[sisyphus] LDAP грабли

[sisyphus] LDAP грабли

[Artem]

Имеется небольшой ldap-серверок. Установлен sysyphus. OpenLDAP 2.1.30-alt3
Все настроено и работает отлично, грабли возникают при переходе на TLS -
соединения с ним.
Имеются сертификаты ca.cert, ldap.cert и ldap.key. ldap.cert  подписан,
естеснно, ca.cert
Все скинуто в /etc/openldap/ssl , на эти же файлы указывают параметры в
slapd.conf

Cтартую - все ок (за небольшим исключением, об этом позже).
LDAP слушает на 389-м:
tcp        0      0 0.0.0.0:389             0.0.0.0:*
LISTEN      3927/slapd

Пробуем соединиться:
ldapsearch -h 172.16.10.70 -D "cn=admin,dc=axis,dc=ces" -W -Z

В ответ:
ldap_start_tls: Connect error (91)
ldap_sasl_interactive_bind_s: Can't contact LDAP server (81)

Из gq - то же самое..

Теперь - другое. Несмотря на параметр в /etc/sysconfig/ldap
SLAPDURLLIST="ldap:/// ldaps:///"

и вывод ps:
ldap      3927  0.0  1.3 11420 3452 ?        S    14:52   0:00
/usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///

netstat показывает вот что:
[root@axis sysconfig]# netstat -ltnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address
State       PID/Program name
.....
tcp        0      0 0.0.0.0:389             0.0.0.0:*
LISTEN      3927/slapd
......
А 636 - го порта нигде не видно (ldaps:///)
Но если запускать из командной строки вроде:
slapd -h "ldap:/// ldaps:///" - то все ок...

Вопросы:
Что за грабли с TLS и как мне засекурить коннект?
Почему такое странное поведение с параметрами -h ?

Re: [sisyphus] LDAP грабли

[Dmitry Lebkov]

Artem wrote:
> Имеется небольшой ldap-серверок. Установлен sysyphus. OpenLDAP 2.1.30-alt3
> Все настроено и работает отлично, грабли возникают при переходе на TLS -
> соединения с ним.
> Имеются сертификаты ca.cert, ldap.cert и ldap.key. ldap.cert  подписан,
> естеснно, ca.cert
> Все скинуто в /etc/openldap/ssl , на эти же файлы указывают параметры в
> slapd.conf
> 
> Cтартую - все ок (за небольшим исключением, об этом позже).
> LDAP слушает на 389-м:
> tcp        0      0 0.0.0.0:389             0.0.0.0:*
> LISTEN      3927/slapd
> 
> Пробуем соединиться:
> ldapsearch -h 172.16.10.70 -D "cn=admin,dc=axis,dc=ces" -W -Z
> 
> В ответ:
> ldap_start_tls: Connect error (91)
> ldap_sasl_interactive_bind_s: Can't contact LDAP server (81)
> 
> Из gq - то же самое..

Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое:
tls_reqcert never


> Теперь - другое. Несмотря на параметр в /etc/sysconfig/ldap
> SLAPDURLLIST="ldap:/// ldaps:///"
Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:///
еще и в одинарные кавычки.

SLAPDURLLIST="'ldap:/// ldaps:///'"

> 
> и вывод ps:
> ldap      3927  0.0  1.3 11420 3452 ?        S    14:52   0:00
> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///
> 
> netstat показывает вот что:
> [root@axis sysconfig]# netstat -ltnp
> Active Internet connections (only servers)
> Proto Recv-Q Send-Q Local Address           Foreign Address
> State       PID/Program name
> .....
> tcp        0      0 0.0.0.0:389             0.0.0.0:*
> LISTEN      3927/slapd
> ......
> А 636 - го порта нигде не видно (ldaps:///)
> Но если запускать из командной строки вроде:
> slapd -h "ldap:/// ldaps:///" - то все ок...
> 
> Вопросы:
> Что за грабли с TLS и как мне засекурить коннект?
Насколько я понимаю, в OpenSSL изменилось поведение по-умолчанию
для клиентских сертификатов.

> Почему такое странное поведение с параметрами -h ?

Потому, что параметорм для ключа считается вся строка до первого
пробела. Если значение содержит пробел - заключай строку в кавычки.

--
WBR, Dmitry Lebkov

Re: [sisyphus] LDAP грабли

[Artem]

>
> Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое:
> tls_reqcert never

Да, помогло.. Одно не понятно. Ведь до этого у меня было прописано в 
ldap.conf :

TLS_CACERT     /etc/openldap/ssl/ca.cert
    где   ca.cert - копия сертификата сервера.
Почему же не выполнялась проверка по данному способу?

Сертификаты - в порядке:
openssl verify -CAfile ca.cert -verbose ldap.cert
ldap.cert: OK

>
>
> Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:///
> еще и в одинарные кавычки.
>
> SLAPDURLLIST="'ldap:/// ldaps:///'"
>
Да, с этим нюансом теперь все ясно. Это уже работает.

