OpenLDAP - не добавляется схема

0

1

Пытаюсь добавить схему:

% ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ISPEnv2.ldif
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)

При этом

$ ldapsearch -x
# extended LDIF
#
# LDAPv3
# base <dc=mail,dc=e-touch,dc=tk> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# mail.e-touch.tk
dn: dc=mail,dc=e-touch,dc=tk
objectClass: top
objectClass: dcObject
objectClass: organization
o: e-touch
dc: mail

# admin, mail.e-touch.tk
dn: cn=admin,dc=mail,dc=e-touch,dc=tk
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Ссылка

←	BIND9 + обратные зоны (FreeBSD)

sshd в SELinux

→

# netstat -lpna | grep slapd
tcp        0      0 0.0.0.0:636             0.0.0.0:*               LISTEN      15038/slapd         
tcp        0      0 127.0.0.1:389           0.0.0.0:*               LISTEN      15038/slapd         
tcp6       0      0 :::636                  :::*                    LISTEN      15038/slapd         
unix  2      [ ]         DGRAM                    270938   15038/slapd

gigantischer ★
(31.01.19 11:28:04 MSK) автор топика

Т.е. тебя не смущает, что ldapsearch ты запускаешь с simple auth, а ldapadd с sasl и ldapi?

~~zgen~~ ★★★★★
(31.01.19 11:40:42 MSK)

Ответ на: комментарий от zgen 31.01.19 11:40:42 MSK

смущает, но мне нужно, чтобы с ldapi заработало...

gigantischer ★
(31.01.19 11:44:13 MSK) автор топика

Ссылка

Ответ на: комментарий от gigantischer 31.01.19 11:28:04 MSK

В /etc/default/slapd параметр SLAPD_SERVICES:

SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:/// ldapi:///"

gigantischer ★
(31.01.19 12:12:36 MSK) автор топика

Ссылка

Нужен лог slapd с момента попытки подключения и вывод ldapsearch -Y EXTERNAL -H ldapi:/// -d 9

Ivan_qrt ★★★★★
(31.01.19 12:31:42 MSK)

Ответ на: комментарий от Ivan_qrt 31.01.19 12:31:42 MSK

$ ldapsearch -Y EXTERNAL -H ldapi:/// -d 9
ldap_url_parse_ext(ldapi:///)
ldap_create
ldap_url_parse_ext(ldapi:///??base)
ldap_sasl_interactive_bind: user selected: EXTERNAL
ldap_int_sasl_bind: EXTERNAL
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_path
ldap_new_socket: 3
ldap_connect_to_path: Trying /var/run/slapd/ldapi
ldap_connect_timeout: fd: 3 tm: -1 async: 0
ldap_ndelay_on: 3
ldap_close_socket: 3
ldap_msgfree
ldap_err2string
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)

В момент попытки подключения в логе появляется:

Jan 31 09:41:22 mail ldapsearch[4385]: DIGEST-MD5 common mech free

gigantischer ★
(31.01.19 12:45:17 MSK) автор топика

Ответ на: комментарий от gigantischer 31.01.19 12:45:17 MSK

А этот `DIGEST-MD5 common mech free`, он вообще с подключением связан? Он на каждую попытку появляется, или он случайно в лог попал?

Лог slapd на каком уровне? Он от успешных `ldapsearch -x` записи о подключении выдаёт?

Ivan_qrt ★★★★★
(31.01.19 12:58:19 MSK)

Ответ на: комментарий от gigantischer 31.01.19 12:45:17 MSK

ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)

Ты сначала настрой sasl потом добавляй схему.

~~zgen~~ ★★★★★
(31.01.19 13:45:38 MSK)

Ссылка

Ответ на: комментарий от Ivan_qrt 31.01.19 12:58:19 MSK

В slapd.conf

loglevel        none

При успешных `ldapsearch -x` выдает только

Jan 31 11:15:17 mail ldapsearch[5338]: DIGEST-MD5 common mech free

gigantischer ★
(31.01.19 14:16:32 MSK) автор топика

Ответ на: комментарий от gigantischer 31.01.19 14:16:32 MSK

loglevel none

Ну так сделай по-больше и выложи лог.

Ivan_qrt ★★★★★
(31.01.19 15:06:31 MSK)

Ответ на: комментарий от Ivan_qrt 31.01.19 15:06:31 MSK

сделал побольше в slapd.conf:

loglevel 256

всё равно только 1 строка в логе появляется

Jan 31 12:12:35 mail ldapsearch[6555]: DIGEST-MD5 common mech free

gigantischer ★
(31.01.19 15:14:10 MSK) автор топика

Ответ на: комментарий от gigantischer 31.01.19 15:14:10 MSK

а разве сейчас конфиг ldap не лежит в самом ldap?

скорее всего срать он хотел, что ты там в slapd.conf пишешь

А чтобы поменять конфиг , надо писать ldiff, а у тебя ldiff задеплоить не выходит. Так что замкнутый круг, сдавайся :)

constin ★★★★
(31.01.19 15:26:21 MSK)
Последнее исправление: constin 31.01.19 15:29:36 MSK (всего исправлений: 2)

Ответ на: комментарий от constin 31.01.19 15:26:21 MSK

Так что замкнутый круг, сдавайся :)

Можно напрямую в cn=config.ldif отредактировать. Он будет при старте ругаться на кривую чексумму, но всё прочитает и заработает.

Ivan_qrt ★★★★★
(31.01.19 15:42:54 MSK)

Ответ на: комментарий от Ivan_qrt 31.01.19 15:42:54 MSK

это будет нечестно, мейнтейнеры openldap зря старались что-ли? Они хотели , чтобы все было очень-очень-очень некомфортно и через жопу.

constin ★★★★
(31.01.19 16:05:17 MSK)

Ответ на: комментарий от constin 31.01.19 16:05:17 MSK

Они хотели , чтобы все было очень-очень-очень некомфортно и через жопу.

Я понимаю твой батхёрт. Тебе пришлось читать доки, а по лдапу они весьма специфичны. Но если отринуть былые обиды и посмотреть непредвзято, то конфигурация openldap'а вполне достойна. Она легко скриптуется, может применяться без рестартов, у неё есть встроенная валидация перед применением. Надо просто осилить.

Ivan_qrt ★★★★★
(31.01.19 16:16:22 MSK)

Ответ на: комментарий от Ivan_qrt 31.01.19 16:16:22 MSK

ну да, все верно. Я когда в первый раз эту вещь-в-себе увидел, у меня знатно пригорело. У меня куча аналогий, это как если экстренный ключ-пароль от шифрованного контейнера хранить в самом контейнере/ или как настраивать почтовый сервер, посылая ему письма/ или настраивать файрервол, долбясь азбукой Морза по портам.

Ты же сам предлагаешь обойти эту стройную систему, напрямую отредактировав файлы схемы.

А еще из последнего , что мне очень понравилось: чуваки хранили json с кучей переменных одной строкой в таблице sql.

constin ★★★★
(01.02.19 01:56:42 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	BIND9 + обратные зоны (FreeBSD)

Admin

sshd в SELinux

→

Похожие темы