LINUX.ORG.RU
ФорумAdmin

OpenLDAP - не добавляется схема

 


0

1

Пытаюсь добавить схему:

% ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ISPEnv2.ldif
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)

При этом

$ ldapsearch -x
# extended LDIF
#
# LDAPv3
# base <dc=mail,dc=e-touch,dc=tk> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# mail.e-touch.tk
dn: dc=mail,dc=e-touch,dc=tk
objectClass: top
objectClass: dcObject
objectClass: organization
o: e-touch
dc: mail

# admin, mail.e-touch.tk
dn: cn=admin,dc=mail,dc=e-touch,dc=tk
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Ответ на: комментарий от Ivan_qrt
$ ldapsearch -Y EXTERNAL -H ldapi:/// -d 9
ldap_url_parse_ext(ldapi:///)
ldap_create
ldap_url_parse_ext(ldapi:///??base)
ldap_sasl_interactive_bind: user selected: EXTERNAL
ldap_int_sasl_bind: EXTERNAL
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_path
ldap_new_socket: 3
ldap_connect_to_path: Trying /var/run/slapd/ldapi
ldap_connect_timeout: fd: 3 tm: -1 async: 0
ldap_ndelay_on: 3
ldap_close_socket: 3
ldap_msgfree
ldap_err2string
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)

В момент попытки подключения в логе появляется:

Jan 31 09:41:22 mail ldapsearch[4385]: DIGEST-MD5 common mech free

gigantischer ()
Ответ на: комментарий от gigantischer

А этот `DIGEST-MD5 common mech free`, он вообще с подключением связан? Он на каждую попытку появляется, или он случайно в лог попал?

Лог slapd на каком уровне? Он от успешных `ldapsearch -x` записи о подключении выдаёт?

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от gigantischer

а разве сейчас конфиг ldap не лежит в самом ldap?

скорее всего срать он хотел, что ты там в slapd.conf пишешь

А чтобы поменять конфиг , надо писать ldiff, а у тебя ldiff задеплоить не выходит. Так что замкнутый круг, сдавайся :)

constin ★★★ ()
Последнее исправление: constin (всего исправлений: 2)
Ответ на: комментарий от constin

Так что замкнутый круг, сдавайся :)

Можно напрямую в cn=config.ldif отредактировать. Он будет при старте ругаться на кривую чексумму, но всё прочитает и заработает.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от constin

Они хотели , чтобы все было очень-очень-очень некомфортно и через жопу.

Я понимаю твой батхёрт. Тебе пришлось читать доки, а по лдапу они весьма специфичны. Но если отринуть былые обиды и посмотреть непредвзято, то конфигурация openldap'а вполне достойна. Она легко скриптуется, может применяться без рестартов, у неё есть встроенная валидация перед применением. Надо просто осилить.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от Ivan_qrt

ну да, все верно. Я когда в первый раз эту вещь-в-себе увидел, у меня знатно пригорело. У меня куча аналогий, это как если экстренный ключ-пароль от шифрованного контейнера хранить в самом контейнере/ или как настраивать почтовый сервер, посылая ему письма/ или настраивать файрервол, долбясь азбукой Морза по портам.

Ты же сам предлагаешь обойти эту стройную систему, напрямую отредактировав файлы схемы.

А еще из последнего , что мне очень понравилось: чуваки хранили json с кучей переменных одной строкой в таблице sql.

constin ★★★ ()