Еще один вопрос - почему /var/log/ldap - пуст ?

Следующие грабли - делаем
service slapd restart
Service slapd is not running.                [PASSED]
Checking slapd configuration               [ DONE ]
Adjusting environment for slapd:          [ DONE ]
Service slapd is already running.        [PASSED]

Хотя:
ps aux | grep slapd
ldap      8771  0.0  1.4 11552 3716 ?        S    09:22   0:00 
/usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///

То же самое и для service slapd stop - остановить невозможно - только 
путем kill

Re: [sisyphus] LDAP грабли

[Artem]

Еще вдогонку - содержимое ldap.conf:

tls_reqcert never

-все ок...
Как только добавляю в него:

tls_cacert      /etc/openldap/ssl/ca.cert    

...сразу же становится невозможно соединиться с ldap по ssl:

ldap_start_tls: Connect error (91)
ldap_sasl_interactive_bind_s: Can't contact LDAP server (81)

[sisyphus] Re: LDAP грабли

[Michael Shigorin]

On Wed, Jan 05, 2005 at 03:41:29PM +0200, Artem wrote:
> Имеется небольшой ldap-серверок.

http://lists.osdn.org.ua/wws/info/openldap

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] LDAP грабли

[Dmitry Lebkov]

Artem wrote:
> 
>>
>> Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое:
>> tls_reqcert never
> 
> 
> Да, помогло.. Одно не понятно. Ведь до этого у меня было прописано в 
> ldap.conf :
> 
> TLS_CACERT     /etc/openldap/ssl/ca.cert
>    где   ca.cert - копия сертификата сервера.
> Почему же не выполнялась проверка по данному способу?
> 
> Сертификаты - в порядке:
> openssl verify -CAfile ca.cert -verbose ldap.cert
> ldap.cert: OK

А права на чтение этого файла у клиента есть? У меня всё это
в свое время вполне нормально работало, но потом надоело собирать
сертификаты серверов руками и теперь пользую tls_reqcert never.

>> Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:///
>> еще и в одинарные кавычки.
>>
>> SLAPDURLLIST="'ldap:/// ldaps:///'"
>>
> Да, с этим нюансом теперь все ясно. Это уже работает.
> 
> Еще один вопрос - почему /var/log/ldap - пуст ?

А в конфиге slapd.conf логгинг включен? А syslog знает
куда складывать логи от slapd?

> Следующие грабли - делаем
> service slapd restart
> Service slapd is not running.                [PASSED]
> Checking slapd configuration               [ DONE ]
> Adjusting environment for slapd:          [ DONE ]
> Service slapd is already running.        [PASSED]
> 
> Хотя:
> ps aux | grep slapd
> ldap      8771  0.0  1.4 11552 3716 ?        S    09:22   0:00 
> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///
> 
> То же самое и для service slapd stop - остановить невозможно - только 
> путем kill

Смотреть скрипт /etc/rc.d/init.d/slapd. Скорее всего не хватает прав
на создание pid-файла. Эту проблему уже фиксили в какой-то из сборок.

А вообще, лучше поставить последний openldap из Сизифа ... ;)

--
WBR, Dmitry Lebkov

Re: [sisyphus] LDAP грабли

[Artem]

>
> А права на чтение этого файла у клиента есть?

Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other
Но все равно спасибо.

> А в конфиге slapd.conf логгинг включен? А syslog знает
> куда складывать логи от slapd?
>
Значит, придется вправлять мозги syslog

Небольшое уточнение напоследок. При проверке сертификата ldap-сервера 
запрашивается CN владельца сертификата - т.е. делается reverse dns - чей 
именно CN запрашивается в случае с LDAP ?  СA ? Или самого LDAP - 
сервера? Или оба проверяются? Или это делается только в случае, когда 
соединение осуществляется по ip , а не по dns - адресу ?

Re: [sisyphus] LDAP грабли

[Dmitry Lebkov]

Artem wrote:
> 
>>
>> А права на чтение этого файла у клиента есть?
> 
> 
> Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other
> Но все равно спасибо.
> 
>> А в конфиге slapd.conf логгинг включен? А syslog знает
>> куда складывать логи от slapd?
>>
> Значит, придется вправлять мозги syslog

Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog
facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое

local4.* /var/log/ldap/all

и в /etc/openldap/slapd.conf например

loglevel 256

получишь логи соединений и обработки запросов.

> Небольшое уточнение напоследок. При проверке сертификата ldap-сервера 
> запрашивается CN владельца сертификата - т.е. делается reverse dns - чей 
> именно CN запрашивается в случае с LDAP ?  СA ? Или самого LDAP - 
> сервера? Или оба проверяются? Или это делается только в случае, когда 
> соединение осуществляется по ip , а не по dns - адресу ?

