Вопросы Теги

Кэш прокси OpenLDAP не получает записи

Мне нужно настроить локальный прокси-кеш LDAP, который подключается к нашему центральному серверу Active Directory. Кэш прокси OpenLDAP выглядит точно так же. Но, следуя инструкциям как можно точнее, я не могу заставить его работать.

Я могу отправлять запросы через localhost на удаленный сервер, но они не кэшируются (или, по крайней мере, кеш не извлекается).

Шаги, которые я сделал:

  • Установил openldap-серверы и пакеты openldap-clients
  • ] Создал файл конфигурации slapd.conf (подробности ниже)
  • Создал каталог для базы данных прокси и скопировал туда файл DB_CONFIG по умолчанию (подробности ниже)
  • Выполнил slapd -d - 1 команда для запуска сервера
  • Запросил сервер с помощью этой команды: ldapwhoami -vvv -h localhost -D "CN = Melka Martin, OU = (...), DC = int, DC = ourdomain, DC = com "-x -w <пароль>

Результат успешный. Но анализ сетевого трафика показывает, что запрос объединен с центрального LDAP-сервера.

Вывод slapd довольно подробный, но в одной точке состояния 

QUERY NOT ANSWERABLE
QUERY CACHEABLE

Увы, если он все-таки кэшируется, на него никогда не отвечают. Есть идеи, что может быть неправильным?

"cn = admin, dc = int, dc = ourdomain, dc = com" - это DN пользователя с правами администратора на удаленном сервере LDAP. - его пароль.

slapd.conf 

database        ldap
suffix          "dc=int,dc=ourdomain,dc=com"
rootdn          "cn=admin,dc=int,dc=ourdomain,dc=com"
rootpw          <something>
uri             ldap://dc-04.int.ourdomain.com:389

overlay pcache
pcache         hdb 100000 1 1000 100
pcacheAttrset  0 *
pcacheTemplate (sn=) 0 3600
pcacheBind (sn=) 0 3600 sub dc=int,dc=ourdomain,dc=com

cachesize 200
directory /var/lib/ldap
index       objectClass eq
index       cn eq,sub

DB_CONFIG 

# $OpenLDAP$

# one 0.25 GB cache
set_cachesize 0 268435456 1

# Transaction Log settings
set_lg_regionmax 262144
set_lg_bsize 2097152

Подробный вывод журнала: http://pastebin.com/9s8HMg7d

6
задан 19 November 2015 в 12:51
2 ответа

Вы ожидаете, что следующий запрос будет кеширован? 

ldapwhoami -vvv -h localhost -D "CN=Melka Martin,OU=(...),DC=int,DC=ourdomain,DC=com" -x -w <password>

Прежде всего, я бы изменил шаблоны, чтобы они соответствовали параметрам аутентификации: 

pcacheTemplate (dn=) 0 3600
pcacheBind (dn=) 0 3600 sub dc=int,dc=ourdomain,dc=com

(dn - отличительное имя, sn - фамилия)

Но я бы удивлен, если это сработало. Фактически, я не уверен, что ldapwhoami - правильный инструмент для тестирования этого оверлея. На странице руководства рассказывается о клиентах аутентификации , например nss_ldap . Вам следует заранее настроить его и посмотреть, какие запросы он выполняет, чтобы вы могли имитировать шаблон, область действия и базу.

0
ответ дан 3 December 2019 в 00:45

Ychydig o bethau i'w crybwyll a allai fod o gymorth neu helpu i leihau achos sylfaenol. . .

CYNTAF

Roeddwn i eisiau tynnu sylw fy mod wedi sylwi eich bod chi'n rhedeg slapd -d -1 sy'n golygu rhedeg slapd gyda lefel dadfygio a logio 1 Mae sy'n golygu air am air / yn galluogi pob difa chwilod .

O'r hyn a ddarllenais yn yr adnodd URL isod, os nad ydych yn rhedeg yn y gystrawen slapd -f ac yn cymhwyso'n llawn y i bwyntio ato ffeil "amgen" slapd.config , yna. . . " Y rhagosodiad fel rheol yw /usr/local/etc/openldap/slapd.conf.051147005400"051258400Therefore, efallai na fydd hyn yn rhedeg mewn gwirionedd slapd a'i bwyntio at y ffeil ffurfweddu codwch yr awgrymiadau / paramedrau rydych chi'n eu rhoi yn y ffeil ffurfweddu amgen felly rhowch gynnig arni yn gyntaf rhag ofn mai hwn yw'r mater.

