* [sisyphus] LDAP грабли @ 2005-01-05 13:41 Artem 2005-01-05 15:53 ` Dmitry Lebkov 2005-01-06 12:36 ` [sisyphus] " Michael Shigorin 0 siblings, 2 replies; 30+ messages in thread From: Artem @ 2005-01-05 13:41 UTC (permalink / raw) To: sisyphus Имеется небольшой ldap-серверок. Установлен sysyphus. OpenLDAP 2.1.30-alt3 Все настроено и работает отлично, грабли возникают при переходе на TLS - соединения с ним. Имеются сертификаты ca.cert, ldap.cert и ldap.key. ldap.cert подписан, естеснно, ca.cert Все скинуто в /etc/openldap/ssl , на эти же файлы указывают параметры в slapd.conf Cтартую - все ок (за небольшим исключением, об этом позже). LDAP слушает на 389-м: tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 3927/slapd Пробуем соединиться: ldapsearch -h 172.16.10.70 -D "cn=admin,dc=axis,dc=ces" -W -Z В ответ: ldap_start_tls: Connect error (91) ldap_sasl_interactive_bind_s: Can't contact LDAP server (81) Из gq - то же самое.. Теперь - другое. Несмотря на параметр в /etc/sysconfig/ldap SLAPDURLLIST="ldap:/// ldaps:///" и вывод ps: ldap 3927 0.0 1.3 11420 3452 ? S 14:52 0:00 /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:/// netstat показывает вот что: [root@axis sysconfig]# netstat -ltnp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name ..... tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 3927/slapd ...... А 636 - го порта нигде не видно (ldaps:///) Но если запускать из командной строки вроде: slapd -h "ldap:/// ldaps:///" - то все ок... Вопросы: Что за грабли с TLS и как мне засекурить коннект? Почему такое странное поведение с параметрами -h ? ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-05 13:41 [sisyphus] LDAP грабли Artem @ 2005-01-05 15:53 ` Dmitry Lebkov 2005-01-06 8:03 ` Artem 2005-01-06 12:33 ` [sisyphus] LDAP грабли Artem 2005-01-06 12:36 ` [sisyphus] " Michael Shigorin 1 sibling, 2 replies; 30+ messages in thread From: Dmitry Lebkov @ 2005-01-05 15:53 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Artem wrote: > Имеется небольшой ldap-серверок. Установлен sysyphus. OpenLDAP 2.1.30-alt3 > Все настроено и работает отлично, грабли возникают при переходе на TLS - > соединения с ним. > Имеются сертификаты ca.cert, ldap.cert и ldap.key. ldap.cert подписан, > естеснно, ca.cert > Все скинуто в /etc/openldap/ssl , на эти же файлы указывают параметры в > slapd.conf > > Cтартую - все ок (за небольшим исключением, об этом позже). > LDAP слушает на 389-м: > tcp 0 0 0.0.0.0:389 0.0.0.0:* > LISTEN 3927/slapd > > Пробуем соединиться: > ldapsearch -h 172.16.10.70 -D "cn=admin,dc=axis,dc=ces" -W -Z > > В ответ: > ldap_start_tls: Connect error (91) > ldap_sasl_interactive_bind_s: Can't contact LDAP server (81) > > Из gq - то же самое.. Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое: tls_reqcert never > Теперь - другое. Несмотря на параметр в /etc/sysconfig/ldap > SLAPDURLLIST="ldap:/// ldaps:///" Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:/// еще и в одинарные кавычки. SLAPDURLLIST="'ldap:/// ldaps:///'" > > и вывод ps: > ldap 3927 0.0 1.3 11420 3452 ? S 14:52 0:00 > /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:/// > > netstat показывает вот что: > [root@axis sysconfig]# netstat -ltnp > Active Internet connections (only servers) > Proto Recv-Q Send-Q Local Address Foreign Address > State PID/Program name > ..... > tcp 0 0 0.0.0.0:389 0.0.0.0:* > LISTEN 3927/slapd > ...... > А 636 - го порта нигде не видно (ldaps:///) > Но если запускать из командной строки вроде: > slapd -h "ldap:/// ldaps:///" - то все ок... > > Вопросы: > Что за грабли с TLS и как мне засекурить коннект? Насколько я понимаю, в OpenSSL изменилось поведение по-умолчанию для клиентских сертификатов. > Почему такое странное поведение с параметрами -h ? Потому, что параметорм для ключа считается вся строка до первого пробела. Если значение содержит пробел - заключай строку в кавычки. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-05 15:53 ` Dmitry Lebkov @ 2005-01-06 8:03 ` Artem 2005-01-06 13:29 ` Dmitry Lebkov 2005-01-06 17:41 ` Re[2]: " Volkov Serge 2005-01-06 12:33 ` [sisyphus] LDAP грабли Artem 1 sibling, 2 replies; 30+ messages in thread From: Artem @ 2005-01-06 8:03 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list > > Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое: > tls_reqcert never Да, помогло.. Одно не понятно. Ведь до этого у меня было прописано в ldap.conf : TLS_CACERT /etc/openldap/ssl/ca.cert где ca.cert - копия сертификата сервера. Почему же не выполнялась проверка по данному способу? Сертификаты - в порядке: openssl verify -CAfile ca.cert -verbose ldap.cert ldap.cert: OK > > > Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:/// > еще и в одинарные кавычки. > > SLAPDURLLIST="'ldap:/// ldaps:///'" > Да, с этим нюансом теперь все ясно. Это уже работает. Еще один вопрос - почему /var/log/ldap - пуст ? Следующие грабли - делаем service slapd restart Service slapd is not running. [PASSED] Checking slapd configuration [ DONE ] Adjusting environment for slapd: [ DONE ] Service