Проверяется соответствие IP<->FQDN для сервера, если я правильно помню
документацию к OpenSSL ...


--
WBR, Dmitry Lebkov

Re: [sisyphus] LDAP грабли

[Artem]

Dmitry Lebkov wrote:

> Artem wrote:
>
>>
>>>
>>> А права на чтение этого файла у клиента есть?
>>
>>
>>
>> Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для 
>> other
>> Но все равно спасибо.
>>
>>> А в конфиге slapd.conf логгинг включен? А syslog знает
>>> куда складывать логи от slapd?
>>>
>> Значит, придется вправлять мозги syslog
>
>
> Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog
> facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое
>
> local4.* /var/log/ldap/all
>
> и в /etc/openldap/slapd.conf например
>
> loglevel 256
>
> получишь логи соединений и обработки запросов.
>
>> Небольшое уточнение напоследок. При проверке сертификата ldap-сервера 
>> запрашивается CN владельца сертификата - т.е. делается reverse dns - 
>> чей именно CN запрашивается в случае с LDAP ?  СA ? Или самого LDAP - 
>> сервера? Или оба проверяются? Или это делается только в случае, когда 
>> соединение осуществляется по ip , а не по dns - адресу ?
>
>
> Проверяется соответствие IP<->FQDN для сервера, если я правильно помню
> документацию к OpenSSL ...
>
Спасибо... Слишком уж вся информация "разбросана" по разным манам - а 
времени как всегда - не хватает... ;-)

Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ

[Volkov Serge]

Hello Dmitry,

Thursday, January 6, 2005, 6:40:20 PM, you wrote:

DL> Artem wrote:
>> 
>>>
>>> А права на чтение этого файла у клиента есть?
>> 
>> 
>> Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other
>> Но все равно спасибо.
>> 
>>> А в конфиге slapd.conf логгинг включен? А syslog знает
>>> куда складывать логи от slapd?
>>>
>> Значит, придется вправлять мозги syslog

DL> Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog
DL> facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое

DL> local4.* /var/log/ldap/all

DL> и в /etc/openldap/slapd.conf например

DL> loglevel 256

DL> получишь логи соединений и обработки запросов.

Я вроде включал патч от RH который позволяет все сообщения в логи
сыпать от "DAEMON"




-- 
Best regards,
 Volkov                            mailto:vserge@altlinux.ru

Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ

[Volkov Serge]

Hello Artem,

Thursday, January 6, 2005, 11:03:21 AM, you wrote:


>>
>> Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое:
>> tls_reqcert never

A> Да, помогло.. Одно не понятно. Ведь до этого у меня было прописано в
A> ldap.conf :

A> TLS_CACERT     /etc/openldap/ssl/ca.cert
A>     где   ca.cert - копия сертификата сервера.
A> Почему же не выполнялась проверка по данному способу?

A> Сертификаты - в порядке:
A> openssl verify -CAfile ca.cert -verbose ldap.cert
A> ldap.cert: OK

>>
>>
>> Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:///
>> еще и в одинарные кавычки.
>>
>> SLAPDURLLIST="'ldap:/// ldaps:///'"
>>
A> Да, с этим нюансом теперь все ясно. Это уже работает.

A> Еще один вопрос - почему /var/log/ldap - пуст ?
этот вопрос мучаем меня самого :(( к сожалению у себя я использую
syslog-ng и там у меня все данные фильтруются по строке slapd

мне желательно собрать по польше информации, чтобы вырабоать
правильное решение!

Вообще у меня есть большое желание убрать логирование через syslog и
выводить все логи в файлы!

A> Следующие грабли - делаем
A> service slapd restart
A> Service slapd is not running.                [PASSED]
A> Checking slapd configuration               [ DONE ]
A> Adjusting environment for slapd:          [ DONE ]
A> Service slapd is already running.        [PASSED]

A> Хотя:
A> ps aux | grep slapd
A> ldap      8771  0.0  1.4 11552 3716 ?        S    09:22   0:00 
A> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///

A> То же самое и для service slapd stop - остановить невозможно - только
A> путем kill

в новой сборке 2.2.20-alt2 будет немного другой инит скрипт, который
сделан по образу и подобию sshd

Вопросы:
создаются ли файлы в /var/run/slapd.pid /var/run/slurpd.pid ?


-- 
Best regards,
 Volkov                            mailto:vserge@altlinux.ru

Re: [sisyphus] LDAP грабли

[Artem]

Volkov Serge wrote:

>A> Еще один вопрос - почему /var/log/ldap - пуст ?
>этот вопрос мучаем меня самого :(( к сожалению у себя я использую
>syslog-ng и там у меня все данные фильтруются по строке slapd
>
>мне желательно собрать по польше информации, чтобы вырабоать
>правильное решение!
>
>Вообще у меня есть большое желание убрать логирование через syslog и
>выводить все логи в файлы!
>  
>
Возможно - так будет лучше? Привести все к "единому знаменателю"...

