Problem po upgradzie openldap i nss_ldap

[Marcin Król]

> Wykonanie polecenia `id ldapuser`
> (gdzie ldapuser to użytkownik zdefiniowany w bazie LDAP) kończy się
> komunikatem "no such user". Podobnie dzieje się w przypadku skorzystania z
> polecenia getent.

Wynika z tego, ze nss_ldap wogole u Ciebie nie funkcjonuje.

> Żeby było ciekawiej `ls -l` poprawnie wyświetla
> właścicieli i grupy.

Jestes pewien, ze pobiera te dane z ldap via nss? Gdyby tak bylo getent
tez by je pobieral. Sprawdz strace.

> Również odpytanie za pomocą ldapsearch zwraca
> oczekiwane wyniki.

To oznacza jedynie, ze serwer ldap dziala poprawnie i nic nie mowi o
stanie nss_ldap.

> Czy może ktoś zetknął się (a najlepiej pomyślnie rozwiązał) z takim
> problemem? Może macie jakieś pomysły co może być przyczyną, albo czego
> szukać? Mam nadzieję, że po prostu coś przeoczyłem, ale niestety skończyły
> mi się już pomysły i nie mam żadnego punktu zaczepienia. 

Wiec tak. Ja nss_ldap uzywam akurat do komunikacji z windzianym Active
Directory i dziala wysmienicie. Kiedys testowalem go z OpenLDAP i tez
dzialalo ok.

1. Czy /etc/ldap.secret ma atrybuty 600? U mnie jezeli byly inne
nss_ldap odmawial wspolpracy.

2. Czy strace pokazuje proby korzystania z nss_ldap? Czy debug level 9 w
ldap.conf pokazuje cos przy getent?

3. Kilka wersji temu nss_ldap stalo sie czule na kolejnosc parametrow w
ldap.conf. Stracilem kiedys caly dzien zeby go uruchomic i okazalo sie,
ze nie dzialalo bo rootbinddn byl przed binddn i bindpw. Co prawda Ty
ich nie uzywasz, ale sprobuj poprzestawiac kolejnosc opcji.

4. Zerknij do /usr/share/doc do przykladowego ldap.conf. W ostatnich
wersjach nss_ldap poprzybywalo troche opcji i niektore z nich trzeba
bylo koniecznie dodac zeby np ldaps zaczal dzialac.

M.