debian Etch und OpenLDAP

[latzer]

Hallo Leute,

Ich bin da mal so am rumprobieren mit etch und meinem internen Sever, der die Benutzerverwaltung eigentlich mittels LDAP haben sollte. Zusagen ist, dass das ganze unter sarge funktioniert hat.

Sobald ich den LDAP Server installiert/konfiguriert habe und den Rechner neustarte bekomme ich wärend des aufstartprozesses folgende Fehlermeldungen, welche dann im auth.log geloggt werden

Code: Alles auswählen

Jun 17 13:02:13 latzernet slapd[2299]: nss_ldap: could not connect to any LDAP server as cn=admin,o=System - Can't contact LDAP server
Jun 17 13:02:13 latzernet slapd[2299]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Jun 17 13:02:13 latzernet slapd[2299]: nss_ldap: reconnecting to LDAP server...
Jun 17 13:02:13 latzernet slapd[2299]: nss_ldap: could not connect to any LDAP server as cn=admin,o=System - Can't contact LDAP server
Jun 17 13:02:13 latzernet slapd[2299]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Jun 17 13:02:13 latzernet slapd[2299]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Jun 17 13:02:14 latzernet slapd[2299]: nss_ldap: could not connect to any LDAP server as cn=admin,o=System - Can't contact LDAP server
Jun 17 13:02:14 latzernet slapd[2299]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Jun 17 13:02:14 latzernet slapd[2299]: nss_ldap: could not search LDAP server - Server is unavailable
Jun 17 13:02:14 latzernet slapd[2299]: nss_ldap: could not connect to any LDAP server as cn=admin,o=System - Can't contact LDAP server
Jun 17 13:02:14 latzernet slapd[2299]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Jun 17 13:02:14 latzernet slapd[2299]: nss_ldap: reconnecting to LDAP server...
Jun 17 13:02:14 latzernet slapd[2299]: nss_ldap: could not connect to any LDAP server as cn=admin,o=System - Can't contact LDAP server
Jun 17 13:02:14 latzernet slapd[2299]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Jun 17 13:02:14 latzernet slapd[2299]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Jun 17 13:02:15 latzernet slapd[2299]: nss_ldap: could not connect to any LDAP server as cn=admin,o=System - Can't contact LDAP server
Jun 17 13:02:15 latzernet slapd[2299]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Jun 17 13:02:15 latzernet slapd[2299]: nss_ldap: could not search LDAP server - Server is unavailable

Den LDAP Server kann ich mit einem LDAP Browser ansprechen und ich bekomm die richtigen Daten geliefert (schreiben/lesen geht).
Ich kann mich über ssh mit dem erstellten ldap user anmelden doch wird der benutzername nicht richtig aufgelöst

Code: Alles auswählen

latzer@etch:~$ ssh sshuser@192.168.0.10
I have no name!@latzernet:~$

auth.log sieht so aus

Code: Alles auswählen

Jun 17 16:35:28 latzernet sshd[2588]: pam_ldap: error trying to bind (Invalid credentials)
Jun 17 16:35:28 latzernet sshd[2588]: Accepted publickey for sshuser from 84.0.###.110 port 62999 ssh2
Jun 17 16:35:28 latzernet sshd[2590]: (pam_unix) session opened for user sshuser by (uid=0)
Jun 17 16:35:36 latzernet su[2594]: pam_ldap: error trying to bind (Invalid credentials)
Jun 17 16:35:36 latzernet su[2594]: pam_ldap: error trying to bind (Invalid credentials)
Jun 17 16:35:36 latzernet su[2594]: Successful su for root by sshuser
Jun 17 16:35:36 latzernet su[2594]: + pts/0 sshuser:root
Jun 17 16:35:36 latzernet su[2594]: (pam_unix) session opened for user root by (uid=1113)

auf dem Server direkt geht es nicht -> login incorrect

wenn ihr mehr infos übers System braucht oder andere log's geb ich euch gerne bescheid...