>A> Следующие грабли - делаем
>A> service slapd restart
>A> Service slapd is not running.                [PASSED]
>A> Checking slapd configuration               [ DONE ]
>A> Adjusting environment for slapd:          [ DONE ]
>A> Service slapd is already running.        [PASSED]
>
>A> Хотя:
>A> ps aux | grep slapd
>A> ldap      8771  0.0  1.4 11552 3716 ?        S    09:22   0:00 
>A> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///
>
>A> То же самое и для service slapd stop - остановить невозможно - только
>A> путем kill
>
>в новой сборке 2.2.20-alt2 будет немного другой инит скрипт, который
>сделан по образу и подобию sshd
>
>Вопросы:
>создаются ли файлы в /var/run/slapd.pid /var/run/slurpd.pid ?
>  
>
Забыл глянуть - сейчас уже не получится - я не на работе. Только после 
праздников.
С наступающим Рождеством!

Re: [sisyphus] LDAP грабли

[Dmitry Lebkov]

Volkov Serge пишет:

[skip]

> A> Еще один вопрос - почему /var/log/ldap - пуст ?
 >
> этот вопрос мучаем меня самого :(( к сожалению у себя я использую
> syslog-ng и там у меня все данные фильтруются по строке slapd
> 
> мне желательно собрать по польше информации, чтобы вырабоать
> правильное решение!
> 
> Вообще у меня есть большое желание убрать логирование через syslog и
> выводить все логи в файлы!

Не, не стоит такое делать. Ну или если делать, то как доп.возможность.
Логи-то могут складываться не только в локальный syslog, но и на
remote logging host. ;)

> A> Следующие грабли - делаем
> A> service slapd restart
> A> Service slapd is not running.                [PASSED]
> A> Checking slapd configuration               [ DONE ]
> A> Adjusting environment for slapd:          [ DONE ]
> A> Service slapd is already running.        [PASSED]
> 
> A> Хотя:
> A> ps aux | grep slapd
> A> ldap      8771  0.0  1.4 11552 3716 ?        S    09:22   0:00 
> A> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///
> 
> A> То же самое и для service slapd stop - остановить невозможно - только
> A> путем kill
> 
> в новой сборке 2.2.20-alt2 будет немного другой инит скрипт, который
> сделан по образу и подобию sshd
> 

Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные
проблемы с инит-скриптом отсутствуют.

--
WBR, Dmitry Lebkov

Re: [sisyphus] LDAP грабли

[Dmitry Lebkov]

Volkov Serge пишет:
> Hello Dmitry,
> 
> Thursday, January 6, 2005, 6:40:20 PM, you wrote:
> 
> DL> Artem wrote:
> 
>>>>А права на чтение этого файла у клиента есть?
>>>
>>>
>>>Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other
>>>Но все равно спасибо.
>>>
>>>
>>>>А в конфиге slapd.conf логгинг включен? А syslog знает
>>>>куда складывать логи от slapd?
>>>>
>>>
>>>Значит, придется вправлять мозги syslog
> 
> 
> DL> Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog
> DL> facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое
> 
> DL> local4.* /var/log/ldap/all
> 
> DL> и в /etc/openldap/slapd.conf например
> 
> DL> loglevel 256
> 
> DL> получишь логи соединений и обработки запросов.
> 
> Я вроде включал патч от RH который позволяет все сообщения в логи
> сыпать от "DAEMON"

Судя по man slapd и по той конфигурации, что у меня работает - default
is LOCAL4. Хотя DAEMON в качестве default'а был бы логичнее ;)

--
WBR, Dmitry Lebkov

Re: [sisyphus] LDAP грабли

[Artem]

Dmitry Lebkov wrote:

>
>>
>
> Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные
> проблемы с инит-скриптом отсутствуют.
>
Ясно. Обновлю openldap.

Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ

[Volkov Serge]

Приветствую!

Friday, January 7, 2005, 4:52:55 AM, you wrote:

DL> Volkov Serge пишет:

DL> [skip]

>> A> Еще один вопрос - почему /var/log/ldap - пуст ?
 >>
>> этот вопрос мучаем меня самого :(( к сожалению у себя я использую
>> syslog-ng и там у меня все данные фильтруются по строке slapd
>> 
>> мне желательно собрать по польше информации, чтобы вырабоать
>> правильное решение!
>> 
>> Вообще у меня есть большое желание убрать логирование через syslog и
>> выводить все логи в файлы!

DL> Не, не стоит такое делать. Ну или если делать, то как доп.возможность.
DL> Логи-то могут складываться не только в локальный syslog, но и на
DL> remote logging host. ;)

Это безусловно!!!, просто у меня стоит задача разобраться как лучше!
попробую посмотреть как это сделано с точки зрения логики в sshd и
bind и потом посмотрим!

