作者 主題: 關於CENTOS 5.2的LDAP  (閱讀 17108 次)

0 會員 與 1 訪客 正在閱讀本文。

weider

  • 憂鬱的高中生
  • ***
  • 文章數: 91
  • 阿彌陀佛!
    • 檢視個人資料
    • 獄卒的世界
關於CENTOS 5.2的LDAP
« 於: 2008-12-12 20:27 »
由於想要將公司所有LINUX主機的帳號整合,並且要把AD拿掉以LDAP取代,加上沒有玩過LDAP,所以想玩玩看~
有拜讀了三子爺的大作,都按步就班地設定了,結果發生了奇怪的情形~在重新開機的過程中,關機時會卡在"關掉SLAPD服務"時很久~開機時又會卡在硬體偵測完之後,NASH的版本顯出來之後的地方,然後就停住了~
必須以RESCUE模式將nsswitch.conf改成:
passwd  files
shadow  files
group    files
之後重新才能正常開機~
我本來懷疑是SELINUX的關係,但是想說用getsebool -a | grep ldap去查查看有沒有什麼蛛絲馬跡,但看起來似乎SELINUX沒管到LDAP,還是試著把SELINUX關掉看看,果不其然,還是那個死人樣(對不起!搞到有點火氣了),查了這裡的資料,似乎沒人因為LDAP,重新開機後掛掉的~
我看了LOG之後,有以下可疑的訊息:
Dec 12 19:33:27 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Dec 12 19:33:27 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact LDAP server
Dec 12 19:33:27 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Dec 12 19:33:27 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact LDAP server
Dec 12 19:33:27 file bash: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...
Dec 12 19:33:31 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Dec 12 19:33:31 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact LDAP server
Dec 12 19:33:31 file bash: nss_ldap: reconnecting to LDAP server (sleeping 8 seconds)...
Dec 12 19:33:39 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Dec 12 19:33:39 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact LDAP server
Dec 12 19:33:39 file bash: nss_ldap: reconnecting to LDAP server (sleeping 16 seconds)...
Dec 12 19:33:55 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Dec 12 19:33:55 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact LDAP server
Dec 12 19:33:55 file bash: nss_ldap: reconnecting to LDAP server (sleeping 32 seconds)...
Dec 12 19:34:27 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Dec 12 19:34:27 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact LDAP server
Dec 12 19:34:27 file bash: nss_ldap: reconnecting to LDAP server (sleeping 64 seconds)...
Dec 12 19:35:31 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
Dec 12 19:35:31 file bash: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Can't contact LDAP server
Dec 12 19:35:31 file bash: nss_ldap: could not search LDAP server - Server is unavailable

再補充一點,只要不重新開機,且nsswitch.conf裡設定LDAP認證,並且用我放在LDAP資料庫裡的使用者來做本機登入,是沒有問題的~
但是在這種狀態下重開機,一樣發生上述的情形~

會是什麼樣的問題呢?
請不吝賜教~
班長說:有一個壞消息跟一個好消息
壞消息是今天要做出三千個沙包,
好消息是這裡沙很多~

yhsien

  • 懷疑的國中生
  • **
  • 文章數: 38
    • 檢視個人資料
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #1 於: 2008-12-14 23:13 »
passwd  files ldap
shadow  files ldap
group    files ldap

如果你的Openldap這個系統服務是由ldap這個使用者所啟動的,那在你的Openldap啟動前根本找不到ldap這個user...
所以系統相關帳號還是要先去找passwd、shadow,不再passwd、shadow才去找Openldap要

weider

  • 憂鬱的高中生
  • ***
  • 文章數: 91
  • 阿彌陀佛!
    • 檢視個人資料
    • 獄卒的世界
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #2 於: 2008-12-15 00:30 »
感謝yhsien大大的回覆,
那我很好奇一點是,為什麼同樣的設定,怎麼三子大大還有其他人都沒這樣的問題?
您說的我能了解~只是怎麼別人重開都沒問題呢?
班長說:有一個壞消息跟一個好消息
壞消息是今天要做出三千個沙包,
好消息是這裡沙很多~

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8827
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #3 於: 2008-12-16 09:36 »
沒看到你的nsswitch.conf 的設定,請post一下吧!