slapd is already running. [PASSED] Хотя: ps aux | grep slapd ldap 8771 0.0 1.4 11552 3716 ? S 09:22 0:00 /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:/// То же самое и для service slapd stop - остановить невозможно - только путем kill ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-06 8:03 ` Artem @ 2005-01-06 13:29 ` Dmitry Lebkov 2005-01-06 15:07 ` Artem 2005-01-06 17:41 ` Re[2]: " Volkov Serge 1 sibling, 1 reply; 30+ messages in thread From: Dmitry Lebkov @ 2005-01-06 13:29 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Artem wrote: > >> >> Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое: >> tls_reqcert never > > > Да, помогло.. Одно не понятно. Ведь до этого у меня было прописано в > ldap.conf : > > TLS_CACERT /etc/openldap/ssl/ca.cert > где ca.cert - копия сертификата сервера. > Почему же не выполнялась проверка по данному способу? > > Сертификаты - в порядке: > openssl verify -CAfile ca.cert -verbose ldap.cert > ldap.cert: OK А права на чтение этого файла у клиента есть? У меня всё это в свое время вполне нормально работало, но потом надоело собирать сертификаты серверов руками и теперь пользую tls_reqcert never. >> Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:/// >> еще и в одинарные кавычки. >> >> SLAPDURLLIST="'ldap:/// ldaps:///'" >> > Да, с этим нюансом теперь все ясно. Это уже работает. > > Еще один вопрос - почему /var/log/ldap - пуст ? А в конфиге slapd.conf логгинг включен? А syslog знает куда складывать логи от slapd? > Следующие грабли - делаем > service slapd restart > Service slapd is not running. [PASSED] > Checking slapd configuration [ DONE ] > Adjusting environment for slapd: [ DONE ] > Service slapd is already running. [PASSED] > > Хотя: > ps aux | grep slapd > ldap 8771 0.0 1.4 11552 3716 ? S 09:22 0:00 > /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:/// > > То же самое и для service slapd stop - остановить невозможно - только > путем kill Смотреть скрипт /etc/rc.d/init.d/slapd. Скорее всего не хватает прав на создание pid-файла. Эту проблему уже фиксили в какой-то из сборок. А вообще, лучше поставить последний openldap из Сизифа ... ;) -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-06 13:29 ` Dmitry Lebkov @ 2005-01-06 15:07 ` Artem 2005-01-06 15:40 ` Dmitry Lebkov 0 siblings, 1 reply; 30+ messages in thread From: Artem @ 2005-01-06 15:07 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list > > А права на чтение этого файла у клиента есть? Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other Но все равно спасибо. > А в конфиге slapd.conf логгинг включен? А syslog знает > куда складывать логи от slapd? > Значит, придется вправлять мозги syslog Небольшое уточнение напоследок. При проверке сертификата ldap-сервера запрашивается CN владельца сертификата - т.е. делается reverse dns - чей именно CN запрашивается в случае с LDAP ? СA ? Или самого LDAP - сервера? Или оба проверяются? Или это делается только в случае, когда соединение осуществляется по ip , а не по dns - адресу ? ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-06 15:07 ` Artem @ 2005-01-06 15:40 ` Dmitry Lebkov 2005-01-06 15:47 ` Artem 2005-01-06 17:41 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 0 siblings, 2 replies; 30+ messages in thread From: Dmitry Lebkov @ 2005-01-06 15:40 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Artem wrote: > >> >> А права на чтение этого файла у клиента есть? > > > Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other > Но все равно спасибо. > >> А в конфиге slapd.conf логгинг включен? А syslog знает >> куда складывать логи от slapd? >> > Значит, придется вправлять мозги syslog Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое local4.* /var/log/ldap/all и в /etc/openldap/slapd.conf например loglevel 256 получишь логи соединений и обработки запросов. > Небольшое уточнение напоследок. При проверке сертификата ldap-сервера > запрашивается CN владельца сертификата - т.е. делается reverse dns - чей > именно CN запрашивается в случае с LDAP ? СA ? Или самого LDAP - > сервера? Или оба проверяются? Или это делается только в случае, когда > соединение осуществляется по ip , а не по dns - адресу ? Проверяется соответствие IP<->FQDN для сервера, если я правильно помню документацию к OpenSSL ... -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-06 15:40 ` Dmitry Lebkov @ 2005-01-06 15:47 ` Artem 2005-01-06 17:41 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 1 sibling, 0 replies; 30+ messages in thread From: Artem @ 2005-01-06 15:47 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Dmitry Lebkov wrote: > Artem wrote: > >> >>> >>> А права на чтение этого файла у клиента есть? >> >> >> >> Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для >> other >> Но все равно спасибо. >> >>> А в конфиге slapd.conf логгинг включен? А syslog знает >>> куда складывать логи от slapd? >>> >> Значит, придется вправлять мозги syslog > > > Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog > facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое > > local4.