Дима тебе я обязательно напишу!

>> A> Следующие грабли - делаем
>> A> service slapd restart
>> A> Service slapd is not running.                [PASSED]
>> A> Checking slapd configuration               [ DONE ]
>> A> Adjusting environment for slapd:          [ DONE ]
>> A> Service slapd is already running.        [PASSED]
>> 
>> A> Хотя:
>> A> ps aux | grep slapd
>> A> ldap      8771  0.0  1.4 11552 3716 ?        S    09:22   0:00 
>> A> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///
>> 
>> A> То же самое и для service slapd stop - остановить невозможно - только
>> A> путем kill
>> 
>> в новой сборке 2.2.20-alt2 будет немного другой инит скрипт, который
>> сделан по образу и подобию sshd
>> 

DL> Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные
DL> проблемы с инит-скриптом отсутствуют.

ок, просто я обнаружил проблему при condrestart :(

-- 
Best regards,
 Volkov                            mailto:vserge@altlinux.ru

Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ

[Volkov Serge]

Hello Artem,

Friday, January 7, 2005, 12:36:38 PM, you wrote:

A> Dmitry Lebkov wrote:

>>
>>>
>>
>> Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные
>> проблемы с инит-скриптом отсутствуют.
>>
A> Ясно. Обновлю openldap.

подождите пожалуйста до понедельника!

я в Сизиф выложу новую стабильную версию OpenLDAP 2.2.20

-- 
Best regards,
 Volkov                            mailto:vserge@altlinux.ru

Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ

[Volkov Serge]

Hello Dmitry,

Friday, January 7, 2005, 4:58:14 AM, you wrote:

DL> Volkov Serge пишет:
>> Hello Dmitry,
>> 
>> Thursday, January 6, 2005, 6:40:20 PM, you wrote:
>> 
>> DL> Artem wrote:
>> 
>>>>>А права на чтение этого файла у клиента есть?
>>>>
>>>>
>>>>Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other
>>>>Но все равно спасибо.
>>>>
>>>>
>>>>>А в конфиге slapd.conf логгинг включен? А syslog знает
>>>>>куда складывать логи от slapd?
>>>>>
>>>>
>>>>Значит, придется вправлять мозги syslog
>> 
>> 
>> DL> Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog
>> DL> facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое
>> 
>> DL> local4.* /var/log/ldap/all
>> 
>> DL> и в /etc/openldap/slapd.conf например
>> 
>> DL> loglevel 256
>> 
>> DL> получишь логи соединений и обработки запросов.
>> 
>> Я вроде включал патч от RH который позволяет все сообщения в логи
>> сыпать от "DAEMON"

DL> Судя по man slapd и по той конфигурации, что у меня работает - default
DL> is LOCAL4. Хотя DAEMON в качестве default'а был бы логичнее ;)

учту думаю, что с этой проблемой до понедельника разберемся!
Bug#: 5834 bugzilla.altllinux.ru

-- 
Best regards,
 Volkov                            mailto:vserge@altlinux.ru

Re[3]: [sisyphus] LDAP ÇÒÁÂÌÉ

[Volkov Serge]

Hello Volkov,

Friday, January 7, 2005, 11:25:48 PM, you wrote:

VS> Hello Dmitry,

VS> Friday, January 7, 2005, 4:58:14 AM, you wrote:

DL>> Volkov Serge пишет:
>>> Hello Dmitry,
>>> 
>>> Thursday, January 6, 2005, 6:40:20 PM, you wrote:
>>> 
>>> DL> Artem wrote:
>>> 
>>>>>>А права на чтение этого файла у клиента есть?
>>>>>
>>>>>
>>>>>Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other
>>>>>Но все равно спасибо.
>>>>>
>>>>>
>>>>>>А в конфиге slapd.conf логгинг включен? А syslog знает
>>>>>>куда складывать логи от slapd?
>>>>>>
>>>>>
>>>>>Значит, придется вправлять мозги syslog
>>> 
>>> 
>>> DL> Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog
>>> DL> facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое
>>> 
>>> DL> local4.* /var/log/ldap/all
>>> 
>>> DL> и в /etc/openldap/slapd.conf например
>>> 
>>> DL> loglevel 256
>>> 
>>> DL> получишь логи соединений и обработки запросов.
>>> 
>>> Я вроде включал патч от RH который позволяет все сообщения в логи
>>> сыпать от "DAEMON"

DL>> Судя по man slapd и по той конфигурации, что у меня работает - default
DL>> is LOCAL4. Хотя DAEMON в качестве default'а был бы логичнее ;)

VS> учту думаю, что с этой проблемой до понедельника разберемся!
VS> Bug#: 5834 bugzilla.altllinux.ru

Так я вспомнил, что начиная с 1 июля с версии пакета 2.2.14-alt1 я
вносил изменения в процесс компиляции openldap

была добавлена опция -DLOG_DAEMON=1 , которая не отключате работу
LOG_LOCAL4, но при этом все логируется через LOG_DAEMON

Пробуйте!


