LINUX.ORG.RU
ФорумAdmin

Zimbra server 8.6.0 Проблема с LDAP

 


0

2

Добрый день!

Возникла проблема, над которой бьюсь второй день Перелопатил кучу форумов- но пока проблему не решил...

Установлен почтовый сервер Zimbra 8,6,0 на Ubuntu 14.04 Server Сервер проработал 2 года,120 почтовых ящиков, сервер в RAID, занято 68% от объема диска Работал нормально, (со своевременным перевыпуском самоподписанных сертификатов на 365 дней)

Утром сервер завис, пришлось жестко перезагружать. после перезагрузки отказались стартовать некоторые службы.

Выглядело это следующим образом:

zimba@mail:/home/admin$ zmcontrol status search error: unable to determine enabled services from ldap. Enabled services read from cache. Service list may be innacurate.

Host mail.*tech*.ru Amavis Running Antispam Running Antivirus Running dnscache Running ldap Running logger Stopped zmlogswachctl is not running mailbox Stopped zmmailboxctl is not running memcached Running mta Running opendkim Stopped zmopendkimctl is not running service webapp Stopped zmmailboxctl is not running snmp Running spell Running stats Running Zimbra webapp Stopped zmmailboxctl is not running zimbraAdmin webapp Stopped zmmailboxctl is not running zimlet webapp Stopped zmmailboxctl is not running zmconfigd stopped zmconfigd is not running.

Обычно все решалось перевыпуском сертификата, но сейчас с ним какой то трабл...

Останавливаю службы zimbra. из под root создаю новый корневой сертификат, затем новый самоподписанный сертификат, разворачиваю сертификаты, и в двух строчках получаю ошибки:

* Importing CA /opt/zimbra/ssl/zimbra/ca/ca.pem into CACERTS..... done * Saving global config key zimbraCertAuthorityCertSelfSigned.... failed * Saving global config key zimbraCertAuthorityKeySelfSigned.... failed * Copying CA to /opt/zimbra/conf/ca... done

проверил разрешения: chown -R zimbra:zimbra /opt/zimbra захожу в учетку зимбры и запускаю службы zmconfig start

Сыпятся ошибки:

zimbra@mail:~/bin$ zmcontrol start

Host mail.*tech*.ru Starting ldap...Done. Search error: Unable to determine enabled services from ldap. Enabled services read from cache. Service list may be inaccurate. Starting zmconfigd...Failed. Starting zmconfigd...failed.

Starting logger...Failed. Starting logswatch...[] FATAL: failed to initialize LDAP client com.zimbra.cs.ldap.LdapException: LDAP error: : invalid credentials ExceptionId:main:1373476600901:f0d261570792fedd Code:ldap.LDAP_ERROR at com.zimbra.cs.ldap.LdapException.LDAP_ERROR(LdapException.java:88) at com.zimbra.cs.ldap.unboundid.UBIDLdapException.mapToLdapException(UBIDLdapException.java:101) at com.zimbra.cs.ldap.unboundid.UBIDLdapException.mapToLdapException(UBIDLdapException.java:39) at com.zimbra.cs.ldap.unboundid.LdapConnectionPool.createConnPool(LdapConnectionPool.java:117) at com.zimbra.cs.ldap.unboundid.LdapConnectionPool.createConnectionPool(LdapConnectionPool.java:64) at com.zimbra.cs.ldap.unboundid.UBIDLdapContext.init(UBIDLdapContext.java:95) at com.zimbra.cs.ldap.unboundid.UBIDLdapClient.init(UBIDLdapClient.java:37) at com.zimbra.cs.ldap.LdapClient.getInstance(LdapClient.java:63) at com.zimbra.cs.ldap.LdapClient.initialize(LdapClient.java:86) at com.zimbra.cs.account.ldap.LdapProv.<init>(LdapProv.java:46) at com.zimbra.cs.account.ldap.LdapProvisioning.<init>(LdapProvisioning.java:256) at com.zimbra.cs.account.ldap.LdapProvisioning.<init>(LdapProvisioning.java:253) at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method) at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:57) at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45) at java.lang.reflect.Constructor.newInstance(Constructor.java:525) at java.lang.Class.newInstance0(Class.java:372) at java.lang.Class.newInstance(Class.java:325) at com.zimbra.cs.account.Provisioning.getInstance(Provisioning.java:278) at com.zimbra.cs.account.Provisioning.getInstance(Provisioning.java:238) at com.zimbra.cs.account.ProvUtil.initProvisioning(ProvUtil.java:744) at com.zimbra.cs.account.ProvUtil.main(ProvUtil.java:3505) Caused by: LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials') at com.unboundid.ldap.sdk.LDAPConnection.bind(LDAPConnection.java:1837) at com.unboundid.ldap.sdk.LDAPConnectionPool.createConnection(LDAPConnectionPool.java:112) at com.unboundid.ldap.sdk.LDAPConnectionPool.<init>(LDAPConnectionPool.java:562) at com.zimbra.cs.ldap.unboundid.LdapConnectionPool.createConnPool(LdapConnectionPool.java:113) ... 17 more zimbra logger service is not enabled! failed.

