PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Ich sehe keine Benutzer im LDAP



mamue
07.02.09, 16:51
Hallo,
ich habe das einige Male eingerichtet, aber dieses Mal stehe ich auf dem Schlauch. Ich habe OpenLDAP unter OpenSUSE11.1 laufen. Ich kann den LDAP-Server erreichen und sehe alle Attribute. Wenn ich die Nutzer mit "getent passwd" abfrage, sehe ich nichts. Ich habe den Loglevel auf 256 gesetzt, bekomme aber bei getent passwd/group nichts im Logifile, so als wäre pam/nsswitch nicht richtig.
Meine pam (common-auth):


auth required pam_env.so
auth sufficient pam_unix2.so
auth required pam_ldap.so use_first_pass

Die common-password:


password requisite pam_pwcheck.so nullok cracklib
password sufficient pam_unix2.so use_authtok nullok
password required pam_ldap.so try_first_pass use_authtok

Die common-account


account requisite pam_unix2.so
account sufficient pam_localuser.so
account required pam_ldap.so use_first_pass

Ich habe die /etc/ldap.conf ungefähr tausend mal geprüft:


host 127.0.0.1
base dc=myOrg,dc=here
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_password crypt
nss_base_passwd ou=hardware,dc=myOrg,dc=here&sub
nss_base_passwd ou=accounts,dc=myOrg,dc=here&sub
nss_base_group ou=groups,dc=myOrg,dc=here&sub

Die nsswitch:


passwd: compat
#passwd: files ldap #egal ob compat oder files ldap: beides das gleiche
group: files ldap
passwd_compat: ldap

Den nscd habe ich abgeschaltet. Ich weiß nicht mehr, wo ich suchen soll, hat jemand einen Tip?

Danke
mamue

mamue
09.02.09, 16:49
Seit neuestem gibt es eine /etc/nss-ldap.conf, die scheinbar die /etc/ldap.conf ersetzt. Jedenfalls steht in dieser nss-ldap.conf genau das, was sonst in der ldap.conf stünde. Im Prinzip finde ich es ja gut, dass es nicht mehr zwei ldap.conf gibt, aber eine fette Warnung wäre nett gewesen. Außerdem frage ich mich, warum SuSE die nicht anlegt, wenn ich das System wie gewohnt über Yast als LDAP-Client einrichte. Ich kann mir eigentlich nicht vorstellen, dass ich der einzige bin, der darüber gestolpert ist...
Seis drum, jetzt geht es etwas besser.
mamue

mamue
12.02.09, 08:44
Noch ein Zusatz:
Benötigt wird auch der nslcd ("local LDAP name service daemon"). Änderungen an der nss-ldap.conf werden wirksam nach einem Neustart dieses Daemon. Ich meine mich entsinnen zu können, dass früher ein SIGHUP auf '1'/init nötig war/gereicht hätte, um Änderungen an der nsswitch und der ldap.conf wirksam werden zu lassen, kann mich aber irren.
Bin ich der einzige hier, der LDAP unter OpenSUSE 11.1 einsetzt? Oder haben alle anderen damit überhaupt keine Probleme gehabt?
Vielleicht kann mir ja irgendjemand einen Hinweis darauf geben, wazu der nslcd genau gut ist - es scheint im Web keine genauen Informationen zu dazu zu geben. Warum ist das geändert worden?

HTH,
mamue

DBGTMaster
13.02.09, 13:27
Hallo,

ich setze derzeit noch den SLES10 ein, werden aber demnächst den SLES11 in einer Entwicklungsumgebung testen.

Ist schön zu hören, was die Novell Leute so umgedreht haben. Werd ich mir direkt merken ;)

cane
13.02.09, 21:21
Bin ich der einzige hier, der LDAP unter OpenSUSE 11.1 einsetzt?

Ich behapte mal auf LDAP Servern benutzt die Allgemeinheit, so wie ich, SLES oder debian, aber keinenfalls openSuSE.

mfg
cane

mamue
15.02.09, 11:56
@DBGTMaster: Ich schimpfe an dieser Stelle lieber nicht über OpenSUSE, denn es könnte ja auch sein, dass es an mir liegt. Ich habe halt wie üblich nssldap installiert. Entweder ist dabei automatisch nss-ldapd installiert worden, oder ich habe in meiner blinden Eile alles ausgewählt, wass irgendwie nssldap hieß.

Mir ist gerade bei meinem Server aufgefallen, dass sich der ldap-Server nicht ohne weiteres neu starten lässt, wenn noch der nslcd läuft. Zum Neustart des slapd also erst den nslcd stoppen, dann slapd neu starten, danach den nslcd starten.

mmaue