[sisyphus] OpenLDAP
Aleksey Avdeev
=?iso-8859-1?q?solo=5Foboroten_=CE=C1_mail15=2Ecom?=
Чт Июл 3 11:38:05 MSD 2003
Peter V. Saveliev пишет:
> В Чтв, 03.07.2003, в 00:02, Volkov Serge пишет:
>
>>Hello Peter,
>>
>>Wednesday, July 02, 2003, 10:02:16 PM, you wrote:
>>
>>PVS> ...
>>
>>PVS> Очень сильно отстал от жизни, работы было очень много... Не глядя,
>>PVS> обновился, apt поставил мне новый openldap-server, и я чуть не
>>PVS> поседел... У всех обновление прошло нормально, я один такой странный?
У меня тоже подобная проблема. К счастью, на LDAP я ещё не
подсел - экспериментирую только (с SSL ещё не всё понятно:
непонял где надо сгенерённый сертификат CA хранить).
>>
>>PVS> То, что слегка изменился конфиг - опущу, это моя бага, а не пакета. Вот.
>>Я вроде стрался чтобы была совместимость со старой версией ?!
>
>
> Я ж говорю - моя бага :) Не упомянул, где модули лежат. В мастерской
> версии это не мешает работать.
У меня в новом конфиге появились следующее:
/etc/openldap/slapd.conf.rpmnew:
-------------------------
...
# Load dynamic backend modules:
modulepath /usr/lib/openldap
# moduleload back_bdb.la
moduleload back_ldap.la
...
-------------------------
Но! Файла /usr/lib/openldap/back_ldap.la на диске я не наблюдаю.
>
>
>>PVS> Но, я не понял, как /etc/sysconfig/ldap попадает в командную строчку при
>>в смысле ???
>
>
> В прямом. Не нашёл, где переменные, указанные в /etc/sysconfig/ldap явно
> помещаются в строку, которой запускается сервис:
>
> /etc/sysconfig/ldap
> 8<----------------------------------------------------------------
> # nice level for slapd
> SLAPDNICE="+2"
> # debug level for slapd
> SLAPDSYSLOGLEVEL="0"
> SLAPDSYSLOGLOCALUSER="LOCAL4"
> # SLAPD URL list
> SLAPDURLLIST="ldap:/// ldaps:///"
> # nice level for slurp
> SLURPNICE="+2"
> 8<----------------------------------------------------------------
>
> /etc/rc.d/init.d/ldap
> 8<----------------------------------------------------------------
> SourceIfNotEmpty /etc/sysconfig/ldap
> SLAPD=/usr/sbin/slapd
> SLURPD=/usr/sbin/slurpd
> CONFIG=/etc/openldap/slapd.conf
> [ -x "$SLAPD" -a -x "$SLURPD" -a -s "$CONFIG" ] || exit
> PIDFILE=/var/run/slapd.pid
> LOCKFILE=/var/lock/subsys/ldap
> RETVAL=0
> start() {
> is_yes "$NETWORKING" || return 0
> start_daemon --pidfile "$PIDFILE" --lockfile "$LOCKFILE" \
> --expect-user root -- $SLAPD $EXTRAOPTIONS
> ...
> 8<----------------------------------------------------------------
>
> start_daemon автоматом подхватывает $SLAPDURLLIST? И ещё, slapd больше
> не работает от пользователя ldap? И, наконец, если sart_daemon подхватит
> $SLAPDURLLIST, он поймёт, что это надо передать одной строкой, т.е.
> "$SLAPDURLLIST" ? Иначе slapd возмёт только первое значение, т.е.
> ldap:///
>
>
>>PVS> старте ldap, он у меня упорно пытался запуститься без -h 'ldap:///
>>PVS> ldaps:///', +, возможно, уже не нужен -u ldap? И, что хуже всего, он не
>>PVS> подхватил ту базу, которая у меня уже была. То есть, базу-то он увидел,
>>PVS> но при попытке просмотра - 'no such object' А ещё - ругался на
Тоже самое.
>>PVS> сертификат сервера и не работал через ssl :(
Было:
------------------
TLSCertificateFile /usr/share/openldap/ldap.pem
TLSCertificateKeyFile /usr/share/openldap/ldap.pem
TLSCACertificateFile /usr/share/openldap/ldap.pem
------------------
В новой версии:
------------------
TLSCertificateFile /etc/openldap/ldap.pem
TLSCertificateKeyFile /etc/openldap/ldap.pem
TLSCACertificateFile /etc/openldap/ldap.pem
------------------
У меня SSL заработало, когда вернул старые значения данных
параметров. Хотя это, может быть, и не очень корректно.
>>
>>какой back_end используется ???
>
>
> Какой был по умолчанию в примерах - ldbm. Схемы: core, cosine,
> inetorgperson, misc, nis, samba, dns. Сертификат самодельный,
> самозаверенный, по документации к mod_ssl, сделан зимой сроком на год.
> Говорит, что плохой сертификат. Увы, точно строку не приведу, до дома
> далеко, а на работе не хочется так копать.
В /usr/share/doc/openldap-2.1.21/README.upgrading написано о
несовместимости файлов баз (так понял, во всяком случаи - не
селён я в инглеше :-(). Рекомендуется перед упгрейдом выгрузить
базу, а потом загрузить её заново. (Подъём базы старого формата с
параметром "schemacheck off" в slapd.conf у меня не прошёл.)
Правда данный файл ставится тем же пакетом, что и сервер... И
apt никаких предупреждений не выводит... :-(
>>PVS> Может, знатоки ldap меня просветят? Пока откатился на мастерский 2.2. На
>>PVS> ldap у меня вся авторизация, включая samba и кошек через радиус, потому
>>PVS> получил солидную дозу адреналина :)
>>Сорри !
>
>
> Ничего страшного, откатал в течение ~10 минут. Встряхнулся :)
Откатился и выгрузил базу. Будет время - продолжу
эксперементы. :-)
--
С уважением. Алексей.
Подробная информация о списке рассылки Sisyphus