* /var/log/ldap/all > > и в /etc/openldap/slapd.conf например > > loglevel 256 > > получишь логи соединений и обработки запросов. > >> Небольшое уточнение напоследок. При проверке сертификата ldap-сервера >> запрашивается CN владельца сертификата - т.е. делается reverse dns - >> чей именно CN запрашивается в случае с LDAP ? СA ? Или самого LDAP - >> сервера? Или оба проверяются? Или это делается только в случае, когда >> соединение осуществляется по ip , а не по dns - адресу ? > > > Проверяется соответствие IP<->FQDN для сервера, если я правильно помню > документацию к OpenSSL ... > Спасибо... Слишком уж вся информация "разбросана" по разным манам - а времени как всегда - не хватает... ;-) ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ 2005-01-06 15:40 ` Dmitry Lebkov 2005-01-06 15:47 ` Artem @ 2005-01-06 17:41 ` Volkov Serge 2005-01-07 1:58 ` [sisyphus] LDAP грабли Dmitry Lebkov 1 sibling, 1 reply; 30+ messages in thread From: Volkov Serge @ 2005-01-06 17:41 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Hello Dmitry, Thursday, January 6, 2005, 6:40:20 PM, you wrote: DL> Artem wrote: >> >>> >>> А права на чтение этого файла у клиента есть? >> >> >> Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other >> Но все равно спасибо. >> >>> А в конфиге slapd.conf логгинг включен? А syslog знает >>> куда складывать логи от slapd? >>> >> Значит, придется вправлять мозги syslog DL> Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog DL> facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое DL> local4.* /var/log/ldap/all DL> и в /etc/openldap/slapd.conf например DL> loglevel 256 DL> получишь логи соединений и обработки запросов. Я вроде включал патч от RH который позволяет все сообщения в логи сыпать от "DAEMON" -- Best regards, Volkov mailto:vserge@altlinux.ru ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-06 17:41 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge @ 2005-01-07 1:58 ` Dmitry Lebkov 2005-01-07 20:25 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 0 siblings, 1 reply; 30+ messages in thread From: Dmitry Lebkov @ 2005-01-07 1:58 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Volkov Serge пишет: > Hello Dmitry, > > Thursday, January 6, 2005, 6:40:20 PM, you wrote: > > DL> Artem wrote: > >>>>А права на чтение этого файла у клиента есть? >>> >>> >>>Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other >>>Но все равно спасибо. >>> >>> >>>>А в конфиге slapd.conf логгинг включен? А syslog знает >>>>куда складывать логи от slapd? >>>> >>> >>>Значит, придется вправлять мозги syslog > > > DL> Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog > DL> facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое > > DL> local4.* /var/log/ldap/all > > DL> и в /etc/openldap/slapd.conf например > > DL> loglevel 256 > > DL> получишь логи соединений и обработки запросов. > > Я вроде включал патч от RH который позволяет все сообщения в логи > сыпать от "DAEMON" Судя по man slapd и по той конфигурации, что у меня работает - default is LOCAL4. Хотя DAEMON в качестве default'а был бы логичнее ;) -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ 2005-01-07 1:58 ` [sisyphus] LDAP грабли Dmitry Lebkov @ 2005-01-07 20:25 ` Volkov Serge 2005-01-08 2:14 ` Re[3]: " Volkov Serge 0 siblings, 1 reply; 30+ messages in thread From: Volkov Serge @ 2005-01-07 20:25 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Hello Dmitry, Friday, January 7, 2005, 4:58:14 AM, you wrote: DL> Volkov Serge пишет: >> Hello Dmitry, >> >> Thursday, January 6, 2005, 6:40:20 PM, you wrote: >> >> DL> Artem wrote: >> >>>>>А права на чтение этого файла у клиента есть? >>>> >>>> >>>>Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other >>>>Но все равно спасибо. >>>> >>>> >>>>>А в конфиге slapd.conf логгинг включен? А syslog знает >>>>>куда складывать логи от slapd? >>>>> >>>> >>>>Значит, придется вправлять мозги syslog >> >> >> DL> Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog >> DL> facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое >> >> DL> local4.* /var/log/ldap/all >> >> DL> и в /etc/openldap/slapd.conf например >> >> DL> loglevel 256 >> >> DL> получишь логи соединений и обработки запросов. >> >> Я вроде включал патч от RH который позволяет все сообщения в логи >> сыпать от "DAEMON" DL> Судя по man slapd и по той конфигурации, что у меня работает - default DL> is LOCAL4. Хотя DAEMON в качестве default'а был бы логичнее ;) учту думаю, что с этой проблемой до понедельника разберемся! Bug#: 5834 bugzilla.altllinux.ru -- Best regards, Volkov mailto:vserge@altlinux.ru ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re[3]: [sisyphus] LDAP ÇÒÁÂÌÉ 2005-01-07 20:25 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge @ 2005-01-08 2:14 ` Volkov Serge 0 siblings, 0 replies; 30+ messages in thread From: Volkov Serge @ 2005-01-08 2:14 UTC (permalink / raw) To: Volkov Serge, ALT Linux Sisyphus discussion list Hello Volkov, Friday, January 7, 2005, 11:25:48 PM, you wrote: VS> Hello Dmitry, VS> Friday, January 7, 2005, 4:58:14 AM, you wrote: DL>> Volkov Serge пишет: >>> Hello Dmitry, >>> >>> Thursday, January 6, 2005, 6:40:20 PM, you wrote: >>> >>> DL> Artem wrote: >>> >>>>>>А права на чтение этого файла у клиента есть? >>>>> >>>>> >>>>>Да я уже и сам обнаружил - на /etc/openldap/ssl отсутствовал "x" для other >>>>>Но все равно спасибо. >>>>> >>>>> >>>>>>А в конфиге slapd.conf логгинг включен? А syslog знает >>>>>>куда складывать логи от slapd? >>>>>> >>>>> >>>>>Значит, придется вправлять мозги syslog >>> >>> >>> DL> Если я не ошибаюсь, по-умолчанию slapd использует local4 syslog >>> DL> facility для логгинга. Т.