Hallo Liebe Community,

wieder stehe ich vor einem Problem mit meinem Debian 4.0 Server. Ich habe die Userverwaltung auf LDAP umgestellt. Außer dem root und meinem "Notkonto" stefanie existieren keine User und Gruppen mehr im System selbst.
Nach einigen Hürden habe ich auch den LDAP zum laufen bekommen, heißt, ich kann per phpldapadmin (von einem anderen Rechner aus) User und Gruppen anlegen, getent zeigt diese an, anmelden mittels LDAP-User am System funktioniert und direkte Suchanfragen per ldapsearch geben ebenfalls richtige Ergebnisse zurück. Soweit so gut.
Nun möchte ich auch Samba meine LDAP User beibringen. Hierzu habe ich in die smb.conf folgendes mit aufgenommen:

passdb backend = ldapsam:ldap://localhost:389, guest
ldap admin dn = "cn=admin,dc=senso2,dc=de"
ldap suffix = "dc=senso2,dc=de"
ldap user suffix = "ou=Nutzer,dc=senso2,dc=de"
Ansonsten blieb die Datei unverändert.
Desweiteren habe ich das samba.schema mit in die slapd.conf aufgenommen, die Services neugestartet und per smbpasswd -w ein Passwort gesetzt. Mehr muss man meines erachtens nicht tun. Habe dazu diverse HowTos durchgesehen...
Wenn ich jetzt aber ein smbpasswd -a username versuche kommt folgendes:


ldap_initialize: Time limit exceeded
Connection to LDAP server failed for the 1 try!


Im auth.log steht:


nss_ldap: Could not connect to any LDAP Server as cn=admin,dc=senso2,dc=de - Can´t contact LDAP Server
nss_ldap: failed to bind to LDAP Server ldap://192.168.1.60: Can´t contact LDAP Server

Im syslog findet man:


May 16 13:17:01 PC60 slapd[6494]: conn=183 fd=18 ACCEPT from IP=192.168.1.60:57359 (IP=0.0.0.0:389)
May 16 13:17:01 PC60 slapd[6494]: conn=183 op=0 BIND dn="cn=admin,dc=senso2,dc=de" method=128
May 16 13:17:01 PC60 slapd[6494]: conn=183 op=0 BIND dn="cn=admin,dc=senso2,dc=de" mech=SIMPLE ssf=0
May 16 13:17:01 PC60 slapd[6494]: conn=183 op=0 RESULT tag=97 err=0 text=
May 16 13:17:01 PC60 slapd[6494]: conn=183 op=1 SRCH base="dc=senso2,dc=de" scope=2 deref=0 filter="(&(objectClass=posixAccou$
May 16 13:17:01 PC60 slapd[6494]: <= bdb_equality_candidates: (uid) index_param failed (18)
May 16 13:17:01 PC60 slapd[6494]: conn=183 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
May 16 13:17:01 PC60 slapd[6494]: conn=183 op=2 SRCH base="dc=senso2,dc=de" scope=2 deref=0 filter="(&(objectClass=posixGroup$
May 16 13:17:01 PC60 slapd[6494]: conn=183 op=2 SRCH attr=gidNumber
May 16 13:17:01 PC60 slapd[6494]: <= bdb_equality_candidates: (memberUid) index_param failed (18)
May 16 13:17:01 PC60 slapd[6494]: conn=183 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
May 16 13:17:01 PC60 slapd[6494]: conn=183 fd=18 closed (connection lost)
May 16 13:17:01 PC60 slapd[6494]: conn=182 op=2 UNBIND
May 16 13:17:01 PC60 slapd[6494]: conn=182 fd=17 closed


Aus dem ganzen werde ich irgendwie nicht schlau. Suchen per Google hat bisher nichts hilfreiches zu Tage befördert -.-
Komisch finde ich allerdings, dass ich den LDAP von einem Client aus mit verschiedenen Programmen nutzen kann. Ich hab Thunderbird als Adressbuchquelle meinen LDAP Server gegeben und das funktioniert einwandfrei. Theoretisch dürfte er sich ja garnicht verbinden können, wenn man den Logausgaben glaubt...
Über einen Tip wo ich nach Fehlern suchen könnte, bzw was ich tun könnte um den Fehler einzukreisen (und ihn dann zu lösen ^^) wäre ich sehr dankbar. Ich weiß wirklich nicht weiter... vermutlich seh ich den Wald vor Bäumen nicht.

Liebe Grüße Stefanie

Du schreibst, du hättest "per smbpasswd -w ein Passwort gesetzt." Ist es das Passwort des Users "cn=admin,dc=senso2,dc=de"? Mit smbpasswd -w wird das Passwort festgelegt, das mit dem Parameter "ldap admin dn" der smb.conf verwendet wird.

Mit smbpasswd -w legt man soweit ich weiß das Passwort für den Root des LDAPs an. Der "cn=admin,dc=senso2,dc=de" ist dieser root. Sein Passwort setzen hat ja geklappt. Aber für normale User wie zB Peter geht das per smbpasswd -a peter nicht... dann kommt dieser Timeout...

Ok

Mir fällt noch etwas ein:

Probier mal "ldap user suffix = ou=Nutzer".
Soweit ich weiß wird der Wert, der mit dem Parameter "ldap suffix" definiert wird an alle "subsufixe" (ldap user suffix, ldap group suffix etc.) angehangen.

Hmmm das hat leider auch keine Änderung gebracht... Neugestartet usw habe ich die Dienste natürlich.
Mir fallen allerdings diese "<= bdb_equality_candidates: (memberUid) index_param failed (18)" Meldungen auf. Könnten diese vielleicht die timeouts verursachen oder sind das eher unwesentliche Fehler? Ich steh wirklich auf dem Schlauch hier, vor allem da ja die Clientprogramme drauf zugreifen und Informationen holen können. Seltsamerweise genau die, wofür ich keine *.schema für einbinden musste... Mit Egroupware zB haut es nicht hin, da musste ich eine phpgwaccounts.schema einbinden. Aber vielleicht sehe ich auch Zusammenhänge wo keine sind ....

Der Fehler "<= bdb_equality_candidates: (memberUid) index_param failed (18)" kommt von den indexes in deiner slapd.conf

"passdb backend = ldapsam:ldap://localhost:389, guest"

Was soll eigentlich dieses "guest"?

Das waren dann wohl diese Kandidaten:


#index default eq
index objectClass eq
#index phpgwContactOwner pres,eq,sub
#index uidNumber pres,eq
#index sambaSID eq,sub

Hab die dann mal bis auf den, der schon vorher drin war auskommentiert. Ändert leider nichts an meinem Problem, aber ich bin für jeden Fehler weniger in den logs dankbar ^^

Hmm das guest stand in vielen Howtos dabei. Ich hab das jetzt mal als notwendig erachtet und mit eingebaut. Mal schauen was passiert wenn ich das ändere....

"Guest" an dieser Stelle gibt es wohl eher nicht. Ich dachte, du hättest einen Fehler beim kopieren gemacht.

Das war´s ^^ Ich habe den guest Eintrag in der smb.conf weggenommen und nun kann ich ein Passwort für den User Peter anlegen... Omg, ich liebe es wenn ganze Systeme nicht hinhauen wegen so ein paar Buchstaben am falschen Ort. Ich werde mal googlen was diese Funktion guest bewirkt... und den Samba Server "endlich" zuende konfigurieren :)

Wegen dem guest, das habe ich von hier: http://www.cavegn.cc/front_content.php?idcat=6#id2559114