Starting mailbox...failed. Starting antispam...Done. Starting antivirus...Done. Starting snmp...Done. Starting spell...Done. Starting mta...Done. Starting stats...Done. Starting opendkim..... failed.

файлы hosts, hostname проверены. Сервер резолвится.

Буду признателен за любую помощь и идеи...

а почему сервер завис? поищите в логах за этот период времени причину. Сервер мониторится чем либо zabbix, nginx? Проверяли свободное место на диске, количество доступных инод, dmesg?

CHIPOK ★★★ ()
Последнее исправление: CHIPOK (всего исправлений: 1)
Ответ на: комментарий от CHIPOK

Время от времени сервер подвисал от нагрузки, лечил перезапуском служб zmcontrol.

в логах особой информации не нашел. Места на диске - более 45% свободно. чем мониторится сам сервер- не знаю но nginx точно не стоит. Моей задачей было с графического интерфейса админки почтового сервера просто руководить пользователями...

Пока спеца на место ушедшего не взяли - приходится выкручиваться.

NordStar ()
Ответ на: комментарий от NordStar

И похоже сформировать новый сертификат я не могу по причине не корректной работы LDAP.

NordStar ()

А от какого пользователя зимбра связывается с лдапом? Случайно не от админа, который ушел и чью учетку наверняка выключили?

stave ★★★★★ ()
Ответ на: комментарий от stave

есть отдельный пользователь - «zimbra». он активен (не заблокирован) а могу ли я изменить пользователя и пароль? если да, то где находятся эти настройки LDAP?

NordStar ()
Ответ на: комментарий от NordStar

все дело в том, что привязка LDAP идет к внешнему серверу AD. А все эти настройки - в графическом интерфейсе, который запускается через web. Естественно после установки сервера. Но пока службы зимбры не стартуют- в интерфейс я попасть не смогу.

NordStar ()
Ответ на: комментарий от NordStar

zmcontrol status посмотри что не стартует.

И перезапуск сервисов надеюсь производится рт пользователя zimra а не от root?
Оформи первый и последующие посты в лоркод, а то не особо читаемо.

julixs ★★ ()
Последнее исправление: julixs (всего исправлений: 1)
Ответ на: комментарий от julixs

zimbra@mail:/home/adminito$ zmcontrol start Hos mail.*tech*.ru Search error: Unable to determinate enabled services from ldap. Unable to determine enabled services. Cache is out of date or doesn't exist.

На zmcontrol status - та же ошибка.

NordStar ()
Ответ на: комментарий от julixs

root@mail:/opt/zimbra/bin# ./zmcertmgr viewdeployedcrt

::service mta::

notBefore=Feb 20 13:13:38 2017 GMT

notAfter=Feb 19 13:13:38 2022 GMT

subject= /C=US/ST=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=mail.«tech».ru

Issuer=/C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=mail.«tech».ru

SubjectAltName=

::service proxy::

notBefore=Feb 20 13:13:38 2017 GMT

notAfter=Feb 19 13:13:38 2022 GMT

subject= /C=US/ST=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=mail.«tech».ru

Issuer=/C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=mail.«tech».ru

SubjectAltName=

::service mailboxd::

notBefore=Feb 20 13:13:38 2017 GMT

notAfter=Feb 19 13:13:38 2022 GMT

subject= /C=US/ST=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=mail.«tech».ru

Issuer=/C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=mail.«tech».ru

SubjectAltName= ::service ldap::

notBefore=Feb 20 13:13:38 2017 GMT

notAfter=Feb 19 13:13:38 2022 GMT

subject= /C=US/ST=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=mail.«tech».ru

Issuer=/C=US/ST=N/A/L=N/A/O=Zimbra Collaboration Server/OU=Zimbra Collaboration Server/CN=mail.«tech».ru

SubjectAltName=

NordStar ()
Ответ на: комментарий от NordStar

несмотря на это, с установкой сертификатов тоже проблемы- тоже идут ошибки:

Importing CA /opt/zimbra/ssl/zimbra/ca/ca.pem into CACERTS..... done

Saving global config key zimbraCertAuthorityCertSelfSigned.... failed

Saving global config key zimbraCertAuthorityKeySelfSigned.... failed

Copying CA to /opt/zimbra/conf/ca... done

NordStar ()
Ответ на: комментарий от NordStar



сертификатов на 365 дней



Не думаю, что в этом проблема, но у тебя сертификаты на 5 лет. Точно при выпуске сертов все корректно прошло?

julixs ★★ ()
Ответ на: комментарий от julixs

нет, не корректно.

root@mail:/opt/zimbra/bin# ./zmcertmgr createcrt -new -days 365

Validation days:365

***Creating /opt/zimbra/conf/zmssl.cnf...done

***Backup /opt/zimbra/ssl/zimbra to /opt/zimbra/ssl/zimbra.20170221122017

***Generating a server csr for download self -new -keysize 2048 -digest sha256

***Backup /opt/zimbra/ssl/zimbra to /opt/zimbra/ssl/zimbra.20170221122018

***Retrieving Commercial CA cert from ldap...failed

***Creating /opt/zimbra/conf/zmssl.cnf...done ***Creating server cert request /opt/zimbra/ssl/zimbra/server/server.csr....failed