Danke für eure Ratschläge

[herrchen]

Code: Alles auswählen

Jun 17 13:02:13 latzernet slapd[2299]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

mal aus der hüfte geschossen:
lauscht er denn auf "127.0.0.1"?

zum prüfen:

Code: Alles auswählen

netstat -plaunt

herrchen

[latzer]

ja, die Ausgabe ist:

Code: Alles auswählen

latzernet:~# netstat -plaunt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:389             0.0.0.0:*               LISTEN     2331/slapd
tcp        0      0 127.0.0.1:58645         127.0.0.1:389           ESTABLISHED2459/login
tcp        0      0 127.0.0.1:58646         127.0.0.1:389           ESTABLISHED2459/login
tcp        0      0 127.0.0.1:389           127.0.0.1:58645         ESTABLISHED2331/slapd
tcp        0      0 127.0.0.1:389           127.0.0.1:39061         ESTABLISHED2331/slapd
tcp        0      0 127.0.0.1:389           127.0.0.1:39060         ESTABLISHED2331/slapd
tcp        0      0 127.0.0.1:389           127.0.0.1:58646         ESTABLISHED2331/slapd
tcp        0      0 127.0.0.1:39060         127.0.0.1:389           ESTABLISHED2497/0
tcp        0      0 127.0.0.1:39061         127.0.0.1:389           ESTABLISHED2497/0
tcp        0      0 127.0.0.1:39062         127.0.0.1:389           TIME_WAIT  -
tcp6       0      0 :::389                  :::*                    LISTEN     2331/slapd
tcp6       0      0 :::22                   :::*                    LISTEN     2409/sshd
tcp6       0   1584 ::ffff:84.00.###.29:22  ::ffff:84.00.###.:64985 ESTABLISHED2497/0
udp        0      0 0.0.0.0:68              0.0.0.0:*                          2322/dhclient3

ich weiss echt nicht weiter ...

[Pawel]

Der Fehler besagt, dass Username und/oder Passwort falsch sind.

Die stehen in der /etc/pam_ldap.conf und /etc/libnss-ldap.conf und sollten richtig sein. Speziell die binddn und bindpw Parameter.

Was mir auffällt, ist, dass dein binddn cn=Admin,o=System lautet. Normalerweise sollte noch die base hinzugefügt werden, z.B.: cn=admin,o=System,dc=my,dc=example,dc=invalid

[latzer]

Der Fehler besagt, dass Username und/oder Passwort falsch sind.

Die stehen in der /etc/pam_ldap.conf und /etc/libnss-ldap.conf und sollten richtig sein. Speziell die binddn und bindpw Parameter.

werd ich gleich überprüfen

Was mir auffällt, ist, dass dein binddn cn=Admin,o=System lautet. Normalerweise sollte noch die base hinzugefügt werden, z.B.: cn=admin,o=System,dc=my,dc=example,dc=invalid

o=System ist die Base

hmm...

[latzer]

vieleicht fällt euch etwas auf aber ich schreib mal heir den ganzen installationsprotzess mit allen konfig eingaben auf, vielleicht mach ich ja etwas komplett falsch...

kann ja sein

Installation über ssh...

Code: Alles auswählen

apt-get install slapd ldap-utils

für die konfiguration muss ich nur ein passwort setzen...

Code: Alles auswählen

apt-get install libldap2-dev

Code: Alles auswählen

apt-get install libpam-ldap

konfiguration:
LDAP server Uniform Resource Identifier: --> ldap://127.0.0.1
Distinguished name of the search base: --> o=System
LDAP version to use: --> 3
Make local root Database admin. --> yes
Does the LDAP database require login? --> no
LDAP account for root: --> cn=admin,o=System
LDAP root account password: --> ***

Code: Alles auswählen

apt-get install libnss-ldap

konfiguration:
LDAP account for root: --> cn=admin,o=System
LDAP root account password: --> ***

