[sisyphus] I: Openldap 2.4.16

[sisyphus] I: Openldap 2.4.16

[Lebedev Sergey]

Доброго всем.

На ftp://ftp.altlinux.org/pub/people/barabashka/SS/ лежит сборка
openldap 2.4.16 и libldap2.3. Тестируем, пишем об ошибках и
проблемах. Если никаких особых трудностей не возникнет, то сборку я
отправляю в сизиф.

Важно!

После подключения данного репозитария, старый openldap (2.3) не 
будет автоматически обновлен по dist-upgrade'у. Прежде чем 
сказать 
apt-get install openldap2.4-servers openldap2.4-clients
настоятельно советую сделать следующее:

1) сделать backup /var/log/ldap/dblogs /var/log/ldap/bases

2) для каждой базы сделать ldif-dump 
slapcat -b 'rootdn' -l mydn.ldif
Это связано с тем, что новый openldap собран с новой berkeley db.
Slapd не запуститься, если обнаружит старую базу.

3) Убрать из /etc/openldap/slapd*.conf все упоминания о slurpd.
Upstream похоронил этот демон репликации. Используйте syncrepl.

Точно стоит убрать следующие строки
replica-pidfile     /var/run/slurpd.pid
replica-argsfile    /var/run/slurpd.args


4) Если вы использовали ldbm, то самое время перейти на bdb. 
Upstream похоронил ldbm.

После этого можно смело ставить новый openldap, заливать базы 
обратно
slapadd -b 'rootdn' -l mydn.ldif
и наслаждаться жизнью.

Re: [sisyphus] I: Openldap 2.4.16

[Aleksey Novodvorsky]

11 августа 2009 г. 1:50 пользователь Lebedev Sergey (lsv@altlinux.ru) написал:
> Доброго всем.
>
> На ftp://ftp.altlinux.org/pub/people/barabashka/SS/ лежит сборка
> openldap 2.4.16 и libldap2.3. Тестируем, пишем об ошибках и
> проблемах. Если никаких особых трудностей не возникнет, то сборку я
> отправляю в сизиф.
>
> Важно!
>
> После подключения данного репозитария, старый openldap (2.3) не
> будет автоматически обновлен по dist-upgrade'у. Прежде чем
> сказать
> apt-get install openldap2.4-servers openldap2.4-clients
> настоятельно советую сделать следующее:
>
> 1) сделать backup /var/log/ldap/dblogs /var/log/ldap/bases
>
> 2) для каждой базы сделать ldif-dump
> slapcat -b 'rootdn' -l mydn.ldif
> Это связано с тем, что новый openldap собран с новой berkeley db.
> Slapd не запуститься, если обнаружит старую базу.
>
> 3) Убрать из /etc/openldap/slapd*.conf все упоминания о slurpd.
> Upstream похоронил этот демон репликации. Используйте syncrepl.
>
> Точно стоит убрать следующие строки
> replica-pidfile     /var/run/slurpd.pid
> replica-argsfile    /var/run/slurpd.args
>
>
> 4) Если вы использовали ldbm, то самое время перейти на bdb.
> Upstream похоронил ldbm.
>
> После этого можно смело ставить новый openldap, заливать базы
> обратно
> slapadd -b 'rootdn' -l mydn.ldif
> и наслаждаться жизнью.

Сергей, спасибо!

Будем наслаждаться.

Rgrds, Алексей

Re: [sisyphus] I: Openldap 2.4.16

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 809 bytes --]

Lebedev Sergey <lsv-u2l5PoMzF/Uox3rIn2DAYQ@public.gmane.org> writes:

> Доброго всем.
>
> На ftp://ftp.altlinux.org/pub/people/barabashka/SS/ лежит сборка
> openldap 2.4.16 и libldap2.3. Тестируем, пишем об ошибках и
> проблемах. Если никаких особых трудностей не возникнет, то сборку я
> отправляю в сизиф.
Я так понимаю, что эта сборка уже без чудес вроде симлинков на библитеки
и автонедомиграций? :)

> 4) Если вы использовали ldbm, то самое время перейти на bdb. 
> Upstream похоронил ldbm.

