[sisyphus] LDAP грабли

[Dmitry Lebkov]

Artem wrote:
> 
>>
>> Добавь в /etc/openldap/ldap.conf на сервере и на клиента вот такое:
>> tls_reqcert never
> 
> 
> Да, помогло.. Одно не понятно. Ведь до этого у меня было прописано в 
> ldap.conf :
> 
> TLS_CACERT     /etc/openldap/ssl/ca.cert
>    где   ca.cert - копия сертификата сервера.
> Почему же не выполнялась проверка по данному способу?
> 
> Сертификаты - в порядке:
> openssl verify -CAfile ca.cert -verbose ldap.cert
> ldap.cert: OK

А права на чтение этого файла у клиента есть? У меня всё это
в свое время вполне нормально работало, но потом надоело собирать
сертификаты серверов руками и теперь пользую tls_reqcert never.

>> Чтоб работало так, как задумано, заключи строку ldap:/// ldaps:///
>> еще и в одинарные кавычки.
>>
>> SLAPDURLLIST="'ldap:/// ldaps:///'"
>>
> Да, с этим нюансом теперь все ясно. Это уже работает.
> 
> Еще один вопрос - почему /var/log/ldap - пуст ?

А в конфиге slapd.conf логгинг включен? А syslog знает
куда складывать логи от slapd?

> Следующие грабли - делаем
> service slapd restart
> Service slapd is not running.                [PASSED]
> Checking slapd configuration               [ DONE ]
> Adjusting environment for slapd:          [ DONE ]
> Service slapd is already running.        [PASSED]
> 
> Хотя:
> ps aux | grep slapd
> ldap      8771  0.0  1.4 11552 3716 ?        S    09:22   0:00 
> /usr/sbin/slapd -u ldap -r /var/lib/ldap -h ldap:/// ldaps:///
> 
> То же самое и для service slapd stop - остановить невозможно - только 
> путем kill

Смотреть скрипт /etc/rc.d/init.d/slapd. Скорее всего не хватает прав
на создание pid-файла. Эту проблему уже фиксили в какой-то из сборок.

А вообще, лучше поставить последний openldap из Сизифа ... ;)

--
WBR, Dmitry Lebkov