Generating a 2048 bit RSA private key

...+++ ...............................................+++

writing new private key to '/opt/zimbra/ssl/zimbra/server/server.key'

end of string encountered while processing type of subject name element #5 problems making Certificate Request

**Saving server config key zimbraSSLPrivateKey...failed

**Signing cert request /opt/zimbra/ssl/zimbra/server/server.csr...failed

Using configuration from /opt/zimbra/ssl/zimbra/ca/zmssl.cnf

CA certificate and CA private key do not match 140540514916000:error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:330:

NordStar ()
Ответ на: комментарий от NordStar



посмотри не остался ли файлик /opt/zimbra/openldap/var/run/slapd.pid
и если ldap не запущен (ps ax | grep ldap)
прибей его мог остаться если не конектно завершилась перезагрузка
смотри подробности в /var/log/zimbra.log

julixs ★★ ()
Ответ на: комментарий от julixs

/opt/zimbra/openldap/var/run/slapd.pid

такого пути нет, точнее /var/run. есть /opt/zimbra/

в ней папки среди прочих

~ openldap /openldap-2.4.39.2z

но в этих папках нет файлов с расширением .pid

в папке zimbra есть папка log.

в ней 143 лог файла с разными названиями.

NordStar ()
Ответ на: комментарий от NordStar

Вот у меня при запущенной и работающей зимбре:

it3@mail:~$ ls /opt/zimbra/openldap/var/run
ldapi  slapd.args  slapd.pid
it3@mail:~$

Если нет значит нет, зимбра то не запущена, просто проверить вдруг файл роцесса остался после:

пришлось жестко перезагружать

ps ax | grep ldap тоже молчит?

в папке zimbra есть папка log.

zimbra.log в /var/log/, а не в /opt/zimbra/log

julixs ★★ ()
Ответ на: комментарий от julixs

Сорри!

adminito@mail:~$ ps ax | grep ldap

1083 ? Ssl 0:00 /opt/zimbra/openldap/sbin/slapd -l LOCAL0 -u zimbra -h ldap://mail.*tech*.ru:389 ldapi:////opt/zimbra/data/ldap/config

1829 tty1 S+ 0:00 grep --color=auto ldap

NordStar ()
Ответ на: комментарий от NordStar

убей процесс, и потом по пробой пере выпустить серты, предварительно zmcontrol stop

julixs ★★ ()
Ответ на: комментарий от julixs

Как убить? у меня нет slapd.pid и адреса /opt/zimbra/openldap/var/run тоже...

NordStar ()
Ответ на: комментарий от NordStar

1083 ? Ssl 0:00 /opt/zimbra/openldap/sbin/slapd -l LOCAL0 -u zimbra -h ldap://mail.*tech*.ru:389 ldapi:////opt/zimbra/data/ldap/config я про это.

julixs ★★ ()
Ответ на: комментарий от julixs

стало чуть хуже... Сертификаты ставятся с теми же ошибками, в частности ошибка перемещения созданных сертификатов в папки но появились и другие...

zmcontrol start Host mail.*tech*.ru Starting ldap...Done. Failed.

Failled to start slapd. Attempting debug start to determine error.

TLS: error:0906D06CPEM routines:PEM_read_bio:no start line pem_lib.c:703

TLS: error:140AD009:SSL routines:SL_CTX_use-certificate_file:PEM lib ssl_rsa.c:491

58ac2d79 main: TLS init def ctx failed: -1

NordStar ()
Ответ на: комментарий от NordStar

А у тебя с разрешениями на каталоги зимбры все впорядке? Есть ощущение что прав не хватает. И покажи уже наконец то /var/log/zimbra.log

julixs ★★ ()
Ответ на: комментарий от julixs

chown -R zimbra:zimbra /opt/zimbra ./zmfixperms

эффект нулевой. в zimbra.log только ошибки postfix.

в zinbra-stats.log- ошибки статуса- Unable to determine enabled services. Сache is out of date or doesn't exist.

NordStar ()
Ответ на: комментарий от NordStar

как скачать файл zimbra.log целиком - не знаю. на сервере убунту только в командной строке без GUI

NordStar ()
Ответ на: комментарий от NordStar

./zmfixperms эффект нулевой От рута?
chown -R zimbra:zimbra /opt/zimbra зря, в в /opt/zimbra не все zimbra:zimbra

julixs ★★ ()
Последнее исправление: julixs (всего исправлений: 1)
Ответ на: комментарий от NordStar

я уже двое суток на форумах сижу... делаю все по инструкциям :)

NordStar ()
Ответ на: комментарий от NordStar

Ну хз если /opt/zimbra/libexec/zmfixperms запускался от рута, разрешения должны были исправится если что то нарушилось.

julixs ★★ ()
Ответ на: комментарий от stave

Что не одинок- знаю... Теперь проблема будет крупнее- перенести на новый свежеподнятый сервер всю почту с упавшего - около 150 учеток с почтой почти террабайт....

NordStar ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.