ммм... а разве не HDB наше всё? :)

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [sisyphus] I: Openldap 2.4.16

[Michael Shigorin]

On Tue, Aug 11, 2009 at 09:40:46AM +0400, Ivan Fedorov wrote:
> > 4) Если вы использовали ldbm, то самое время перейти на bdb.
> > Upstream похоронил ldbm.
> ммм... а разве не HDB наше всё? :)

Да, на bdb переходить никогда не самое время...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] I: Openldap 2.4.16

[Maks Re]

в сизиф попал новый серер.

и я обновился... (без бекапа баз...)

обновление просло, ничего не ругалось,
но пользователя из базы "найти" не может.


т.е. если залогиниться под пользователем - id получает, аутентификацию
проходит, а имя (и группу скорее всего тоже) пользователя - нет

# id max
uid=10000 gid=513 groups=4294967295,513

# getent passwd | grep max
max:x:10000:513:Maks Re:/home/maks:/bin/bash

# su - max
/usr/bin/id: cannot find name for user ID 10000
[I have no name!@srv ~]$

 $ whoami
whoami: невозможно определить имя пользователя для ID 10000


вот так "работает"....

с локальными пользователями - все ОК


ни у кого не повторилось?
как лечить?

Re: [sisyphus] I: Openldap 2.4.16

[Lebedev Sergey]

On 23 Aug, Maks Re wrote:
> в сизиф попал новый серер.
> 
> и я обновился... (без бекапа баз...)
> 
> обновление просло, ничего не ругалось,
> но пользователя из базы "найти" не может.
> 
> 
> т.е. если залогиниться под пользователем - id получает, аутентификацию
> проходит, а имя (и группу скорее всего тоже) пользователя - нет
> 
> # id max
> uid=10000 gid=513 groups=4294967295,513
> 
> # getent passwd | grep max
> max:x:10000:513:Maks Re:/home/maks:/bin/bash
> 
> # su - max
> /usr/bin/id: cannot find name for user ID 10000
> [I have no name!@srv ~]$
> 
>  $ whoami
> whoami: невозможно определить имя пользователя для ID 10000
> 
> 
> вот так "работает"....
> 
> с локальными пользователями - все ОК
> 
> 
> ни у кого не повторилось?
> как лечить?

По описанию это больше похоже на проблемы с настройкой в районе
pam'а.

Багу в багзилу. В ней содержимое /etc/pam_ldap.conf и
/etc/nss_ldap.conf, вывод команды ls -al /etc/pam.d/ 

Re: [sisyphus] I: Openldap 2.4.16

[Maks Re]

у меня был школьный сервер, который я обновил до сизифа. (если это
важно)

так вот, /etc/nss_ldap.conf - отсутствует

зато есть в системе nss-ldapd-0.6.8-alt1

значит ли это что надо установить nss_ldap вместо nss-ldapd?


> > ни у кого не повторилось?
> > как лечить?
> 
> По описанию это больше похоже на проблемы с настройкой в районе
> pam'а.
> 
> Багу в багзилу. В ней содержимое /etc/pam_ldap.conf и
> /etc/nss_ldap.conf, вывод команды ls -al /etc/pam.d/ 
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sisyphus

Re: [sisyphus] I: Openldap 2.4.16

[Lebedev Sergey]

On 24 Aug, Maks Re wrote:
> у меня был школьный сервер, который я обновил до сизифа. (если это
> важно)
> 
> так вот, /etc/nss_ldap.conf - отсутствует
> 
> зато есть в системе nss-ldapd-0.6.8-alt1
> 
> значит ли это что надо установить nss_ldap вместо nss-ldapd?