е. добавить в конфиг syslog'а вот такое >>> >>> DL> local4.* /var/log/ldap/all >>> >>> DL> и в /etc/openldap/slapd.conf например >>> >>> DL> loglevel 256 >>> >>> DL> получишь логи соединений и обработки запросов. >>> >>> Я вроде включал патч от RH который позволяет все сообщения в логи >>> сыпать от "DAEMON" DL>> Судя по man slapd и по той конфигурации, что у меня работает - default DL>> is LOCAL4. Хотя DAEMON в качестве default'а был бы логичнее ;) VS> учту думаю, что с этой проблемой до понедельника разберемся! VS> Bug#: 5834 bugzilla.altllinux.ru Так я вспомнил, что начиная с 1 июля с версии пакета 2.2.14-alt1 я вносил изменения в процесс компиляции openldap была добавлена опция -DLOG_DAEMON=1 , которая не отключате работу LOG_LOCAL4, но при этом все логируется через LOG_DAEMON Пробуйте! -- Best regards, Volkov mailto:vserge@altlinux.ru ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ 2005-01-06 8:03 ` Artem 2005-01-06 13:29 ` Dmitry Lebkov @ 2005-01-06 17:41 ` Volkov Serge 2005-01-06 17:56 ` [sisyphus] LDAP грабли Artem 2005-01-07 1:52 ` Dmitry Lebkov 1 sibling, 2 replies; 30+ messages in thread From: Volkov Serge @ 2005-01-06 17:41 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Hello Artem, Thursday, January 6, 2005, 11:03:21 AM, you wrote: >> >> Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое: >> tls_reqcert never A> Да, помогло.. Одно не понятно. Ведь до этого у меня было прописано в A> ldap.conf : A> TLS_CACERT /etc/openldap/ssl/ca.cert A> где ca.cert - копия сертификата сервера. A> Почему же не выполнялась проверка по данному способу? A> Сертификаты - в порядке: A> openssl verify -CAfile ca.cert -verbose ldap.cert A> ldap.cert: OK >> >> >> Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:/// >> еще и в одинарные кавычки. >> >> SLAPDURLLIST="'ldap:/// ldaps:///'" >> A> Да, с этим нюансом теперь все ясно. Это уже работает. A> Еще один вопрос - почему /var/log/ldap - пуст ? этот вопрос мучаем меня самого :(( к сожалению у себя я использую syslog-ng и там у меня все данные фильтруются по строке slapd мне желательно собрать по польше информации, чтобы вырабоать правильное решение! Вообще у меня есть большое желание убрать логирование через syslog и выводить все логи в файлы! A> Следующие грабли - делаем A> service slapd restart A> Service slapd is not running. [PASSED] A> Checking slapd configuration [ DONE ] A> Adjusting environment for slapd: [ DONE ] A> Service slapd is already running. [PASSED] A> Хотя: A> ps aux | grep slapd A> ldap 8771 0.0 1.4 11552 3716 ? S 09:22 0:00 A> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:/// A> То же самое и для service slapd stop - остановить невозможно - только A> путем kill в новой сборке 2.2.20-alt2 будет немного другой инит скрипт, который сделан по образу и подобию sshd Вопросы: создаются ли файлы в /var/run/slapd.pid /var/run/slurpd.pid ? -- Best regards, Volkov mailto:vserge@altlinux.ru ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-06 17:41 ` Re[2]: " Volkov Serge @ 2005-01-06 17:56 ` Artem 2005-01-07 1:52 ` Dmitry Lebkov 1 sibling, 0 replies; 30+ messages in thread From: Artem @ 2005-01-06 17:56 UTC (permalink / raw) To: Volkov Serge, ALT Linux Sisyphus discussion list Volkov Serge wrote: >A> Еще один вопрос - почему /var/log/ldap - пуст ? >этот вопрос мучаем меня самого :(( к сожалению у себя я использую >syslog-ng и там у меня все данные фильтруются по строке slapd > >мне желательно собрать по польше информации, чтобы вырабоать >правильное решение! > >Вообще у меня есть большое желание убрать логирование через syslog и >выводить все логи в файлы! > > Возможно - так будет лучше? Привести все к "единому знаменателю"... >A> Следующие грабли - делаем >A> service slapd restart >A> Service slapd is not running. [PASSED] >A> Checking slapd configuration [ DONE ] >A> Adjusting environment for slapd: [ DONE ] >A> Service slapd is already running. [PASSED] > >A> Хотя: >A> ps aux | grep slapd >A> ldap 8771 0.0 1.4 11552 3716 ? S 09:22 0:00 >A> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:/// > >A> То же самое и для service slapd stop - остановить невозможно - только >A> путем kill > >в новой сборке 2.2.20-alt2 будет немного другой инит скрипт, который >сделан по образу и подобию sshd > >Вопросы: >создаются ли файлы в /var/run/slapd.pid /var/run/slurpd.pid ? > > Забыл глянуть - сейчас уже не получится - я не на работе. Только после праздников. С наступающим Рождеством! ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-06 17:41 ` Re[2]: " Volkov Serge 2005-01-06 17:56 ` [sisyphus] LDAP грабли Artem @ 2005-01-07 1:52 ` Dmitry Lebkov 2005-01-07 9:36 ` Artem 2005-01-07 20:16 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 1 sibling, 2 replies; 30+ messages in thread From: Dmitry Lebkov @ 2005-01-07 1:52 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Volkov Serge пишет: [skip] > A> Еще один вопрос - почему /var/log/ldap - пуст ? > > этот вопрос мучаем меня самого :(( к сожалению у себя я использую > syslog-ng и там у меня все данные фильтруются по строке slapd > > мне желательно собрать по польше информации, чтобы вырабоать > правильное решение! > > Вообще у меня есть большое желание убрать логирование через syslog и > выводить все логи в файлы! Не, не стоит такое делать. Ну или если делать, то как доп.возможность. Логи-то могут складываться не только в локальный syslog, но и на remote logging host. ;) > A> Следующие грабли - делаем > A> service slapd restart > A> Service slapd is not running. [PASSED] > A> Checking slapd configuration [ DONE ] > A> Adjusting environment for slapd: [ DONE ] > A> Service slapd is already running. [PASSED] > > A> Хотя: > A> ps aux | grep slapd > A> ldap 8771 0.0 1.4 11552 3716 ? S 09:22 0:00 > A> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:/// > > A> То же самое и для service slapd stop - остановить невозможно - только > A> путем kill > > в новой сборке 2.2.20-alt2 будет немного другой инит скрипт, который > сделан по образу и подобию sshd > Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные проблемы с инит-скриптом отсутствуют. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-07 1:52 ` Dmitry Lebkov @ 2005-01-07 9:36 ` Artem 2005-01-07 20:17 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 2005-01-07 20:16 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 1 sibling, 1 reply; 30+ messages in thread From: Artem @ 2005-01-07 9:36 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Dmitry Lebkov wrote: > >> > > Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные > проблемы с инит-скриптом отсутствуют. > Ясно. Обновлю openldap. ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ 2005-01-07 9:36 ` Artem @ 2005-01-07 20:17 ` Volkov Serge 2005-01-08 8:08 ` [sisyphus] LDAP грабли Artem 2005-01-20 10:36 ` Artem 0 siblings, 2 replies; 30+ messages in thread From: Volkov Serge @ 2005-01-07 20:17 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Hello Artem, Friday, January 7, 2005, 12:36:38 PM, you wrote: A> Dmitry Lebkov wrote: >> >>> >> >> Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные >> проблемы с инит-скриптом отсутствуют. >> A> Ясно. Обновлю openldap. подождите пожалуйста до понедельника! я в Сизиф выложу новую стабильную версию OpenLDAP 2.2.20 -- Best regards, Volkov mailto:vserge@altlinux.ru ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-07 20:17 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge @ 2005-01-08 8:08 ` Artem 2005-01-20 10:36 ` Artem 1 sibling, 0 replies; 30+ messages in thread From: Artem @ 2005-01-08 8:08 UTC (permalink / raw) To: Volkov Serge, ALT Linux Sisyphus discussion list Volkov Serge wrote: >Hello Artem, > >Friday, January 7, 2005, 12:36:38 PM, you wrote: > >A> Dmitry Lebkov wrote: > > > >>>Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные >>>проблемы с инит-скриптом отсутствуют. >>> >>> >>> >A> Ясно. Обновлю openldap. > >подождите пожалуйста до понедельника! > >я в Сизиф выложу новую стабильную версию OpenLDAP 2.2.20 > > > Ok! :-) ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-07 20:17 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 2005-01-08 8:08 ` [sisyphus] LDAP грабли Artem @ 2005-01-20 10:36 ` Artem 2005-01-20 11:16 ` Epiphanov Sergei 1 sibling, 1 reply; 30+ messages in thread From: Artem @ 2005-01-20 10:36 UTC (permalink / raw) To: Volkov Serge, ALT Linux Sisyphus discussion list Обновился, перезапуск-останов в норме. Но периодически выскакивают другие сообщения: service slapd restart Checking slapd configuration [ DONE ] Stopping slapd service: start-stop-daemon: warning: failed to send signal 15 to 27884: No such process 1 pids were not killed [ DONE ] Starting slapd service: [ DONE ] Появился вопрос другого рода - а что это с ACL творится? Написал для пробы в slapd.conf: access to * by dn.base="cn=admin,dc=myserver,dc=mydomain" write by * none by users none А из gq все равно можно просматривать объекты авторизовавшимся пользователем. Правда с постоянной выдачей кучи ошибок. "Server not configured"(gq-0.7.0-alt12). Из gq-1.0 (из дедала) - "OpenLDAP Cannot find last-resort schema server" Данные эти - не кэшированные (кэш в gq отключен, при изменении данных admin-ом и последующим просмотром пользователем - видно, что они изменены). В slapd-access.conf все закомментил. Еще вопрос - вместе с slapd крутится bind . При остановленном bind - запуск slapd моментальный. При запущенном - секунд 