[sisyphus] alterator ldap и немного некропостинга (was: beta day)

[sisyphus] alterator ldap и немного некропостинга (was: beta day)

[Алексей Синицын]

7 июня 2011 г. 16:26 пользователь Anton V. Boyarshinov
<boyarsh@altlinux.org> написал:
> On Tue, 7 Jun 2011 15:36:55 +0400 Maks Re wrote:
>
>
>
>> в молуде лдап
>> "Только для чтения. Вы можете удалять базы, но не можете создавать
>> новые."
> Судя по всему, не включена схема: /etc/openldap/schema/samba.schema
> Включить её можно в модуле openldap в интерфейсе управления схемами..
> Странно, она должна включтаться сама.. А samba-server вообще
> установлен?
>

 Подтверждаю.

10:42 root@cube /etc/openldap # grep samba slapd.conf
#include                /etc/openldap/schema/samba2.schema
#include                /etc/openldap/schema/samba3.schema
include         /etc/openldap/schema/samba.schema
10:42 root@cube /etc/openldap # rpm -qf /etc/openldap/schema/samba*.schema
openldap2.4-servers-2.4.24-alt5
openldap2.4-servers-2.4.24-alt5
samba-3.5.14-alt1.M60P.1
10:42 root@cube /etc/openldap #

 Незакомментированная строка в конфиге вписана принудительно вручную.

 В веб интерфейсе в списке схем, которые возможно подключить, только
samba2 и samba3. После подключения схемы samba3 картина не изменилась.
После добавления схемы samba, стало возможно создавать базы.

 Последовательность установки пакетов, и что ставилось при установке а
что позже, уже не назову.

Re: [sisyphus] alterator ldap и немного некропостинга (was: beta day)

[Dmitriy Kruglikov]

26 апреля 2012 г. 9:54 пользователь Алексей Синицын написал:
> 7 июня 2011 г. 16:26 пользователь Anton V. Boyarshinov написал:

>> Судя по всему, не включена схема: /etc/openldap/schema/samba.schema
Это потому, что файл схемы в /etc/openldap/schema/ есть, а в
/etc/openldap/slapd.conf
он не прописан...

>> Включить её можно в модуле openldap в интерфейсе управления схемами..
Только в том случае, если там нужная строка есть.

>> Странно, она должна включтаться сама..
Это если при установке samba будут произведены изменения в slapd.conf.
А это взрывоопасно...

>  Подтверждаю.
И я подтверждаю.
И более того, мог бы исправить модуль alterator, но не вижу четкой и
однозначной политики.

Можно, теоретически, список модулей формировать на основе содержимого
/etc/openldap/schema,
но опять же, схем там может быть много, но не все их можно и нужно включать.

Некоторые схемы попросту несовместимы...

А необходимость схемы samba в случае, если она не установлена и/или не
используется
действительно сомнительна, но модули управления пользователями и
группами оч-ч-ч-чень сильно
заточены на использование атрибутов из этой схемы.

Оторвать?
Можно, но дерево вариантов и сложность ИИ возрастает в геометрической
прогрессии...

>
>  Незакомментированная строка в конфиге вписана принудительно вручную.
И, обратите внимание, теперь она и в интерфейсе управления видна ;)

>  Последовательность установки пакетов, и что ставилось при установке а
> что позже, уже не назову.

Нет необходимости.
Причина известна, пути решения проблемы весьма туманны, к сожалению.

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] alterator ldap и немного некропостинга (was: beta day)

[Алексей Синицын]

26 апреля 2012 г. 11:55 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
>
> Причина известна, пути решения проблемы весьма туманны, к сожалению.

 Как временный обход, можно к комментарию о режиме "только чтения"
добавить строку о необходимом действии.

 Само действие несложное, но узнать что именно нужно сделать может
быть затруднительнее.

Re: [sisyphus] alterator ldap и немного некропостинга (was: beta day)

[Dmitriy Kruglikov]

26 апреля 2012 г. 11:18 пользователь Алексей Синицын написал:

>  Как временный обход, можно к комментарию о режиме "только чтения"
> добавить строку о необходимом действии.
Странно... У меня, локально, такое предупреждение есть...
Я ж его сам и написал ;) Давно, правда...

А почему нет в пакете, нужно выяснить...

>  Само действие несложное, но узнать что именно нужно сделать может
> быть затруднительнее.

Еще и кнопку сделать "Забалабенить рабочий вариант" ;)
Это для слабых...



-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] alterator ldap и немного некропостинга (was: beta day)

[Алексей Синицын]

26 апреля 2012 г. 12:25 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
> 26 апреля 2012 г. 11:18 пользователь Алексей Синицын написал:
>
>>  Как временный обход, можно к комментарию о режиме "только чтения"
>> добавить строку о необходимом действии.
> Странно... У меня, локально, такое предупреждение есть...
> Я ж его сам и написал ;) Давно, правда...
>
> А почему нет в пакете, нужно выяснить...
>

 У меня не сизиф а кентавр. Это просто искал как исправить и нашёл в рассылке.

Re: [sisyphus] alterator ldap и немного некропостинга (was: beta day)

[Алексей Синицын]

26 апреля 2012 г. 12:25 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
> 26 апреля 2012 г. 11:18 пользователь Алексей Синицын написал:
>
>>  Как временный обход, можно к комментарию о режиме "только чтения"
>> добавить строку о необходимом действии.
> Странно... У меня, локально, такое предупреждение есть...
> Я ж его сам и написал ;) Давно, правда...
>
> А почему нет в пакете, нужно выяснить...
>
>>  Само действие несложное, но узнать что именно нужно сделать может
>> быть затруднительнее.
>
> Еще и кнопку сделать "Забалабенить рабочий вариант" ;)
> Это для слабых...
>

 А вот может подскажете ещё по такому вопросу. Как можно проверить
возможность авторизации в ldap из командной строки?

 Повесил дома веб календарь: http://www.k5n.us/webcalendar.php  и
хотел включить в нём централизованную авторизацию. Но на халяву,
естественно, не прокатило, а как найти узкое место пока не знаю. По
хорошему надо встать там где веб приложение и определить: сервер не
авторизует или клиент с ним не может договориться. В логах что то не
найду ничего. Нашёл утилиту ldapsearch, но она возвращает
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
 Это значит что сервер не отвечает или ей нужно по другому пользоваться?

Re: [sisyphus] alterator ldap и немного некропостинга (was: beta day)

[Dmitriy Kruglikov]

26 апреля 2012 г. 16:26 пользователь Алексей Синицын написал:

>  А вот может подскажете ещё по такому вопросу. Как можно проверить
> возможность авторизации в ldap из командной строки?

Да, ldapsearch подойдет для этих целей, думаю...
С -D binddn будет авторизоваться, если сможет...
Или скажет о том, что авторизация не прошла...

Can't contact LDAP server, то это она сервера не видит совсем...
Если не localhost, то вызов с явным указанием -H ldapuri или -h ldaphost
должно помочь...
Рекомендую так же и -b searchbase указывать...





-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;