenko wrote:
> Господа, неужели никто не может подкинуть какой-нибудь мыслишки?
> 
> ===8<==============Original message text===============
> Hello community,
>  Продолжаю настраивать LDAP, точнее связку PDC на Samba и LDAP,
> 
>>>  Можете что-нибудь подсказать?
>>
>>Поставьте openldap-* из backports к М2.4 и запустите его с дефолтным
>>конфигом. Затем перед каждым изменение рабочий конфиг сохранять,
>>думать, изменять, думать почему не работает...
> 
>      Так и сделал(Может мало думал?). В итоге имею две проблемы:
>      как и раньше нет логов, только в консоли ругается
>      start-stop-daemon:
> Checking slapd configuration:   [ DONE ]
> Adjusting enviroment for slapd: [ DONE ]
> Starting slapd service:         [FAILED]
>      , хотя как и советовали
> 
>>ну, неплохо было в конфиг прописать
>>loglevel 64 - как раз покажет анализ конфига.
>>далее, по дефолту логи валятся в LOCAL4 у syslog'а. кажется для этого надо
>>подредактировать syslog.conf и перенаправить куда надо.
> 
>     поменял loglevel. На -1, так как в конфиге написано, что это full.
>     Также прописал в syslog.conf local4.* /var/log/ldap.
>     А логов хочется, так как не получается исппользовать SSL
>     сертификат. Я генерю его с помощью
>     /var/lib/ssl/misc/CA.pl -newcert
>     переименовываю в slapd.pem и сую в /etc/openldap/ssl.
>     Далее, LDAP грузится нормально, пока я не раскомментирую строки в
>     разделе TLS options:
> TLSCipherSuite HIGH:MEDIUM:+SSLv2
> TLSCertificateFile /etc/openldap/ssl/slapd.pem
> TLSCertificateKeyFile /etc/openldap/ssl/slapd.pem
> 
>     Где копать?

http://faq.altlinux.ru/index.php?action=single&nf=1&qid=624

-- 
WBR, Dmitry Lebkov

Re[2]: Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[ishevchenko]

<big skip>
>> 
>>     Где копать?

> http://faq.altlinux.ru/index.php?action=single&nf=1&qid=624

    а куда девается этот же вывод если "-u ldap -r /var/lib/ldap -h -d
    64" прописать в /etc/sysconfig/ldap в SLAPD_OPTIONS, а
    "ldap://localhost" в SLAPDURLLIST?

-- 
Best regards,
 ishevchenko                            mailto:ishevchenko@emdev.ru

Re: Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[Dmitry Lebkov]

ishevchenko wrote:
> <big skip>
> 
>>>    Где копать?
> 
> 
>>http://faq.altlinux.ru/index.php?action=single&nf=1&qid=624
> 
> 
>     а куда девается этот же вывод если "-u ldap -r /var/lib/ldap -h -d
>     64" прописать в /etc/sysconfig/ldap в SLAPD_OPTIONS, а
>     "ldap://localhost" в SLAPDURLLIST?
> 

В /dev/null скорее всего. man slapd на предмет поведения при использовании
опции -d и смотреть init-scripts на предмет обработки stdout/stderr.

-- 
WBR, Dmitry Lebkov

Re[2]: Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[ishevchenko]

>>>http://faq.altlinux.ru/index.php?action=single&nf=1&qid=624
>> 
>> 
>>     а куда девается этот же вывод если "-u ldap -r /var/lib/ldap -h -d
>>     64" прописать в /etc/sysconfig/ldap в SLAPD_OPTIONS, а
>>     "ldap://localhost" в SLAPDURLLIST?
>> 

> В /dev/null скорее всего. man slapd на предмет поведения при использовании
> опции -d и смотреть init-scripts на предмет обработки stdout/stderr.

    Честно признаться, я еще очень далек от того, чтобы быть или
    считаться линуксовым гуру, что, может быть, в данном случае и не
    нужно, но все что я нашел, это одна строчка в /etc/ldap.lib
    [ -S /dev/log ] || ( rm -f dev/log; cp -a /dev/log dev ]
    только я не совсем понимаю к чему она.  Но, насколько я понимаю,
    мне нужно не это...

    Да, а по поводу использования TLS вылезло сообщение о том, что TLS
    could not use key file...
    Чем плох файл, сгенеренный с помощь CA.pl из openssl?


-- 
WBR,
 ishevchenko                            mailto:ishevchenko@emdev.ru

Re[3]: Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[ishevchenko]

>     Да, а по поводу использования TLS вылезло сообщение о том, что TLS
>     could not use key file...
>     Чем плох файл, сгенеренный с помощь CA.pl из openssl?
с этим вроде все понятно: LDAP не может прочитать шифрованный файл.
Скормил ему нешифрованный ключ. А как можно скормить ему пароль для
шифрованного файла?
И еще вот такой вопрос: руководствуюсь
http://www.opennet.ru/base/net/ldap_spama_pdc.txt.html, нет ли чего
поновее для ALM 2.4? А то есть некоторые разногласия.
-- 
WBR,
 ishevchenko                            mailto:ishevchenko@emdev.ru

Re: Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[Dmitry Lebkov]

ishevchenko пишет:
>>>>http://faq.altlinux.ru/index.php?action=single&nf=1&qid=624
>>>
>>>
>>>    а куда девается этот же вывод если "-u ldap -r /var/lib/ldap -h -d
>>>    64" прописать в /etc/sysconfig/ldap в SLAPD_OPTIONS, а
>>>    "ldap://localhost" в SLAPDURLLIST?
>>>
> 
> 
>>В /dev/null скорее всего. man slapd на предмет поведения при использовании
>>опции -d и смотреть init-scripts на предмет обработки stdout/stderr.
> 
> 
>     Честно признаться, я еще очень далек от того, чтобы быть или
>     считаться линуксовым гуру, что, может быть, в данном случае и не
>     нужно, но все что я нашел, это одна строчка в /etc/ldap.lib
>     [ -S /dev/log ] || ( rm -f dev/log; cp -a /dev/log dev ]
>     только я не совсем понимаю к чему она.  Но, насколько я понимаю,
>     мне нужно не это...

При запуске процессов с помощью init-scripts вывод в stdout/stderr
обычно подавляется и вместо него выдается "Service bla-bla-bla   [OK]"
или [FAILED] или [PASSED] в зависимости от.
А slapd, при использовании ключа -d, всё выводит на stdout.

>     Да, а по поводу использования TLS вылезло сообщение о том, что TLS
>     could not use key file...
>     Чем плох файл, сгенеренный с помощь CA.pl из openssl?

А key-файл точно в PEM-формате и без пароля? Он содержит и ключ, и
сертификат? И лежит в /var/lib/ldap/etc/openldap/ssl/? И пользователь
ldap имеет права на чтение этого файла?

-- 
WBR, Dmitry Lebkov

Re: Fwd: [Comm] OpenLDAP(slapd.conf) :: reload

[Michael Shigorin]

On Mon, Aug 01, 2005 at 11:01:06AM +0400, ishevchenko wrote:
> И еще вот такой вопрос: руководствуюсь
> http://www.opennet.ru/base/net/ldap_spama_pdc.txt.html, нет ли
> чего поновее для ALM 2.4? А то есть некоторые разногласия.

Есть родная документация docs.altlinux.ru; конкретно по OpenLDAP
она идеально подходит к ALM2.2 и слегка шероховато -- к 2.4.

См. тж. http://lists.osdn.org.ua/wws/info/openldap

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/