Efallai ei fod yn gysylltiedig yn benodol â'r gwall hwn ( GWALL RHAN1 ): 564da523 config_back_db_open: Dim ACL penodol ar gyfer ffurfweddu ôl-ffurfweddu. Gan ddefnyddio rhagosodiad cod caled

(Adnodd: http://www.openldap.org/doc/admin24/runningslapd.html )

SYLWCH: Rwy'n gweld ychydig o negeseuon gwall cysylltiedig â DB yn y log air am air a ddarparwyd gennych felly efallai na all ddod o hyd i'r DB cymwys oni bai eich bod yn newid i'r cyfeiriadur hwnnw fel y gall ddod o hyd iddo yn ymhlyg oni bai ei fod yn cefnogi rhyw ddull pwyntydd DB eglur arall (efallai y bydd NOT2 yn aplicadwy i'r dull hwn).

SYLWCH 2: Dyma ddarlleniad da ar y dull Dirprwy LDAP a defnyddio'r uri , ac ati yn y ffurfweddiad fel hyn dim ond i adolygu am rywbeth amlwg y gallech fod ar goll neu wedi'i gamgyflunio yn y slapd.conf ffeil ( http://www.openldap.org/faq/data/cache/532.html ) .

Ychydig o Bwyntiau Diddorol o Adnodd Adran Nodyn 2

  • Dirprwywr LDAP
  • binddn
  • bindpw
  • haeriad hunaniaeth
  • cyfluniad haeriad hunaniaeth

FERSIYNAU

Yn gyntaf, mae'n ymddangos eich bod yn ddwy fersiwn yn ôl ar OpenLADAP felly efallai y byddai'n werth ei ddarllen g y nodiadau rhyddhau yma i weld a oes unrhyw beth yn ymddangos yn berthnasol i'ch problem ( http://www.openldap.org/software/release/changes.html ) a allai gyfiawnhau uwchraddio neu yn rhedeg o system uwchraddio profion os yn bosibl.

GWALL

Yn ail, mae manylion log y ferf yn darparu llawer mwy o negeseuon gwall, ac ati, ac roeddwn i eisiau tynnu sylw at GWALL RHAN 1 , GWALL RHAN 2 , GWALL RHAN 3 , a GWALL RHAN 4 isod yn benodol yn y drefn honno.

Achosion cyffredin gwallau LDAP

(Adnodd: http : //www.openldap.org/doc/admin24/appendix-common-errors.html )

O'r hyn a ddarllenais i fyny, os ydych chi'n teimlo'n gyffyrddus mae'ch holl gyfluniadau wedi'u gosod yn gywir yn wir, mae'r GWALL RHAN 1 gall y llinell gyntaf fod yn "rhybudd" ac yn ddiogel i'w ffieiddio.

Fodd bynnag, efallai mai'r llinell o dan honno ( ~ Gan ddefnyddio rhagosodiad cod caled ) yw'r rhan yn yr adran CYNTAF uchod wrth imi restru'r URL, ac ati.

GWALL RHAN 1 

564da523 config_back_db_open: line 0: warning: cannot assess the validity of the ACL scope within backend naming context
564da523 config_back_db_open: No explicit ACL for back-config configured. Using hardcoded default

Adnoddau:

GWALL RHAN 2 

564da523 <= hdb_dn2id: get failed: DB_NOTFOUND: No matching key/data pair found (-30988)
564da523 <= hdb_dn2id: get failed: DB_NOTFOUND: No matching key/data pair found (-30988)

Yn yr un hon (uchod) darganfyddais enghraifft yma gyda slapd.conf ffeiliau ac un (isod)gan nodi hyn felly rwy'n meddwl tybed a yw mor syml ag y mae angen ichi newid i'r cyfeiriadur DB yn y ffeil slapd.conf yn eich achos chi.

(Adnodd: http: // www .zytrax.com / books / ldap / ch5 )

ENGHRAIFFT O ADNODD URL 

# root or superuser
rootdn "cn=jimbob, dc=example, dc=com"
rootpw dirtysecret
# The database directory MUST exist prior to running slapd AND 
# change path as necessary
directory   /var/db/openldap/example-com

GWALL RHAN 3

Datrys Problemau trwy ddefnyddio telnet i'r IP LDAP cyfeiriad

Gall fod yn ddefnyddiol hefyd ( http://www.openldap.org/faq/data/cache/532.html ) 

ldap_read: want=8 error=Resource temporarily unavailable

GWALL RHAN 4 

64da525 <= hdb_dn2id: get failed: DB_NOTFOUND: No matching key/data pair found (-30988)
564da525 => bdb_entry_get: cannot find entry: "cn=melka martin,ou=release engineering,ou=development,ou=research and development,ou=cz,dc=int,dc=company,dc=com"
564da525 QUERY NOT ANSWERABLE
564da525 QUERY CACHEABLE
0
ответ дан 3 December 2019 в 00:45

Теги

Похожие вопросы