-- 
Best regards,
 Volkov                            mailto:vserge@altlinux.ru

Re: [sisyphus] LDAP грабли

[Artem]

Volkov Serge wrote:

>Hello Artem,
>
>Friday, January 7, 2005, 12:36:38 PM, you wrote:
>
>A> Dmitry Lebkov wrote:
>
>  
>
>>>Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные
>>>проблемы с инит-скриптом отсутствуют.
>>>
>>>      
>>>
>A> Ясно. Обновлю openldap.
>
>подождите пожалуйста до понедельника!
>
>я в Сизиф выложу новую стабильную версию OpenLDAP 2.2.20
>
>  
>
Ok! :-)

Re: [sisyphus] LDAP грабли

[Artem]

Обновился, перезапуск-останов в норме. Но периодически выскакивают 
другие сообщения:
service slapd restart
Checking slapd 
configuration                                                                                   
[ DONE ]
Stopping slapd service: start-stop-daemon: warning: failed to send 
signal 15 to 27884: No such process
1 pids were not killed
                                                                                                              
[ DONE ]
Starting slapd 
service:                                                                                        
[ DONE ]

Появился вопрос другого рода - а что это с ACL творится? Написал для 
пробы в  slapd.conf:

access to 
*                                                                                                            

        by dn.base="cn=admin,dc=myserver,dc=mydomain" 
write                                                                    
        by * none
        by users none

А из gq все равно можно просматривать объекты авторизовавшимся 
пользователем. Правда с постоянной выдачей кучи ошибок. "Server not 
configured"(gq-0.7.0-alt12). Из gq-1.0 (из дедала) - "OpenLDAP Cannot 
find last-resort schema server"
 Данные эти  - не кэшированные (кэш в gq отключен, при изменении данных 
admin-ом и последующим просмотром пользователем - видно, что они 
изменены). В slapd-access.conf все закомментил.

Еще вопрос - вместе с slapd крутится bind . При остановленном bind - 
запуск slapd моментальный. При запущенном - секунд 20-25. В чем дело?




Volkov Serge wrote:

>Hello Artem,
>
>Friday, January 7, 2005, 12:36:38 PM, you wrote:
>
>A> Dmitry Lebkov wrote:
>
>  
>
>>>Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные
>>>проблемы с инит-скриптом отсутствуют.
>>>
>>>      
>>>
>A> Ясно. Обновлю openldap.
>
>подождите пожалуйста до понедельника!
>
>я в Сизиф выложу новую стабильную версию OpenLDAP 2.2.20
>
>  
>

Re: [sisyphus] LDAP грабли

[Epiphanov Sergei]

В сообщении от 20 Январь 2005 13:36 Artem написал:
> Еще вопрос - вместе с slapd крутится bind . При остановленном bind -
> запуск slapd моментальный. При запущенном - секунд 20-25. В чем дело?

Судя по всему, slapd не может найти имя сервера в /etc/hosts, опрашивает 
bind, который тоже ничего об имени компьютера не знает и не может найти 
это имя у других серверов. Пропишите в /etc/hosts строку

<IP> <имя компьютера, гда запускаете slapd>

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] LDAP грабли

[vserge]

On Thu, 20 Jan 2005 14:16:04 +0300
Epiphanov Sergei <serpiph@nikiet.ru> wrote:

> В сообщении от 20 Январь 2005 13:36 Artem написал:
> > Еще вопрос - вместе с slapd крутится bind . При остановленном bind -
> > запуск slapd моментальный. При запущенном - секунд 20-25. В чем
> > дело?
> 
> Судя по всему, slapd не может найти имя сервера в /etc/hosts,
> опрашивает bind, который тоже ничего об имени компьютера не знает и не
> может найти это имя у других серверов. Пропишите в /etc/hosts строку
> 
> <IP> <имя компьютера, гда запускаете slapd>
А что написано в /etc/sysconfig/ldap
и кто является резовером для данного сервера?