20-25. В чем дело? Volkov Serge wrote: >Hello Artem, > >Friday, January 7, 2005, 12:36:38 PM, you wrote: > >A> Dmitry Lebkov wrote: > > > >>>Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные >>>проблемы с инит-скриптом отсутствуют. >>> >>> >>> >A> Ясно. Обновлю openldap. > >подождите пожалуйста до понедельника! > >я в Сизиф выложу новую стабильную версию OpenLDAP 2.2.20 > > > ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-20 10:36 ` Artem @ 2005-01-20 11:16 ` Epiphanov Sergei 2005-01-20 11:27 ` vserge 0 siblings, 1 reply; 30+ messages in thread From: Epiphanov Sergei @ 2005-01-20 11:16 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list В сообщении от 20 Январь 2005 13:36 Artem написал: > Еще вопрос - вместе с slapd крутится bind . При остановленном bind - > запуск slapd моментальный. При запущенном - секунд 20-25. В чем дело? Судя по всему, slapd не может найти имя сервера в /etc/hosts, опрашивает bind, который тоже ничего об имени компьютера не знает и не может найти это имя у других серверов. Пропишите в /etc/hosts строку <IP> <имя компьютера, гда запускаете slapd> -- С уважением, Епифанов Сергей ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-20 11:16 ` Epiphanov Sergei @ 2005-01-20 11:27 ` vserge 2005-01-20 12:56 ` Artem 0 siblings, 1 reply; 30+ messages in thread From: vserge @ 2005-01-20 11:27 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list On Thu, 20 Jan 2005 14:16:04 +0300 Epiphanov Sergei <serpiph@nikiet.ru> wrote: > В сообщении от 20 Январь 2005 13:36 Artem написал: > > Еще вопрос - вместе с slapd крутится bind . При остановленном bind - > > запуск slapd моментальный. При запущенном - секунд 20-25. В чем > > дело? > > Судя по всему, slapd не может найти имя сервера в /etc/hosts, > опрашивает bind, который тоже ничего об имени компьютера не знает и не > может найти это имя у других серверов. Пропишите в /etc/hosts строку > > <IP> <имя компьютера, гда запускаете slapd> А что написано в /etc/sysconfig/ldap и кто является резовером для данного сервера? > > -- > С уважением, Епифанов Сергей > _______________________________________________ > Sisyphus mailing list > Sisyphus@altlinux.ru > https://lists.altlinux.ru/mailman/listinfo/sisyphus -- > блин... на 19" в текст-моде... это хардкор... а представьте, мне на 21" каково? ;-) -- mike in community@ ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-20 11:27 ` vserge @ 2005-01-20 12:56 ` Artem 2005-01-20 13:32 ` Dmitry Lebkov 0 siblings, 1 reply; 30+ messages in thread From: Artem @ 2005-01-20 12:56 UTC (permalink / raw) To: vserge, ALT Linux Sisyphus discussion list vserge wrote: >On Thu, 20 Jan 2005 14:16:04 +0300 >Epiphanov Sergei <serpiph@nikiet.ru> wrote: > > > >>В сообщении от 20 Январь 2005 13:36 Artem написал: >> >> >>>Еще вопрос - вместе с slapd крутится bind . При остановленном bind - >>>запуск slapd моментальный. При запущенном - секунд 20-25. В чем >>>дело? >>> >>> >>Судя по всему, slapd не может найти имя сервера в /etc/hosts, >>опрашивает bind, который тоже ничего об имени компьютера не знает и не >>может найти это имя у других серверов. Пропишите в /etc/hosts строку >> >><IP> <имя компьютера, гда запускаете slapd> >> >> >А что написано в /etc/sysconfig/ldap >и кто является резовером для данного сервера? > > С запуском разобрался - спасибо за подсказку! А вот с ACL - "непонятки" остались.. > > >>-- >>С уважением, Епифанов Сергей >>_______________________________________________ >>Sisyphus mailing list >>Sisyphus@altlinux.ru >>https://lists.altlinux.ru/mailman/listinfo/sisyphus >> >> ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-20 12:56 ` Artem @ 2005-01-20 13:32 ` Dmitry Lebkov 2005-01-20 14:06 ` Artem 2005-01-21 7:42 ` Artem 0 siblings, 2 replies; 30+ messages in thread From: Dmitry Lebkov @ 2005-01-20 13:32 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Artem wrote: > vserge wrote: > >> On Thu, 20 Jan 2005 14:16:04 +0300 >> Epiphanov Sergei <serpiph@nikiet.ru> wrote: >> [skip] >> >> А что написано в /etc/sysconfig/ldap >> и кто является резовером для данного сервера? >> >> > С запуском разобрался - спасибо за подсказку! > > А вот с ACL - "непонятки" остались.. Советую прочитать OpenLDAP 2.2 Administrator's Guide. Либо из пакета, либо на www.openldap.org. В 2.2.x изменился формат описания ACL. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-20 13:32 ` Dmitry Lebkov @ 2005-01-20 14:06 ` Artem 2005-01-21 7:42 ` Artem 1 sibling, 0 replies; 30+ messages in thread From: Artem @ 2005-01-20 14:06 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Dmitry Lebkov wrote: > Artem wrote: > >> vserge wrote: >> >>> On Thu, 20 Jan 2005 14:16:04 +0300 >>> Epiphanov Sergei <serpiph@nikiet.ru> wrote: >>> > [skip] > >>> >>> А что написано в /etc/sysconfig/ldap >>> и кто является резовером для данного сервера? >>> >>> >> С запуском разобрался - спасибо за подсказку! >> >> А вот с ACL - "непонятки" остались.. > > > Советую прочитать OpenLDAP 2.2 Administrator's Guide. Либо из пакета, > либо на www.openldap.org. В 2.2.x изменился формат описания ACL. > > То-то я голову ломаю - почему старые конфиги не работают. Обновлялся-то с 1.1... Спасибо, буду читать.... :-[ ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-20 13:32 ` Dmitry Lebkov 2005-01-20 14:06 ` Artem @ 2005-01-21 7:42 ` Artem 2005-01-21 7:55 ` Artem 1 sibling, 1 reply; 30+ messages in thread From: Artem @ 2005-01-21 7:42 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list В общем, причина была даже не в конфигах - почему-то не обновляется chrooted. На тестовой машинке - все ок. А на рабочей - только вызовом /etc/chroot.d/ldap.all перед запуском slapd. В slapd есть ф-ция adjust() { action $"Adjusting environment for slapd:" /etc/chroot.d/ldap.all || exit } Похоже, она занимается там тем, что ничем не занимается? Еще вспомнил - на тестовой машинке chrooted для slapd обновлялся при полном перезапуске - с выдачей кучи сообщений. А если без перезапуска - то как? ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-21 7:42 ` Artem @ 2005-01-21 7:55 ` Artem 2005-01-21 22:20 ` vserge 0 siblings, 1 reply; 30+ messages in thread From: Artem @ 2005-01-21 7:55 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Artem wrote: > В общем, причина была даже не в конфигах - почему-то не обновляется > chrooted. > На тестовой машинке - все ок. А на рабочей - только вызовом > /etc/chroot.d/ldap.all перед запуском slapd. > В slapd есть ф-ция > adjust() > > { > > action $"Adjusting environment for slapd:" > /etc/chroot.d/ldap.all || exit > } > Это кусок /etc/rc.d/init.d/slapd образца 1.1.30 start() { is_yes "$NETWORKING" || return 0 check || return adjust || return start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r $ROOT -h "$SLAPDURLLIST" RETVAL=$? return $RETVAL } А это - образца 2.2.20-alt1 start() { is_yes "$NETWORKING" || return 0 start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r $ROOT -h "$SLAPDURLLIST" RETVAL=$? return $RETVAL } Так и должно быть? ;-) ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-21 7:55 ` Artem @ 2005-01-21 22:20 ` vserge 2005-01-24 11:05 ` Artem 0 siblings, 1 reply; 30+ messages in thread From: vserge @ 2005-01-21 22:20 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Добрый день On Fri, 21 Jan 2005 09:55:53 +0200 Artem <u2u@nm.ru> wrote: > Artem wrote: > > > В общем, причина была даже не в конфигах - почему-то не обновляется > > chrooted. > > На тестовой машинке - все ок. А на рабочей - только вызовом > > /etc/chroot.d/ldap.all перед запуском slapd. > > В slapd есть ф-ция > > adjust() > > > > > > { > > > > > > action $"Adjusting environment for slapd:" > > /etc/chroot.d/ldap.all || exit > > } > > > Это кусок /etc/rc.d/init.d/slapd образца 1.1.30 > start() > > > { > > > is_yes "$NETWORKING" || return > 0 > > > check || > return > > > adjust || > return > > > start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r > $ROOT > -h "$SLAPDURLLIST" > > RETVAL=$? > > > return > $RETVAL > > > } > > А это - образца 2.2.20-alt1 > > start() > > > { > > > is_yes "$NETWORKING" || return > 0 > > > start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r > $ROOT > -h "$SLAPDURLLIST" > > RETVAL=$? > > > return > $RETVAL > > > } > > Так и должно быть? ;-) Нет!!! Исправлю! > _______________________________________________ > Sisyphus mailing list > Sisyphus@altlinux.ru > https://lists.altlinux.ru/mailman/listinfo/sisyphus -- Готовьте пакеты для Sisyphus. Если ошибки критические -- поместим в update. Это нормально. -- aen in devel@ ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-21 22:20 ` vserge @ 2005-01-24 11:05 ` Artem 0 siblings, 0 replies; 30+ messages in thread From: Artem @ 2005-01-24 11:05 UTC (permalink / raw) To: vserge, ALT Linux Sisyphus discussion list Еще одна "граблина". При установке openldap-servers они создают софтлинк /etc/openldap/ssl/~certs -> /var/lib/ssl/certs При обновлении chroot /etc/chroot.d/ldap.conf пишет: install: `/etc/openldap/ssl/certs' is a directory В результате, если добавить в /etc/rc.d/init.d/slapd обновление chroot вроде adjust || return, то сервис не стартует: Adjusting environment for slapd: install: `/etc/openldap/ssl/certs' is a directory [FAILED] P.S Может, Вы уже и сами обнаружили это? ldap у меня недельной давности - 2.2.20-alt1 . Лень новый качать было - я просто скрипт поправил. P.P.S. А зачем вообще этот софтлинк? Выкинуть его? Или надо править /etc/chroot.d/ldap.conf ? vserge wrote: >Добрый день > >On Fri, 21 Jan 2005 09:55:53 +0200 >Artem <u2u@nm.ru> wrote: > > > >>Artem wrote: >> >> >> >>>В общем, причина была даже не в конфигах - почему-то не обновляется >>>chrooted. >>>На тестовой машинке - все ок. А на рабочей - только вызовом >>>/etc/chroot.d/ldap.all перед запуском slapd. >>>В slapd есть ф-ция >>>adjust() >>> >>> >>>{ >>> >>> >>> action $"Adjusting environment for slapd:" >>>/etc/chroot.d/ldap.all || exit >>>} >>> >>> >>> >>Это кусок /etc/rc.d/init.d/slapd образца 1.1.30 >>start() >> >> >>{ >> >> >> is_yes "$NETWORKING" || return >>0 >> >> >> check || >>return >> >> >> adjust || >>return >> >> >> start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r >> $ROOT >>-h "$SLAPDURLLIST" >> >>RETVAL=$? >> >> >> return >>$RETVAL >> >> >>} >> >>А это - образца 2.2.20-alt1 >> >>start() >> >> >>{ >> >> >> is_yes "$NETWORKING" || return >>0 >> >> >> start_daemon --lockfile "$LOCKFILE" -- $DAEMON -u ldap -r >> $ROOT >>-h "$SLAPDURLLIST" >> >>RETVAL=$? >> >> >> return >>$RETVAL >> >> >>} >> >>Так и должно быть? ;-) >> >> >Нет!!! Исправлю! > > > >>_______________________________________________ >>Sisyphus mailing list >>Sisyphus@altlinux.ru >>https://lists.altlinux.ru/mailman/listinfo/sisyphus >> >> > > > > ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ 2005-01-07 1:52 ` Dmitry Lebkov 2005-01-07 9:36 ` Artem @ 2005-01-07 20:16 ` Volkov Serge 1 sibling, 0 replies; 30+ messages in thread From: Volkov Serge @ 2005-01-07 20:16 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Приветствую! Friday, January 7, 2005, 4:52:55 AM, you wrote: DL> Volkov Serge пишет: DL> [skip] >> A> Еще один вопрос - почему /var/log/ldap - пуст ? >> >> этот вопрос мучаем меня самого :(( к сожалению у себя я использую >> syslog-ng и там у меня все данные фильтруются по строке slapd >> >> мне желательно собрать по польше информации, чтобы вырабоать >> правильное решение! >> >> Вообще у меня есть большое желание убрать логирование через syslog и >> выводить все логи в файлы! DL> Не, не стоит такое делать. Ну или если делать, то как доп.возможность. DL> Логи-то могут складываться не только в локальный syslog, но и на DL> remote logging host. ;) Это безусловно!!!, просто у меня стоит задача разобраться как лучше! попробую посмотреть как это сделано с точки зрения логики в sshd и bind и потом посмотрим! Дима тебе я обязательно напишу! >> A> Следующие грабли - делаем >> A> service slapd restart >> A> Service slapd is not running. [PASSED] >> A> Checking slapd configuration [ DONE ] >> A> Adjusting environment for slapd: [ DONE ] >> A> Service slapd is already running. [PASSED] >> >> A> Хотя: >> A> ps aux | grep slapd >> A> ldap 8771 0.0 1.4 11552 3716 ? S 09:22 0:00 >> A> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:/// >> >> A> То же самое и для service slapd stop - остановить невозможно - только >> A> путем kill >> >> в новой сборке 2.2.20-alt2 будет немного другой инит скрипт, который >> сделан по образу и подобию sshd >> DL> Сергей, у человека OpenLDAP 2.1.30-alt3 ... В 2.2.19-alt1 вышеописанные DL> проблемы с инит-скриптом отсутствуют. ок, просто я обнаружил проблему при condrestart :( -- Best regards, Volkov mailto:vserge@altlinux.ru ^ permalink raw reply [flat|nested] 30+ messages in thread
* Re: [sisyphus] LDAP грабли 2005-01-05 15:53 ` Dmitry Lebkov 2005-01-06 8:03 ` Artem @ 2005-01-06 12:33 ` Artem 1 sibling, 0 replies; 30+ messages in thread From: Artem @ 2005-01-06 12:33 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Еще вдогонку - содержимое ldap.conf: tls_reqcert never -все ок... Как только добавляю в него: tls_cacert /etc/openldap/ssl/ca.cert ...сразу же становится невозможно соединиться с ldap по ssl: ldap_start_tls: Connect error (91) ldap_sasl_interactive_bind_s: Can't contact LDAP server (81) ^ permalink raw reply [flat|nested] 30+ messages in thread
* [sisyphus] Re: LDAP грабли 2005-01-05 13:41 [sisyphus] LDAP грабли Artem 2005-01-05 15:53 ` Dmitry Lebkov @ 2005-01-06 12:36 ` Michael Shigorin 1 sibling, 0 replies; 30+ messages in thread From: Michael Shigorin @ 2005-01-06 12:36 UTC (permalink / raw) To: sisyphus On Wed, Jan 05, 2005 at 03:41:29PM +0200, Artem wrote: > Имеется небольшой ldap-серверок. http://lists.osdn.org.ua/wws/info/openldap -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 30+ messages in thread
end of thread, other threads:[~2005-01-24 11:05 UTC | newest] Thread overview: 30+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-01-05 13:41 [sisyphus] LDAP грабли Artem 2005-01-05 15:53 ` Dmitry Lebkov 2005-01-06 8:03 ` Artem 2005-01-06 13:29 ` Dmitry Lebkov 2005-01-06 15:07 ` Artem 2005-01-06 15:40 ` Dmitry Lebkov 2005-01-06 15:47 ` Artem 2005-01-06 17:41 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 2005-01-07 1:58 ` [sisyphus] LDAP грабли Dmitry Lebkov 2005-01-07 20:25 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 2005-01-08 2:14 ` Re[3]: " Volkov Serge 2005-01-06 17:41 ` Re[2]: " Volkov Serge 2005-01-06 17:56 ` [sisyphus] LDAP грабли Artem 2005-01-07 1:52 ` Dmitry Lebkov 2005-01-07 9:36 ` Artem 2005-01-07 20:17 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 2005-01-08 8:08 ` [sisyphus] LDAP грабли Artem 2005-01-20 10:36 ` Artem 2005-01-20 11:16 ` Epiphanov Sergei 2005-01-20 11:27 ` vserge 2005-01-20 12:56 ` Artem 2005-01-20 13:32 ` Dmitry Lebkov 2005-01-20 14:06 ` Artem 2005-01-21 7:42 ` Artem 2005-01-21 7:55 ` Artem 2005-01-21 22:20 ` vserge 2005-01-24 11:05 ` Artem 2005-01-07 20:16 ` Re[2]: [sisyphus] LDAP ÇÒÁÂÌÉ Volkov Serge 2005-01-06 12:33 ` [sisyphus] LDAP грабли Artem 2005-01-06 12:36 ` [sisyphus] " Michael Shigorin
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git