Нет не значит. Должен тогда быть /etc/nss-ldapd.conf.

rpm -qa|grep ldap что говорит?

> > > ни у кого не повторилось?
> > > как лечить?
> > 
> > По описанию это больше похоже на проблемы с настройкой в районе
> > pam'а.
> > 
> > Багу в багзилу. В ней содержимое /etc/pam_ldap.conf и
> > /etc/nss_ldap.conf, вывод команды ls -al /etc/pam.d/ 

Re: [sisyphus] I: Openldap 2.4.16

[Maks Re]

> 
> Нет не значит. Должен тогда быть /etc/nss-ldapd.conf.
> 
> rpm -qa|grep ldap что говорит?

# rpm -qa|grep ldap|sort
alterator-ldap-groups-0.1-alt5.1
alterator-ldap-init-0.1-alt1.M50.1
alterator-ldap-users-0.5-alt3.2
alterator-openldap-0.3-alt5
alterator-openldap-functions-0.1-alt1
ldap-user-tools-0.5-alt1.2
libkrb5-ldap-1.6.3-alt7
libldap2.3-2.3.43-alt2.3
libldap2.4-2.4.16-alt4.4
mediawiki-ldap-1.2a-alt3
nss-ldapd-0.6.8-alt1
openldap2.4-2.4.16-alt4.4
openldap2.4-clients-2.4.16-alt4.4
openldap2.4-servers-2.4.16-alt4.4
pam_ldap-184-alt1
perl-ldap-0.39-alt1
php5-ldap-5.2.11.20090722-alt1
ruby-ldap-0.9.9-alt1
smbldap-tools-0.9.5-alt2

# cat /etc/pam_ldap.conf |grep ^[^#]
base dc=home,dc=domain,dc=ru
uri ldap://localhost
timelimit 5
bind_timelimit 5


# cat /etc/nss-ldapd.conf |grep ^[^#]
uri ldap://localhost
base dc=home,dc=domain,dc=ru


# cat /etc/sysconfig/ldap |grep ^[^#]
SLAPDURLLIST="' ldap:/// ldaps:///'"
SLAPD_OPTIONS="-l DAEMON -s 6"
SLURPD_OPTIONS='-t /'