> 
> -- 
> С уважением, Епифанов Сергей
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/sisyphus


-- 
> блин... на 19" в текст-моде... это хардкор...
а представьте, мне на 21" каково? ;-)
		-- mike in community@

Re: [sisyphus] LDAP грабли

[Artem]

vserge wrote:

>On Thu, 20 Jan 2005 14:16:04 +0300
>Epiphanov Sergei <serpiph@nikiet.ru> wrote:
>
>  
>
>>В сообщении от 20 Январь 2005 13:36 Artem написал:
>>    
>>
>>>Еще вопрос - вместе с slapd крутится bind . При остановленном bind -
>>>запуск slapd моментальный. При запущенном - секунд 20-25. В чем
>>>дело?
>>>      
>>>
>>Судя по всему, slapd не может найти имя сервера в /etc/hosts,
>>опрашивает bind, который тоже ничего об имени компьютера не знает и не
>>может найти это имя у других серверов. Пропишите в /etc/hosts строку
>>
>><IP> <имя компьютера, гда запускаете slapd>
>>    
>>
>А что написано в /etc/sysconfig/ldap
>и кто является резовером для данного сервера?
>  
>
С запуском разобрался - спасибо за подсказку!

А вот с ACL - "непонятки" остались..

>  
>
>>-- 
>>С уважением, Епифанов Сергей
>>_______________________________________________
>>Sisyphus mailing list
>>Sisyphus@altlinux.ru
>>https://lists.altlinux.ru/mailman/listinfo/sisyphus
>>    
>>

Re: [sisyphus] LDAP грабли

[Dmitry Lebkov]

Artem wrote:
> vserge wrote:
> 
>> On Thu, 20 Jan 2005 14:16:04 +0300
>> Epiphanov Sergei <serpiph@nikiet.ru> wrote:
>>
[skip]
>>
>> А что написано в /etc/sysconfig/ldap
>> и кто является резовером для данного сервера?
>>  
>>
> С запуском разобрался - спасибо за подсказку!
> 
> А вот с ACL - "непонятки" остались..

Советую прочитать OpenLDAP 2.2 Administrator's Guide. Либо из пакета,
либо на www.openldap.org. В 2.2.x изменился формат описания ACL.


--
WBR, Dmitry Lebkov

Re: [sisyphus] LDAP грабли

[Artem]

Dmitry Lebkov wrote:

> Artem wrote:
>
>> vserge wrote:
>>
>>> On Thu, 20 Jan 2005 14:16:04 +0300
>>> Epiphanov Sergei <serpiph@nikiet.ru> wrote:
>>>
> [skip]
>
>>>
>>> А что написано в /etc/sysconfig/ldap
>>> и кто является резовером для данного сервера?
>>>  
>>>
>> С запуском разобрался - спасибо за подсказку!
>>
>> А вот с ACL - "непонятки" остались..
>
>
> Советую прочитать OpenLDAP 2.2 Administrator's Guide. Либо из пакета,
> либо на www.openldap.org. В 2.2.x изменился формат описания ACL.
>
>
То-то я голову ломаю - почему старые конфиги не работают. Обновлялся-то 
с 1.1... Спасибо, буду читать.... :-[

Re: [sisyphus] LDAP грабли

[Artem]

В общем, причина была даже не в конфигах - почему-то не обновляется 
chrooted.
На тестовой машинке - все ок. А на рабочей - только вызовом 
/etc/chroot.d/ldap.all перед запуском slapd.
В slapd есть ф-ция
adjust()                                                                                       

{                                                                                              

        action $"Adjusting environment for slapd:" 
/etc/chroot.d/ldap.all || exit
}

Похоже, она занимается там тем, что ничем не занимается?
Еще вспомнил - на тестовой машинке chrooted для slapd обновлялся при 
полном перезапуске - с выдачей кучи сообщений. А если без перезапуска - 
то как?

Re: [sisyphus] LDAP грабли

[Artem]

Artem wrote:

> В общем, причина была даже не в конфигах - почему-то не обновляется 
> chrooted.
> На тестовой машинке - все ок. А на рабочей - только вызовом 
> /etc/chroot.d/ldap.all перед запуском slapd.
> В slapd есть ф-ция
> adjust()                                                                                       
>
> {                                                                                              
>
>        action $"Adjusting environment for slapd:" 
> /etc/chroot.d/ldap.all || exit
> }
>
Это кусок /etc/rc.d/init.d/slapd образца 1.1.30
start()                                                                                                             

{                                                                                                                   

        is_yes "$NETWORKING" || return 
0                                                                            

        check || 
return                                                                                             

        adjust || 
return                                                                                            

        start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r $ROOT 
-h "$SLAPDURLLIST"                         
        
RETVAL=$?                                                                                                   

        return 
$RETVAL                                                                                              

}             

А это - образца 2.2.20-alt1

start()                                                                                                             

{                                                                                                                   

        is_yes "$NETWORKING" || return 
0                                                                            

        start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r $ROOT 
-h "$SLAPDURLLIST"                         
        
RETVAL=$?                                                                                                   

        return 
$RETVAL                                                                                              

}       

Так и должно быть? ;-)

Re: [sisyphus] LDAP грабли

[vserge]

Добрый день

On Fri, 21 Jan 2005 09:55:53 +0200
Artem <u2u@nm.ru> wrote:

> Artem wrote:
> 
> > В общем, причина была даже не в конфигах - почему-то не обновляется 
> > chrooted.
> > На тестовой машинке - все ок. А на рабочей - только вызовом 
> > /etc/chroot.d/ldap.all перед запуском slapd.
> > В slapd есть ф-ция
> > adjust()                                                            
> >                           
> >
> > {                                                                   
> >                           
> >
> >        action $"Adjusting environment for slapd:" 
> > /etc/chroot.d/ldap.all || exit
> > }
> >
> Это кусок /etc/rc.d/init.d/slapd образца 1.1.30
> start()                                                               
>                                              
> 
> {                                                                     
>                                              
> 
>         is_yes "$NETWORKING" || return 
> 0                                                                     
>       
> 
>         check || 
> return                                                                
>                             
> 
>         adjust || 
> return                                                                
>                            
> 
>         start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r
>         $ROOT 
> -h "$SLAPDURLLIST"                         
>         
> RETVAL=$?                                                             
>                                      
> 
>         return 
> $RETVAL                                                               
>                               
> 
> }             
> 
> А это - образца 2.2.20-alt1
> 
> start()                                                               
>                                              
> 
> {                                                                     
>                                              
> 
>         is_yes "$NETWORKING" || return 
> 0                                                                     
>       
> 
>         start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r
>         $ROOT 
> -h "$SLAPDURLLIST"                         
>         
> RETVAL=$?                                                             
>                                      
> 
>         return 
> $RETVAL                                                               
>                               
> 
> }       
> 
> Так и должно быть? ;-)
Нет!!! Исправлю!

> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/sisyphus


-- 
Готовьте пакеты для Sisyphus. Если ошибки критические -- поместим в
update. Это нормально.
		-- aen in devel@

Re: [sisyphus] LDAP грабли

[Artem]

Еще одна "граблина". При установке openldap-servers они создают 
софтлинк  /etc/openldap/ssl/~certs  ->
/var/lib/ssl/certs
При обновлении chroot  /etc/chroot.d/ldap.conf пишет:
install: `/etc/openldap/ssl/certs' is a directory

В результате, если добавить в /etc/rc.d/init.d/slapd   обновление 
chroot   вроде  adjust || return, то сервис не стартует:
Adjusting environment for slapd: install: `/etc/openldap/ssl/certs' is a 
directory
[FAILED]



P.S Может, Вы уже и сами обнаружили это? ldap у меня недельной давности 
- 2.2.20-alt1  . Лень новый качать было - я просто скрипт поправил.
P.P.S. А зачем вообще этот софтлинк? Выкинуть его? Или надо править 
/etc/chroot.d/ldap.conf ?

vserge wrote:

>Добрый день
>
>On Fri, 21 Jan 2005 09:55:53 +0200
>Artem <u2u@nm.ru> wrote:
>
>  
>
>>Artem wrote:
>>
>>    
>>
>>>В общем, причина была даже не в конфигах - почему-то не обновляется 
>>>chrooted.
>>>На тестовой машинке - все ок. А на рабочей - только вызовом 
>>>/etc/chroot.d/ldap.all перед запуском slapd.
>>>В slapd есть ф-ция
>>>adjust()                                                            
>>>                          
>>>
>>>{                                                                   
>>>                          
>>>
>>>       action $"Adjusting environment for slapd:" 
>>>/etc/chroot.d/ldap.all || exit
>>>}
>>>
>>>      
>>>
>>Это кусок /etc/rc.d/init.d/slapd образца 1.1.30
>>start()                                                               
>>                                             
>>
>>{                                                                     
>>                                             
>>
>>        is_yes "$NETWORKING" || return 
>>0                                                                     
>>      
>>
>>        check || 
>>return                                                                
>>                            
>>
>>        adjust || 
>>return                                                                
>>                           
>>
>>        start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r
>>        $ROOT 
>>-h "$SLAPDURLLIST"                         
>>        
>>RETVAL=$?                                                             
>>                                     
>>
>>        return 
>>$RETVAL                                                               
>>                              
>>
>>}             
>>
>>А это - образца 2.2.20-alt1
>>
>>start()                                                               
>>                                             
>>
>>{                                                                     
>>                                             
>>
>>        is_yes "$NETWORKING" || return 
>>0                                                                     
>>      
>>
>>        start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r
>>        $ROOT 
>>-h "$SLAPDURLLIST"                         
>>        
>>RETVAL=$?                                                             
>>                                     
>>
>>        return 
>>$RETVAL                                                               
>>                              
>>
>>}       
>>
>>Так и должно быть? ;-)
>>    
>>
>Нет!!! Исправлю!
>
>  
>
>>_______________________________________________
>>Sisyphus mailing list
>>Sisyphus@altlinux.ru
>>https://lists.altlinux.ru/mailman/listinfo/sisyphus
>>    
>>
>
>
>  
>