PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP-DB von SLES9 auf SLES10 migrieren



Tshunsh
03.10.07, 17:58
Hallo Leute,

ich versuche schon seit Tagen die LDAP-DB, was auf dem SLES9 läuft und erfolgreich mit
slapcat und slapadd exportiert und importiert werden kann. Alles funktioniert herrvorangend.
Jetzt zum Problem: Die erzeugte LDIF kann ich leider nicht auf den SLES10 einlesen.
Ich vermute das liegt an der Version OpenLDAP. SLES9 hat die 2.2 und SLES10 hat die 2.3.
Hat schon jemand sowas gemacht? Ich bekomme immer folgende Fehlermeldung:

/etc/openldap/slapd.conf: line 51: "attr" is deprecated (and undocumented); use "attrs" instead.
/etc/openldap/slapd.conf: line 55: "attr" is deprecated (and undocumented); use "attrs" instead.

Ich bin mit meinem Latein am Ende.Hoffe ihr könnt irgendwie helfen
Danke

bla!zilla
04.10.07, 09:42
Das wird weniger ein Problem mit dem LDIF File sein, als viel mehr mit der slapd.conf zusammenhängen. Poste bitte mal deinen Access Control Teil der slapd.conf. Dort wirst du bestimmt sowas finden wie "to attr=member".

Tshunsh
04.10.07, 10:48
Hallo,

ich denke nicht dass das Problem im slapd.conf ligt, wenn ich ldap-db neu erzeuge bzw. einfach mit slapd.conf ldap starte funktioniert alles bestens,
der slapadd produzirt diesen Fehler mit sles9-ldif Datei und bricht ab.
Auf sles10 mit neuer DB funktioniert slapcat und slapadd ohne Probleme, ich denke das die slapd.conf soweit in Ordnung ist.
Beim einlesen von sles9-ldif trage ich in die slapd.conf schon die richtigen eingaben rein.

slapd.conf

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/rfc2307bis.schema
include /etc/openldap/schema/yast.schema
include /etc/openldap/schema/samba3.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org

pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args

# Load dynamic backend modules:
modulepath /usr/lib/openldap/modules
# moduleload back_ldap.la
# moduleload back_meta.la
# moduleload back_monitor.la
# moduleload back_perl.la

# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access to user password
# Allow anonymous users to authenticate
# Allow read access to everything else
# Directives needed to implement policy:
access to dn.base=""
by * read

access to dn.base="cn=Subschema"
by * read

access to attr=userPassword,userPKCS12
by self write
by * auth

access to attr=shadowLastChange
by self write
by * read

access to *
by * read

# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

################################################## #####################
# bdb database definitions
################################################## #####################

loglevel 261
#allow bind_v2
database bdb
suffix "dc=test,dc=local"
rootdn "cn=Administrator,dc=test,dc=local"
rootpw "{ssha}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
directory /var/lib/ldap/
checkpoint 1024 5
cachesize 10000
index objectClass,uidNumber,gidNumber eq
index member,mail eq,pres
index cn,displayname,uid,sn,givenname sub,eq,pres

mfg Tshunsh

bla!zilla
04.10.07, 10:56
Bitte hier mal die slapd.conf anpassen:



access to attrs=userPassword,userPKCS12
by self write
by * auth

access to attrs=shadowLastChange
by self write
by * read

Tshunsh
04.10.07, 11:50
das habe ich bereits ausprobiert, passiert folgendes:


str2entry: invalid value for attributeType OpenLDAPaci #0 (syntax 1.3.6.1.4.1.4203.666.2.1)
slapadd: could not parse entry (line=827)

bla!zilla
04.10.07, 11:58
Kannst du mal einen Teil aus dem LDIF File posten??

Tshunsh
04.10.07, 12:38
leider nicht, zu viel Firmen bezogene Informationen.

Hast Du vielleicht noch ne Idee?

[WCM]Manx
04.10.07, 13:51
Hi!

Kurz googlen bringt folgendes:
http://www.openldap.org/lists/openldap-software/200602/msg00169.html

EDIT => deleted

Grüße

Manx

[WCM]Manx
04.10.07, 13:59
sh*t, schau mal Dein LDIF durch, du solltest in Zeile 827 einen Eintrag haben:


z.B
OpenLDAPaci: 1#entry#grant;r,s,c;cn,dc#access-id#cn=xxx,dc=testuml,dc=test

ändern auf:


OpenLDAPaci: 1#entry#grant;r,s,c;cn;r,s,c;dc#access-id#cn=xxx,dc=testuml,dc=test

Grüße

Manx

Tshunsh
04.10.07, 14:46
Danke, die Seite habe ich auch schon gesehen, nur werde ich da raus nicht wirklich schlau.
ich habe folgendes bei mir stehen:


OpenLDAPaci: 1#entry#grant;r,w,s,c;cn,initials,mail,title,ou,l, birthday,descri
ption,street,postalcode,st,c,oxtimezone,homephone, mobile,pager,facsimiletelep
honenumber,telephonenumber,labeleduri,jpegphoto,lo ginDestination,sn,givenname
,;r,s,c;[all]#self#

Grüß

[WCM]Manx
04.10.07, 14:52
Danke, die Seite habe ich auch schon gesehen, nur werde ich da raus nicht wirklich schlau.
ich habe folgendes bei mir stehen:


OpenLDAPaci: 1#entry#grant;r,w,s,c;cn,initials,mail,title,ou,l, birthday,descri
ption,street,postalcode,st,c,oxtimezone,homephone, mobile,pager,facsimiletelep
honenumber,telephonenumber,labeleduri,jpegphoto,lo ginDestination,sn,givenname
,;r,s,c;[all]#self#

Grüß
Hi!

Du darfst nach "grant;r,s,c;" nur ein Attribut angeben!
Das hieße IMHO:


OpenLDAPaci: 1#entry#grant;r,w,s,c;cn;r,w,s,c;initials;r,w,s,c; mail;r,w,s,c;title;usw.

... versuch's mal bei dem Eintrag, wenn's viele sind wird's halt mühsam :(

Grüße

Manx

Tshunsh
04.10.07, 16:12
ne, immer noch das gleiche Ergebnis.

mfg Tshunsh

[WCM]Manx
04.10.07, 16:23
... gleiche Zeile oder vielleicht schon die nächste?
Poste die fehlerhafte Zeile nochmal.

Grüße

Manx

Tshunsh
04.10.07, 18:07
doch die gleiche Zeile, der Fehler ist gleich, da ändert sich nichts.
Ich werde das ganze für ein paar Tage erstmal auf Eis legen, ich bedanke mich bei Euch allen.

Toles Forum!!!