--------------------------
um zu schauen ob der fehler jetzt schon auftritt boote ich neu --> ohne errors
--------------------------

anpassen von /etc/nsswitch.conf

Code: Alles auswählen

passwd:         ldap files
group:          ldap files
shadow:         ldap files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

von /etc/pam.d/common-account

Code: Alles auswählen

account sufficient      pam_ldap.so
account required        pam_unix.so

von /etc/pam.d/common-auth

Code: Alles auswählen

auth    sufficient      pam_ldap.so
auth    required        pam_unix.so try_first_pass nullok_secure

von /etc/pam.d/common-password

Code: Alles auswählen

password   sufficient pam_ldap.so
password   required   pam_unix.so nullok obscure min=4 max=8 md5

-------------------------
um zu schauen ob der fehler jetzt schon auftritt boote ich neu --> und da kommt auch schon der erste fehler
--------------------------

/var/log/auth.log sagt mir folgendes

Code: Alles auswählen

Jun 18 21:43:56 latzernet sshd[2394]: Server listening on :: port 22.
Jun 18 21:44:16 latzernet sshd[2462]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Jun 18 21:44:16 latzernet sshd[2462]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Jun 18 21:44:16 latzernet sshd[2462]: Accepted password for root from 84.#.#.110 port 59921 ssh2
Jun 18 21:44:16 latzernet sshd[2464]: (pam_unix) session opened for user root by root(uid=0)

was nun????

PS: sorry für den langen post aber ich wollte euch zeigen was ich mache damit ihr vielleicht den fehler seht den ich nicht seh

[duser100]

Wir verwenden auch Debian/Etch und LDAP.

LDAP-Fehlermeldungen beim Booten hab ich hier auch. Das ist mir aber eher egal. Ich denke da will was auf LDAP zugreifen bevor der LDAP-Dienst gestartet wurde.

Das Problem mit dem 'I have no name!' hatte ich auch vorübergehend (wobei ich nicht probiert habe ob ich auch Lokal anloggen kann). Jedenfalls lag es hier an 600 Permission vom libnss-ldap.conf und/oder pam_ldap.conf. Nachdem ich darin hier vorerst ohnehin keine Passwörter verspeichert habe (weil mein root da nicht mehr Permissions braucht) ist mir das auch egal wenn die zwei Files halt 644 haben. Anloggen über ssh hat auch mit 600 Persmissions geklappt nur war dann 'getent passwd' ohne LDAP-User.



Was hier aber immer noch rumzickt ist Passwort ändern. Das geht weder über root (was ok ist) noch über den User egal ob über 'passwd' oder ldappasswd.

Code: Alles auswählen

user@server:~$# passwd
Enter login(LDAP) password:
New password:
Re-enter new password:
LDAP password information update failed: Unknown error
shadow context; no update referral
passwd: Permission denied
passwd: password unchanged

Was der hier mit ´nem 'update referral' will weiß ich nicht. Der soll das am selben Server machen an dem er angeloggt ist. Aber vielleicht soll mir das ja auch sagen 'hier durfte ich nicht updaten - und einen update referral weiß ich (richtigerweise) keinen - also geb ich auf'.

Ausserdem klappt es nicht daß ich einen Eitnrag von ´nem User mit dem selben User (nachdem ich mich über ´nen LDAP-Client authentifiziert habe) ändere z.B. 'gecos' - Wobei ich bei diesen zwei Punkten (besonders beim ersteren) schon eine Weile rumspiele und nicht weiterkomme. Ich hatte vermutet daß irgendwas mit den ACLs nicht simmt. Aber es klappt nicht mal dann wenn ich im slapd.conf die "Standardeinträge" (ich glaub die kamen beim Installieren vom slapd mit) bei den 'access' Einträgen auf 'write' stelle (also wirklich alle die ich finde - was natürlich so nicht bleiben sollte - aber nicht mal testweise weiterführte).

