Уважаемые подскажите ...
при запске sldap restart выдает следующие
slapd -h 'ldap:/// ldapi:/// ldaps:///' -g openldap -u openldap -F /etc/ldap/slapd.d/
логи
main: TLS init def ctx failed: -1
connections_destroy: nothing to destroy
Если после перезагрузки ldap не запустился, а в syslog присутствует main: TLS init def ctx failed: -1, это ошибка конфигурации, проверьте содержимое файла /etc/ldap/slapd.d/cn=config.ldif правильно ли в нём указаны пути и названия сертификатов и убедитесь в том что группа ssl-cert имеет возможность читать закрытый ключ /etc/ssl/private/ldap01_slapd_key.pem
ищи ошибку с сертификатами
Пользователь решил продолжить мысль 26 Января 2011, 19:37:10:
serb-ufa ты меня насторожил с твоей проблемой, поэтому я решил убедится в актуальности моей статьи
Запихнул в виртуалку ubuntu обновил её до версии 10.04.1 и начал проверять статью
всё шло нормально пока я не дошёл до момента где в мс можно просмотреть список групп в ldap
тут я наткнулся на тежи грабли что и ты, всё нормально всё настроено и ошибок вроде нет но группы не отображаются.
Но вроде, не означает что ошибок нет, ошибка всё таки была, есть один нюанс на который я не наткнулся изначально.
У меня вопрос, когда я тебя просил выполнить запрос
ldapsearch -Zx -b ou=Users,dc=example,dc=com -D "cn=admin,dc=example,dc=com" "uid=*" -W
у тебя точно небыло ошибок
, потому как у меня ошибка была следующая
root@tests:/etc/samba# ldapsearch -Zx -b ou=Users,dc=test,dc=ldap -D "cn=myadmin,dc=test,dc=ldap" "uid=*" -W
ldap_start_tls: Connect error (-11)
additional info: TLS: hostname does not match CN in peer certificate
Enter LDAP Password:
как видишь поле для ввода пароля присутствует и если ввести верный пароль список пользователей отображается.
Собственно суть этой ошибки, имя хоста который использует сертификат не совпадает со значением параметра cn в самом сертификате,
в результате ldap обрубает защищённое соединение с хостом у которого сертификат не прошёл проверку.
Лечится это следующим образом:
необходимо удалить не правильный сертификат
rm /etc/ssl/certs/ldap01_slapd_cert.pemотредактировать файл /etc/ssl/ldap01.info указав значение параметра "cn" равным результату выполнения команды "hostname -f"
создать новый сертификат
certtool --generate-certificate --load-privkey /etc/ssl/private/ldap01_slapd_key.pem
--load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem
--template /etc/ssl/ldap01.info --outfile /etc/ssl/certs/ldap01_slapd_cert.pem
и перезагрузить сервер.
после исправления всё заработало, группы в mc стали отображаться и дальнейшая настройка прошла по статье без проблем.
соответствующие изменения в статье я уже сделал
Пользователь решил продолжить мысль 26 Января 2011, 19:40:22:
при perl /usr/share/doc/smbldap-tools/configure.pl
пишет в sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=DEPFILE] >
Use of uninitialized value $server in substitution (s///) at /usr/share/doc/smbldap-tools/configure.pl line 244, <STDIN> line 17.
. ldap master server: IP adress or DNS name of the master (writable) ldap server
Use of uninitialized value $example_value in concatenation (.) or string at /usr/share/doc/smbldap-tools/configure.pl line 161, <STDIN> line 17.
Use of uninitialized value $example_value in string at /usr/share/doc/smbldap-tools/configure.pl line 162, <STDIN> line 17.
когда проверял статью получил такие же ошибки, но на настройку они никак не повлияли, я их просто проигнорировал и всё.
странно вообще то когда писал статью ничего подобного небыло, наверно обновился smbldap-tools и в новом такая ошибка.
Тема: [Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04 (Прочитано 68980 раз)
