[sisyphus] OpenLDAP

[Aleksey Avdeev]

Peter V. Saveliev пишет:
> В Чтв, 03.07.2003, в 00:02, Volkov Serge пишет:
> 
>>Hello Peter,
>>
>>Wednesday, July 02, 2003, 10:02:16 PM, you wrote:
>>
>>PVS> ...
>>
>>PVS> Очень сильно отстал от жизни, работы было очень много... Не глядя,
>>PVS> обновился, apt поставил мне новый openldap-server, и я чуть не
>>PVS> поседел... У всех обновление прошло нормально, я один такой странный?

   У меня тоже подобная проблема. К счастью, на LDAP я ещё не 
подсел - экспериментирую только (с SSL ещё не всё понятно: 
непонял где надо сгенерённый сертификат CA хранить).

>>
>>PVS> То, что слегка изменился конфиг - опущу, это моя бага, а не пакета. Вот.
>>Я вроде стрался чтобы была совместимость со старой версией ?!
> 
> 
> Я ж говорю - моя бага :) Не упомянул, где модули лежат. В мастерской
> версии это не мешает работать.

   У меня в новом конфиге появились следующее:

/etc/openldap/slapd.conf.rpmnew:

-------------------------

...

# Load dynamic backend modules:
modulepath      /usr/lib/openldap
# moduleload    back_bdb.la
moduleload      back_ldap.la

...

-------------------------

   Но! Файла /usr/lib/openldap/back_ldap.la на диске я не наблюдаю.

> 
> 
>>PVS> Но, я не понял, как /etc/sysconfig/ldap попадает в командную строчку при
>>в смысле ???
> 
> 
> В прямом. Не нашёл, где переменные, указанные в /etc/sysconfig/ldap явно
> помещаются в строку, которой запускается сервис:
> 
> /etc/sysconfig/ldap
> 8<----------------------------------------------------------------
> # nice level for slapd
> SLAPDNICE="+2"
> # debug level for slapd
> SLAPDSYSLOGLEVEL="0"
> SLAPDSYSLOGLOCALUSER="LOCAL4"
> # SLAPD URL list
> SLAPDURLLIST="ldap:/// ldaps:///"
> # nice level for slurp
> SLURPNICE="+2"
> 8<----------------------------------------------------------------
> 
> /etc/rc.d/init.d/ldap
> 8<----------------------------------------------------------------
> SourceIfNotEmpty /etc/sysconfig/ldap
> SLAPD=/usr/sbin/slapd
> SLURPD=/usr/sbin/slurpd
> CONFIG=/etc/openldap/slapd.conf
> [ -x "$SLAPD" -a -x "$SLURPD" -a -s "$CONFIG" ] || exit
> PIDFILE=/var/run/slapd.pid
> LOCKFILE=/var/lock/subsys/ldap
> RETVAL=0
> start() {
>  is_yes "$NETWORKING" || return 0
>  start_daemon --pidfile "$PIDFILE" --lockfile "$LOCKFILE" \
>   --expect-user root -- $SLAPD $EXTRAOPTIONS
> ...
> 8<----------------------------------------------------------------
> 
> start_daemon автоматом подхватывает $SLAPDURLLIST? И ещё, slapd больше
> не работает от пользователя ldap? И, наконец, если sart_daemon подхватит
> $SLAPDURLLIST, он поймёт, что это надо передать одной строкой, т.е.
> "$SLAPDURLLIST" ? Иначе slapd возмёт только первое значение, т.е.
> ldap:///
> 
> 
>>PVS> старте ldap, он у меня упорно пытался запуститься без -h 'ldap:///
>>PVS> ldaps:///', +, возможно, уже не нужен -u ldap? И, что хуже всего, он не
>>PVS> подхватил ту базу, которая у меня уже была. То есть, базу-то он увидел,
>>PVS> но при попытке просмотра - 'no such object' А ещё - ругался на

   Тоже самое.

>>PVS> сертификат сервера и не работал через ssl :(

   Было:

------------------

TLSCertificateFile      /usr/share/openldap/ldap.pem
TLSCertificateKeyFile   /usr/share/openldap/ldap.pem
TLSCACertificateFile    /usr/share/openldap/ldap.pem

------------------

   В новой версии:

------------------

TLSCertificateFile      /etc/openldap/ldap.pem
TLSCertificateKeyFile   /etc/openldap/ldap.pem
TLSCACertificateFile    /etc/openldap/ldap.pem

------------------

   У меня SSL заработало, когда вернул старые значения данных 
параметров. Хотя это, может быть, и не очень корректно.

>>
>>какой back_end используется ???
> 
> 
> Какой был по умолчанию в примерах - ldbm. Схемы: core, cosine,
> inetorgperson, misc, nis, samba, dns. Сертификат самодельный,
> самозаверенный, по документации к mod_ssl, сделан зимой сроком на год.
> Говорит, что плохой сертификат. Увы, точно строку не приведу, до дома
> далеко, а на работе не хочется так копать.

   В /usr/share/doc/openldap-2.1.21/README.upgrading написано о 
несовместимости файлов баз (так понял, во всяком случаи - не 
селён я в инглеше :-(). Рекомендуется перед упгрейдом выгрузить 
базу, а потом загрузить её заново. (Подъём базы старого формата с 
параметром "schemacheck off" в slapd.conf у меня не прошёл.)

   Правда данный файл ставится тем же пакетом, что и сервер... И 
apt никаких предупреждений не выводит... :-(

>>PVS> Может, знатоки ldap меня просветят? Пока откатился на мастерский 2.2. На
>>PVS> ldap у меня вся авторизация, включая samba и кошек через радиус, потому
>>PVS> получил солидную дозу адреналина :)
>>Сорри !
> 
> 
> Ничего страшного, откатал в течение ~10 минут. Встряхнулся :)

   Откатился и выгрузил базу. Будет время - продолжу 
эксперементы. :-)

-- 

С уважением. Алексей.