# cat /etc/sysconfig/nslcd
# uncomment this if you want debug
#OPTIONS="-d"

# ls -la /etc/pam.d/
total 160
drwxr-xr-x   2 root root   4096 Aug 18 12:39 .
drwxr-xr-x 121 root root   8192 Aug 24 14:07 ..
-rw-r-----   1 root root    113 Aug 17 15:43 alterator-chkpwd
lrwxrwxrwx   1 root root     15 Mar 25 15:33 chage -> chage-chfn-chsh
-rw-r-----   1 root shadow  164 Apr 23  2008 chage-chfn-chsh
lrwxrwxrwx   1 root root     15 Mar 25 15:33 chfn -> chage-chfn-chsh
lrwxrwxrwx   1 root root     17 Mar 25 15:33 chpasswd -> chpasswd-newusers
-rw-------   1 root root    188 Apr 23  2008 chpasswd-newusers
lrwxrwxrwx   1 root root     15 Mar 25 15:33 chsh -> chage-chfn-chsh
-rw-------   1 root root    164 Apr  8 06:18 crond
-rw-r--r--   1 root root     58 Jun  4 13:24 cups
-rw-------   1 root root    134 Jun 10 23:48 dovecot
-rw-r--r--   1 root root    195 Mar 12  2008 gadmin-dhcpd
-rw-r--r--   1 root root    195 Mar 12  2008 gadmin-samba
-rw-r-----   1 root root    166 Mar  4 12:14 gparted
lrwxrwxrwx   1 root root     14 Mar 25 15:33 groupadd -> user-group-mod
lrwxrwxrwx   1 root root     14 Mar 25 15:33 groupdel -> user-group-mod
lrwxrwxrwx   1 root root     14 Mar 25 15:33 groupmod -> user-group-mod
-rw-------   1 root root    361 Apr  8 00:32 login
lrwxrwxrwx   1 root root     17 Mar 25 15:33 newusers -> chpasswd-newusers
-rw-r--r--   1 root root    127 Aug  7 15:20 other
-rw-r-----   1 root shadow  127 Apr 14  2007 passwd
-rw-r--r--   1 root root    147 May 27 15:38 polkit
-rw-r-----   1 root root    130 May 15 18:53 ppp
-rw-r--r--   1 root root    901 Jul 24 23:04 quagga
-rw-r--r--   1 root root    127 Apr  8 03:15 samba
-rw-r--r--   1 root root    233 Aug  2 22:30 screen
-rw-r-----   1 root auth     97 Aug  5 20:18 squid
-rw-------   1 root root    242 Apr 12 03:42 sshd
-rw-------   1 root root    590 Apr  8 00:32 su
-rw-------   1 root root    127 May  6 05:49 sudo
lrwxrwxrwx   1 root root     16 Aug  8 11:36 system-auth -> system-auth-ldap
-rw-r--r--   1 root root    897 Aug  7 15:20 system-auth-krb5
-rw-r--r--   1 root root    897 Aug  7 15:20 system-auth-ldap
-rw-r--r--   1 root root    672 Aug  4 15:20 system-auth-ldap.old
-rw-r--r--   1 root root    362 Aug  7 15:20 system-auth-local
-rw-r--r--   1 root root    433 Aug  4 15:20 system-auth-local.old
-rw-r--r--   1 root root   1306 Aug  7 15:20 system-auth-multi
-rw-r--r--   1 root root    483 Aug  7 15:20 system-auth-pkcs11
lrwxrwxrwx   1 root root     31 Aug  8 11:36 system-auth-use_first_pass -> system-auth-use_first_pass-ldap
-rw-r--r--   1 root root    470 Aug  7 15:20 system-auth-use_first_pass-krb5
-rw-r--r--   1 root root    470 Aug  7 15:20 system-auth-use_first_pass-ldap
-rw-r--r--   1 root root    183 Aug  7 15:20 system-auth-use_first_pass-local
-rw-r--r--   1 root root    687 Aug  7 15:20 system-auth-use_first_pass-multi
-rw-r--r--   1 root root    275 Aug  7 15:20 system-auth-use_first_pass-pkcs11
-rw-r--r--   1 root root    527 Apr  8 03:15 system-auth-winbind
-rw-------   1 root root    200 Apr 23  2008 user-group-mod
lrwxrwxrwx   1 root root     14 Mar 25 15:33 useradd -> user-group-mod
lrwxrwxrwx   1 root root     14 Mar 25 15:33 userdel -> user-group-mod
lrwxrwxrwx   1 root root     14 Mar 25 15:33 usermod -> user-group-mod
-rw-r-----   1 root chkpwd   39 Nov 21  2006 vlock
-rw-r-----   1 root root    368 May 29 04:38 vsftpd


баг заводить или все-таки не бага?

Re: [sisyphus] I: Openldap 2.4.16

[Lebedev Sergey]

On 24 Aug, Maks Re wrote:
> > 
> > Нет не значит. Должен тогда быть /etc/nss-ldapd.conf.
> > 
> > rpm -qa|grep ldap что говорит?
[skip]
> баг заводить или все-таки не бага?

Заводить конечно. Если это не баг, то всегда это можно отразить в
самой баге. ;)

Вечером поставлю в виртуалку, обновлю до Сизифа и проверю. Но
багу в любом случаи жду.

Re: [sisyphus] I: Openldap 2.4.16

[Maks Re]

> 
> Вечером поставлю в виртуалку, обновлю до Сизифа и проверю. Но
> багу в любом случаи жду.


#21208