From: Dmitry <tssb@mail.ru>
To: Sysadmins@lists.altlinux.org
Subject: [Sysadmins] OpenLDAP vs BIND
Date: Sat, 15 Mar 2008 23:46:54 +0300
Message-ID: <47DC35BE.9040805@mail.ru> (raw)
Здравствуйте.
Имеется ALTS4.0.1 с настроенной авторизацией пользователей через ldap.
Установил на этот сервер bind, и сразу же при загрузке системы
получил задержку ~2 минуты.
В логе обнаружил сообщение следующего содержания:
named[4758]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1:
Can't contact LDAP server
named[4758]: nss_ldap: could not search LDAP server - Server is unavailable
Т.е. LDAP-сервер недоступен, так как он стартует позже BIND.
Сразу же возник вопрос: как bind связан с ldap?
Ответ: сам named никак не связан с ldap, но он запускается от имени
пользователя named.named.
Однако, согласно nsswitch.conf...
-------------nsswitch.conf-------------
passwd: files ldap nisplus nis
group: files ldap nisplus nis
shadow: tcb files ldap nisplus nis
---------------------------------------
...до ldap не должно доходить, так как named - локальный пользователь,
принадлежащий локальной группе named.
------------------------------------------------
[root@linux log]# cat /etc/group | grep named
named:x:25:
------------------------------------------------
И действительно, после корректировки строки в nsswitch.conf...
-------------nsswitch.conf-------------
group: files nisplus nis
-------------nsswitch.conf-------------
...запуск BIND при загрузке произошел без задержек и ошибок логе.
То, что группа named - локальная подтвердила команда id...
--------------------------------------------
uid=25(named) gid=25(named) groups=25(named)
--------------------------------------------
которая успешно отработала.
Но такая конфигурация nsswitch.conf меня не устраивает -
не работает отображение групп в LDAP.
Поэтому пришлось вернуть строку
-------------nsswitch.conf-------------
group: files ldap nisplus nis
---------------------------------------
Попытка ограничить работу libnss_ldap с помощью модификатора
[SUCCESS=return] не дала результата...
-------------nsswitch.conf--------------------------
group: files [SUCCESS=return] ldap nisplus nis
----------------------------------------------------
... при загрузке при запуске BIND вернулись тормоза и жалоба на
недоступность ldap-сервера в логе.
Поиск в google дал ссылку на дискуссию о похожем баге в Debian
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375077
В bugillа нашел
https://bugzilla.altlinux.org/show_bug.cgi?id=12400
https://bugzilla.altlinux.org/show_bug.cgi?id=8986
Решение, которое здесь предлагается - добавить
bind_policy soft в nss_ldap.conf.
Безусловно, это помогло - тормозов при загрузке не стало,
но осталось сообщение об ошибке в логе, так как обращение
к LDAP-серверу при запуске осталось в libnss_ldap.
Вопрос: почему происходит обращение к LDAP-серверу за именем
группы (лог openldap это подтверждает), когда она присутствует
в файле /etc/group?
Если это ошибка, то это ошибка самого nss-фрейма или libnss_files,
а не ошибка nss_ldap. Как следствие, замена nss_ldap на nss-ldapd
проблему не решает.
Спасибо.
С наилучшими пожеланиями,
Дмитрий
PS. В PAM сначала pam_tcb, а потом - pam_ldap.
reply other threads:[~2008-03-15 20:46 UTC|newest]
Thread overview: [no followups] expand[flat|nested] mbox.gz Atom feed
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=47DC35BE.9040805@mail.ru \
--to=tssb@mail.ru \
--cc=Sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git