[Alternativende]

DAs gleiche Problem habe ich auch. Seitdem ich auf meinem hoffentlich zukünftigen LDAP Server einen Neustart gemacht habe habe ich mich ausgesperrt. Nach dem booten möchte er ein LDAP Kennwort haben und lässt mich unter keinen Umständen rein.

Das Problem besteht laut http://www.samba-ldap.de darin, dass es mit Etch und ldbm nicht mehr so recht funktionieren will.

http://www.samba-ldap.de/node/32

Ich habe leider noch keine Lösung gefunden und wäre sehr dankbar für eine

[duser100]

quote="Alternativende"]DAs gleiche Problem habe ich auch. Seitdem ich auf meinem hoffentlich zukünftigen LDAP Server einen Neustart gemacht habe habe ich mich ausgesperrt. Nach dem booten möchte er ein LDAP Kennwort haben und lässt mich unter keinen Umständen rein.

Also ich komm da schon noch rein. Auch mit den Usern. Über Console oder SSH. Nur meckern tut er beim Booten halt und mit 600 Permissions bei den oben besagten Files bekomm ich den User (mit dem ich mich lustigerweise gerade angemeldet habe) nicht angezeigt sondern 'I have no name'. Sollte Debian nicht beunruhigt sein wenn da ein Unbekannter User am System rumfummelt?!

Das Problem besteht laut http://www.samba-ldap.de darin, dass es mit Etch und ldbm nicht mehr so recht funktionieren will.

Ich verwende kein ldbm hier. Wobei es aber geplant ist da auch mal Samba zu verwenden. Ist bdb mit Samba nix?

[duser100]

Nach dem booten möchte er ein LDAP Kennwort haben und lässt mich unter keinen Umständen rein.

Bin mir jetzt nicht sicher ob du das jetzt ultimativ meinst. Im 1er Runlevel solltest du ja schon reinkommen (beim booten 1 in die 'Kernel Zeile dazufügen). Dann solltest du zumindest wieder die /etc/nsswitch.conf vom ldap erlösen können, um es in ´nem neuen Versuch wagen zu können (vielleicht mit 'bdb' ?)

[Alternativende]

Ja ich komme auch mit der single user mode Angabe noch rein das ist richtig und ich kann dann auch Dateien verändern, aber auch wenn ich in der slapd.conf überall bdb eintrage tut sich leider nicht soviel.

[latzer]

Hmm.. könnte das ein Bug von Debian und LDAP sein?

weil es sind ja doch schon mehrere die das selbe oder ein ähndliches Problem haben ...

[duser100]

Ein selbst kompiliertes LDAP (statt 'stable' 'release') hat hier nix genützt.

[Alternativende]

Inzwischen kann ich mich wieder an der Konsole anmelden. Hatte in der /slapd.conf eine # übersehen.
Danach konnte ich mich mit bdb wieder anmelden.
Nun habe ich aber das Problem das slapd nicht starten will und mit der Meldung abbricht:

line 90: index attribute "sambaSID" undefined

Weiß nicht genau was er mit undefined meint...

[duser100]

line 90: index attribute "sambaSID" undefined

Und du hast (wieder) ein samba.schema mit include eingebunden?

[Alternativende]

Ja habe ich und zwar das was im samba Paket von sernet drin war.
Ich muss allerdings dazu sagen das ein Befehl vorher auch nicht funktioniert hat.
Debian-pdc:~# chown :”Domain Users” –R /samba/share/
Ich hielt das aber für ziemlich unwichtig und eigentlich auch logisch da ich bisher keine User angelegt habe...

[duser100]

Dann weiß ich im Moment auch nicht mehr viel dazu. Ich konnte mich erinnern daß eine ähnliche Meldung auftauchte als ich z.B. versuchte auf ´nem RH 7.3 (ich glaub mit ldbm als Backend) die selben Schemen einzurichten wie auf dem Debian-Systemen (hatte vermutet daß die Replikation deswegen rumzickte)

Code: Alles auswählen

Starting slapd: /etc/openldap/schema/core.schema: line 86: AttributeType not found: "name"

Hab ich dann aber wieder bleiben lassen den Versuch, denn nachdem ich 'name' irgendwie zurechtgebogen habe - hat´s dann wegen was anderem gemeckert.

