[Sysadmins] Не резольвятся пользователи в LDAP (+SAMBA)

"А. Куликовский" =?iso-8859-1?q?kae_=CE=C1_tut=2Eby?=
Чт Янв 15 17:40:16 UTC 2009 

Доброго времени.
Имеется ALS4 обновленный из "Sisyphus stable branch for ALT Linux 4.0 
Server". Пытаюсь поднять PDC взамен покойного Вынь2к. В основном делал 
по "Настройка OpenLDAP и его клиентов" из http://freesource.info/wiki/. 
Кроме того использовал smbldap-tools_0.9.2 - для заполнения и создания 
юзеров/паролей.  ldapsearch всё созданное успешно показывает. Даже TLS 
вроде как работает - openssl s_client -connect и т.д. показывает как 
будто то, что надо.
Но! Система пользователей не видит.
В nss_ldap.conf и pam_ldap.conf прописан rootbinddn uid=user_admin,... 
Файл pam_ldap.secret имеется. Для этого юзера прописаны ACL согласно 
"Настройка OpenLDAP и его клиентов". В slapd-access.conf заменено People 
на Users (smbldap-tools так хочет)
Создан  юзер "s", пробую
[root на srv log]# id s
id: s: No such user
пытаюсь зайти им с консоли. В логах slapd имеем:
---
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat: 
uid=user_admin,ou=users,dc=g1,dc=schoolnet
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat: self
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat: users
Jan 15 19:16:30 srv slapd[26562]: <= acl_mask: no more <who> clauses, 
returning =0 (stop)
Jan 15 19:16:30 srv slapd[26562]: => access_allowed: read access denied 
by =0
Jan 15 19:16:30 srv slapd[26562]: send_search_entry: conn 76 access to 
attribute gecos, value #0 not allowed
Jan 15 19:16:30 srv slapd[26562]: => access_allowed: read access to 
"uid=s,ou=Users,dc=g1,dc=schoolnet" "userPassword" requested
Jan 15 19:16:30 srv slapd[26562]: => acl_get: [1] attr userPassword
Jan 15 19:16:30 srv slapd[26562]: access_allowed: no res from state 
(userPassword)
Jan 15 19:16:30 srv slapd[26562]: => acl_mask: access to entry 
"uid=s,ou=Users,dc=g1,dc=schoolnet", attr "userPassword" requested
Jan 15 19:16:30 srv slapd[26562]: => acl_mask: to value by "", (=0)
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat: self
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat: anonymous
Jan 15 19:16:30 srv slapd[26562]: <= acl_mask: [2] applying auth(=xd) 
(stop)
Jan 15 19:16:30 srv slapd[26562]: <= acl_mask: [2] mask: auth(=xd)
Jan 15 19:16:30 srv slapd[26562]: => access_allowed: read access denied 
by auth(=xd)
Jan 15 19:16:30 srv slapd[26562]: send_search_entry: conn 76 access to 
attribute userPassword, value #0 not allowed
---
Т.е. как-бы все работает, но почему-то
=> access_allowed: read access denied by auth(=xd)
и
attribute userPassword, value #0 not allowed
хотя ldapsearch говорит, что
userPassword:: e1NTSEF9Vnk...итд

Что интересно, пробовал нескольких юзеров на роль rootbinddn uid= в 
nss_ldap.conf и pam_ldap.conf, так если пароль в pam_ldap.secret 
неверный, то ругается на credentials

Что еще курить?

-- 
С уважением, А.Куликовский
Гимназия №1, г.Дзержинск, РБ

Подробная информация о списке рассылки Sysadmins