另外,你有利用如 chkconfig 去設定開機時啟動 ldap 服務嘛?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

weider

  • 憂鬱的高中生
  • ***
  • 文章數: 91
  • 阿彌陀佛!
    • 檢視個人資料
    • 獄卒的世界
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #4 於: 2008-12-16 14:35 »
報告三子大大:
我的nsswitch.conf就是根據您LDAP筆記裡所設定的:
passwd    ldap files
shadow    ldap files
group       ldap files

LDAP的服務也有設定在LEVEL 3和5時啟動:
#chkconfig --level 35 ldap on

就是因為都有...才覺得有點見鬼~
雖然後來把files和 ldap的順序對調之後就OK了,但是我還是覺得很詭異...
為什麼網路上的文章都是這麼PO的,而且連學園裡的文章也是都這樣子設定,
都能開機,唯獨我的不行!?
班長說:有一個壞消息跟一個好消息
壞消息是今天要做出三千個沙包,
好消息是這裡沙很多~

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8827
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #5 於: 2008-12-16 14:45 »
報告三子大大:
我的nsswitch.conf就是根據您LDAP筆記裡所設定的:
passwd    ldap files
shadow    ldap files
group       ldap files

LDAP的服務也有設定在LEVEL 3和5時啟動:
#chkconfig --level 35 ldap on

就是因為都有...才覺得有點見鬼~
雖然後來把files和 ldap的順序對調之後就OK了,但是我還是覺得很詭異...
為什麼網路上的文章都是這麼PO的,而且連學園裡的文章也是都這樣子設定,
都能開機,唯獨我的不行!?

1. 你的 Openldap 是怎麼安裝的?
2. 有檢查過 /etc/passwd 裡面,「ldap」<--- 有這個使用者嘛?
3. Selinux 設定成「關閉」看看。
4. 萬一不能開機時,去看看 message ,瞭解一下有什麼錯誤訊息。
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

weider

  • 憂鬱的高中生
  • ***
  • 文章數: 91
  • 阿彌陀佛!
    • 檢視個人資料
    • 獄卒的世界
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #6 於: 2008-12-16 15:17 »
感謝三子大大的回覆:
1.我的OPENLDAP是用RPM裝的
2./etc/passwd裡有ldap這個使用者
3.SELINUX關掉,結果一樣是掛掉的,所以初步排除是這個問題
4.MESSAGE的可疑訊息我剛開始有PO了,疑似連不到LDAP的關係,因為系統只跑到NASH的版本之後就停了(我曾經跟它耗了兩到三個小時才出現MESSAGE那些可疑訊息)

現在是可以用LDAP認證了,用別台主機當CLIENT和用本機都可以了,只有把nsswitch.conf的順序改掉而已
還是很好奇為什麼之前的版本都可以先找LDAP的認證,現在卻不行了~
基於研究精神,我還是很好奇是什麼原因....XD
班長說:有一個壞消息跟一個好消息
壞消息是今天要做出三千個沙包,
好消息是這裡沙很多~

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8827
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #7 於: 2008-12-16 16:14 »
1.我的OPENLDAP是用RPM裝的

那麼,你是使用 yum 安裝進來的嘛? 是否包含以下套件?
代碼: [選擇]
# rpm -qa|grep openldap
openldap-clients-2.3.27-8
openldap-2.3.27-8
compat-openldap-2.3.27_2.2.29-8
openldap-servers-2.3.27-8
openldap-devel-2.3.27-8

另外,你這台Linux 的 IP 是怎麼取得的?有沒有如 pppoe  或 dhcp 的介面?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

weider

  • 憂鬱的高中生
  • ***
  • 文章數: 91
  • 阿彌陀佛!
    • 檢視個人資料
    • 獄卒的世界
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #8 於: 2008-12-16 17:08 »
報告三子大大:
我不是用YUM安裝的
您所說的套件都有包含,全部都是用CENTOS5.2的DVD安裝的~
版本應該都是相同的~
IP一定是設固定IP~
PPPOE和DHCP的介面都沒有~~
班長說:有一個壞消息跟一個好消息
壞消息是今天要做出三千個沙包,
好消息是這裡沙很多~