[Pawel]

Erstmal allgemein:

back-ldbm is obsolete and should not be used.

Aus OpenLDAP Faq-O-Matic: What are the different backends? What are their differences?

Hab vor kurzem auch ein Update eines Sarge Systems auf ein Etch gemacht und es hat mir sehr dabei geholfen, wenn ich in der slapd.conf den loglevel hochgesetzt habe, z.B. auf 9 und mir bei einem Fehler die /var/log/syslog angeschaut habe.

Einer der Fehler war, dass die pidfile nicht mehr in /var/run/slapd.pid stehen darf, sondern nur in /var/run/slapd/slapd.pid

Zusätzlich hab ich bei mir folgende Vorgehensweise bei der Installation von OpenLDAP etabliert.
OpenLDAP installieren, konfigurieren und mit ldapsearch überprüfen, dass alles funktioniert.
Danach libnss-ldap und pam-ldap installieren und auf Funktionsfähigkeit testen (mit getent).
Zuletzt Samba installieren und konfigurieren und - na - testen.

[Alternativende]

Hallo,
ich hatte eben endlich einen kleinen Durchbruch und kann schon fast das Licht am Ende des Tunnels sehen
Ich habe folgende Anleitung ausprobiert
http://gertranssmb3.berlios.de/output/F ... #fast-ldap
und die slapd.conf aus dieser genommen und durch meine ersetzt. Slapd startet jetzt auch ohne einen Fehler aufzuzeigen.
Nun funktioniert aber leider smbldap-populate noch nicht

Code: Alles auswählen

Populating LDAP directory for domain SAMBA-LDAP (S-1-5-21-1765559069-1598711450-3952703467)
(using builtin directory structure)

adding new entry: dc=samba-ldap,dc=local
failed to add entry: no global superior knowledge at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 2.
adding new entry: ou=Users,dc=samba-ldap,dc=local
failed to add entry: no global superior knowledge at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 3.
adding new entry: ou=Groups,dc=samba-ldap,dc=local
failed to add entry: no global superior knowledge at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 4.

usw.

Please provide a password for the domain root:
No such object at /usr/local/sbin//smbldap_tools.pm line 353.

In dem anderen Samba Howto steht auch ich solle slapadd -v -l samba-ldap-initdb.ldif ausführen.
Ich bekomme aber daraufhin folgende Fehlermeldung.

Code: Alles auswählen

/etc/samba# slapadd -v -l /etc/ldap/samba-ldap-init.ldif
Available database(s) do not allow slapadd

Woran kann das nun liegen ?

Edit: Die Syslog sagt interessanterweise an einer Stelle...

Code: Alles auswählen

Jun 26 12:09:01 gsn-samba CRON[2740]: pam_ldap: ldap_simple_bind Can't contact LDAP server

[duser100]

Also hier funzt das slapadd (sofern SLAPD gestoppt wurde). Aber kannst du das nicht auch alternativ mit ldapadd oder ´nem LDAP-Client (z.B. "LDAP Admin" von der Sourceforge Seite) hinzufügen (dabei sollte SLAPD laufen)?

Vielleicht hilft´s ja wenn du zusätzlich beim slapadd die Option '-f /etc/ldap/slapd.conf' angibst?

[Alternativende]

Nein das hat leider auch nicht geholfen. Ich habe mir auch mal phpldapadmin installiert aber dort kann ich mich nicht einloggen.

Could not bind to the LDAP server.

LDAP said: Undefined attribute type
Error Lumber: 0x11 (LDAP_UNDEFINED_TYPE)
Description: The attribute type specified is invalid.

Das ist ja irgendwo auch logisch in dieser Situation.

Edit:
Ldap Admin sagt mir Ungültige DN-Syntax!
Mehr leider nicht