Problem po upgradzie openldap i nss_ldap

[Jarek Koszuk]

On Fri, August 11 2006 08:36, Marcin Król wrote:
> > komunikatem "no such user". Podobnie dzieje się w przypadku skorzystania
> > z polecenia getent.
> Wynika z tego, ze nss_ldap wogole u Ciebie nie funkcjonuje.
> > Żeby było ciekawiej `ls -l` poprawnie wyświetla
> > właścicieli i grupy.
> Jestes pewien, ze pobiera te dane z ldap via nss? Gdyby tak bylo getent
> tez by je pobieral. Sprawdz strace.
Nie mam innego pomysłu, skąd miałby je brać. Tym bardziej, że skasowanie
wpisu "ldap" dla bazy passwd w /etc/nsswitch.conf powoduje, ze `ls -l`
przestaje rozwiązywać uid-y na nazwy. strace pokazuje dla ls -l połączenie
z ldapem, natomiast dla getent, że nsswitch.conf jest czytany,
/etc/ldap.conf również, ładowane jest libnss_ldap. Ale połączenia z LDAP
nie widać (jakby co, po południu spróbuję wystawić gdzieś te wyniki
strace'a).

Zrobiłem taki mały test:
--- CUT HERE ---
#include <stdio.h>
#include <sys/types.h>
#include <pwd.h>

int main()
{
    struct passwd *pwent;
    const uid_t uid  = 5000;
    const char * user = "ldapuser";

    pwent = getpwuid(uid);
    if (pwent) {
        printf("getpwuid(%d) = %s, %d, %d\n", uid, pwent->pw_name,
                pwent->pw_uid, pwent->pw_gid);
    }
    else {
        printf("getpwuid(%d) = NULL\n", uid);
    }

    pwent = getpwnam(user);
    if (pwent) {
        printf("getpwnam(%s) = %s, %d, %d\n", user, pwent->pw_name,
                pwent->pw_uid, pwent->pw_gid);
    }
    else {
        printf("getpwnam(%s) = NULL\n", user);
    }

    return 0;
}
--- CUT HERE ---
Użytkownik ldapuser o uidzie 5000 jest zdefiniowany w LDAP.
Wynik:
# ./ldptst
getpwuid(5000) = NULL
getpwnam(ldapuser) = ldapuser, 5000, 1000

> To oznacza jedynie, ze serwer ldap dziala poprawnie i nic nie mowi o
> stanie nss_ldap.
Tak, chciałem tylko pokazać, że sam LDAP działa.

> Wiec tak. Ja nss_ldap uzywam akurat do komunikacji z windzianym Active
> Directory i dziala wysmienicie. Kiedys testowalem go z OpenLDAP i tez
> dzialalo ok.
Mnie do wczoraj również wszystko działało jak należy :)

> 1. Czy /etc/ldap.secret ma atrybuty 600? U mnie jezeli byly inne
> nss_ldap odmawial wspolpracy.
Tak. Prawa są jak trzeba:
# ls -l ldap.secret
-rw-------  1 root root 6 Jul  8  2005 ldap.secret

> 2. Czy strace pokazuje proby korzystania z nss_ldap? Czy debug level 9 w
> ldap.conf pokazuje cos przy getent?
Przy getent - nie.

> 3. Kilka wersji temu nss_ldap stalo sie czule na kolejnosc parametrow w
> ldap.conf. Stracilem kiedys caly dzien zeby go uruchomic i okazalo sie,
> ze nie dzialalo bo rootbinddn byl przed binddn i bindpw. Co prawda Ty
> ich nie uzywasz, ale sprobuj poprzestawiac kolejnosc opcji.
W przypadku nie-roota łaczę się anonimowo i sprawdzałem już różne warianty
tutaj, ale posprawdzam jeszcze. Pewnie skończy się też tak, że przejrzę
źródła nss_ldap :/

> 4. Zerknij do /usr/share/doc do przykladowego ldap.conf. W ostatnich
> wersjach nss_ldap poprzybywalo troche opcji i niektore z nich trzeba
> bylo koniecznie dodac zeby np ldaps zaczal dzialac.
Korzystałem z niego i kombinowałem z różnymi opcjami - ale jeszcze powalczę
(w sposób bardziej systematyczny).

Dzięki za porady, Jarek