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8827
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #9 於: 2008-12-16 17:26 »
報告三子大大:
我不是用YUM安裝的
您所說的套件都有包含,全部都是用CENTOS5.2的DVD安裝的~
版本應該都是相同的~
IP一定是設固定IP~
PPPOE和DHCP的介面都沒有~~
我建議你,用yum把你手動使用 rpm 安裝的,重新安裝看看,說不定是某幾個有關聯的檔案沒被連結到.......
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

weider

  • 憂鬱的高中生
  • ***
  • 文章數: 91
  • 阿彌陀佛!
    • 檢視個人資料
    • 獄卒的世界
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #10 於: 2008-12-16 17:36 »
報告三子大大:
但是現在我的OPENLDAP是可以提供給其他台主機驗證做登入的動作~
我的測試方式是將192.168.123.10為LDAP SERVER
192.168.123.11為LDAP CLIENT
而192.168.123.11這台已經設定用192.168.123.10這台的LDAP做驗證
而192.168.123.11這台並沒有test這個帳號,卻可以用test這個帳號登入本機~

現在只是好奇說為什麼nsswitch.conf裡面沒辦法設定成:
passwd   ldap files
shadow   ldap files
group     ldap files

請問一下三子大大,當初您LDAP架設時用的套件是用YUM安裝的嗎?
班長說:有一個壞消息跟一個好消息
壞消息是今天要做出三千個沙包,
好消息是這裡沙很多~

Weran

  • 懷疑的國中生
  • **
  • 文章數: 75
    • 檢視個人資料
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #11 於: 2009-01-08 21:23 »
報告三子大大:
但是現在我的OPENLDAP是可以提供給其他台主機驗證做登入的動作~
我的測試方式是將192.168.123.10為LDAP SERVER
192.168.123.11為LDAP CLIENT
而192.168.123.11這台已經設定用192.168.123.10這台的LDAP做驗證
而192.168.123.11這台並沒有test這個帳號,卻可以用test這個帳號登入本機~

現在只是好奇說為什麼nsswitch.conf裡面沒辦法設定成:
passwd   ldap files
shadow   ldap files
group     ldap files

請問一下三子大大,當初您LDAP架設時用的套件是用YUM安裝的嗎?




不知道是centos 才會發生還是其他版本也會有相同問題!
小弟我也還沒試過其他版本
我的解決方式如下
/etc/ldap.conf
加上
bind_policy soft
即正常!~ 不會開機過慢之問題!

在跑nsswitch.conf
ldap files
即正常!
學無止盡!
CCNP + VCP 4.x + LPIC-2 + MCTIP-EA , 有了這些還是永遠懂的不多!因為越來越多你不懂的再等你學習! 正走向另一階段的里程盃!

weider

  • 憂鬱的高中生
  • ***
  • 文章數: 91
  • 阿彌陀佛!
    • 檢視個人資料
    • 獄卒的世界
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #12 於: 2009-01-16 13:43 »
感謝weran大大的回覆
更詭異的是,我的設定跟您一樣~
我已經開始懷疑是否跟硬體有關了....
班長說:有一個壞消息跟一個好消息
壞消息是今天要做出三千個沙包,
好消息是這裡沙很多~

raytracy

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
回覆: 關於CENTOS 5.2的LDAP
« 回覆 #13 於: 2009-10-23 17:57 »
報告三子大大:
我的nsswitch.conf就是根據您LDAP筆記裡所設定的:
passwd    ldap files
shadow    ldap files
group       ldap files

LDAP的服務也有設定在LEVEL 3和5時啟動:
#chkconfig --level 35 ldap on
請將你的 ldap 與 files 對調, 也就是正確的設定應該是:
passwd    files ldap
shadow    files ldap
group      files ldap

NSS 是有順序性的.....開機時你叫他先找 LDAP, 但當時連 LDAP 的服務都還沒啟動, 他要去哪找認證啊?....
所以開機時先用 passwd/shadow 去認證 (file based),  等 LDAP 起來之後, 再去找 LDAP 來認證....