Мне нужно настроить локальный прокси-кеш LDAP, который подключается к нашему центральному серверу Active Directory. Кэш прокси OpenLDAP выглядит точно так же. Но, следуя инструкциям как можно точнее, я не могу заставить его работать.
Я могу отправлять запросы через localhost на удаленный сервер, но они не кэшируются (или, по крайней мере, кеш не извлекается).
Шаги, которые я сделал:
openldap-серверы
и пакеты openldap-clients
slapd.conf
(подробности ниже) slapd -d - 1
команда для запуска сервера ldapwhoami -vvv -h localhost -D "CN = Melka Martin, OU = (...), DC = int, DC = ourdomain, DC = com "-x -w <пароль>
Результат успешный. Но анализ сетевого трафика показывает, что запрос объединен с центрального LDAP-сервера.
Вывод slapd
довольно подробный, но в одной точке состояния
QUERY NOT ANSWERABLE
QUERY CACHEABLE
Увы, если он все-таки кэшируется, на него никогда не отвечают. Есть идеи, что может быть неправильным?
"cn = admin, dc = int, dc = ourdomain, dc = com"
- это DN пользователя с правами администратора на удаленном сервере LDAP.
- его пароль.
slapd.conf
database ldap
suffix "dc=int,dc=ourdomain,dc=com"
rootdn "cn=admin,dc=int,dc=ourdomain,dc=com"
rootpw <something>
uri ldap://dc-04.int.ourdomain.com:389
overlay pcache
pcache hdb 100000 1 1000 100
pcacheAttrset 0 *
pcacheTemplate (sn=) 0 3600
pcacheBind (sn=) 0 3600 sub dc=int,dc=ourdomain,dc=com
cachesize 200
directory /var/lib/ldap
index objectClass eq
index cn eq,sub
DB_CONFIG
# $OpenLDAP$
# one 0.25 GB cache
set_cachesize 0 268435456 1
# Transaction Log settings
set_lg_regionmax 262144
set_lg_bsize 2097152
Подробный вывод журнала: http://pastebin.com/9s8HMg7d
Вы ожидаете, что следующий запрос будет кеширован?
ldapwhoami -vvv -h localhost -D "CN=Melka Martin,OU=(...),DC=int,DC=ourdomain,DC=com" -x -w <password>
Прежде всего, я бы изменил шаблоны, чтобы они соответствовали параметрам аутентификации:
pcacheTemplate (dn=) 0 3600
pcacheBind (dn=) 0 3600 sub dc=int,dc=ourdomain,dc=com
(dn - отличительное имя, sn - фамилия)
Но я бы удивлен, если это сработало. Фактически, я не уверен, что ldapwhoami
- правильный инструмент для тестирования этого оверлея. На странице руководства рассказывается о клиентах аутентификации
, например nss_ldap
. Вам следует заранее настроить его и посмотреть, какие запросы он выполняет, чтобы вы могли имитировать шаблон, область действия и базу.
Ychydig o bethau i'w crybwyll a allai fod o gymorth neu helpu i leihau achos sylfaenol. . .
Roeddwn i eisiau tynnu sylw fy mod wedi sylwi eich bod chi'n rhedeg slapd -d -1
sy'n golygu rhedeg slapd
gyda lefel dadfygio a logio 1 Mae
sy'n golygu air am air
/ yn galluogi pob difa chwilod
.
O'r hyn a ddarllenais yn yr adnodd URL isod, os nad ydych yn rhedeg yn y gystrawen slapd -f
ac yn cymhwyso'n llawn y
i bwyntio ato ffeil "amgen" slapd.config
, yna. . . " Y rhagosodiad fel rheol yw /usr/local/etc/openldap/slapd.conf.051147005400"051258400Therefore, efallai na fydd hyn yn rhedeg mewn gwirionedd slapd
a'i bwyntio at y ffeil ffurfweddu codwch yr awgrymiadau / paramedrau rydych chi'n eu rhoi yn y ffeil ffurfweddu amgen felly rhowch gynnig arni yn gyntaf rhag ofn mai hwn yw'r mater.
Efallai ei fod yn gysylltiedig yn benodol â'r gwall hwn ( GWALL RHAN1
): 564da523 config_back_db_open: Dim ACL penodol ar gyfer ffurfweddu ôl-ffurfweddu. Gan ddefnyddio rhagosodiad cod caled
(Adnodd: http://www.openldap.org/doc/admin24/runningslapd.html )
SYLWCH: Rwy'n gweld ychydig o negeseuon gwall cysylltiedig â DB yn y log air am air a ddarparwyd gennych felly efallai na all ddod o hyd i'r DB cymwys oni bai eich bod yn newid i'r cyfeiriadur hwnnw fel y gall ddod o hyd iddo yn ymhlyg oni bai ei fod yn cefnogi rhyw ddull pwyntydd DB eglur arall (efallai y bydd NOT2 yn aplicadwy i'r dull hwn).
SYLWCH 2: Dyma ddarlleniad da ar y dull Dirprwy LDAP a defnyddio'r uri
, ac ati yn y ffurfweddiad fel hyn dim ond i adolygu am rywbeth amlwg y gallech fod ar goll neu wedi'i gamgyflunio yn y slapd.conf
ffeil ( http://www.openldap.org/faq/data/cache/532.html ) .
Ychydig o Bwyntiau Diddorol o Adnodd Adran Nodyn 2
Dirprwywr LDAP
binddn
bindpw
haeriad hunaniaeth
cyfluniad haeriad hunaniaeth
Yn gyntaf, mae'n ymddangos eich bod yn ddwy fersiwn yn ôl ar OpenLADAP felly efallai y byddai'n werth ei ddarllen g y nodiadau rhyddhau yma i weld a oes unrhyw beth yn ymddangos yn berthnasol i'ch problem ( http://www.openldap.org/software/release/changes.html ) a allai gyfiawnhau uwchraddio neu yn rhedeg o system uwchraddio profion os yn bosibl.
Yn ail, mae manylion log y ferf yn darparu llawer mwy o negeseuon gwall, ac ati, ac roeddwn i eisiau tynnu sylw at GWALL RHAN 1
, GWALL RHAN 2
, GWALL RHAN 3
, a GWALL RHAN 4
isod yn benodol yn y drefn honno.
(Adnodd: http : //www.openldap.org/doc/admin24/appendix-common-errors.html )
O'r hyn a ddarllenais i fyny, os ydych chi'n teimlo'n gyffyrddus mae'ch holl gyfluniadau wedi'u gosod yn gywir yn wir, mae'r GWALL RHAN 1
gall y llinell gyntaf fod yn "rhybudd" ac yn ddiogel i'w ffieiddio.
Fodd bynnag, efallai mai'r llinell o dan honno ( ~ Gan ddefnyddio rhagosodiad cod caled
) yw'r rhan yn yr adran CYNTAF uchod wrth imi restru'r URL, ac ati.
GWALL RHAN 1
564da523 config_back_db_open: line 0: warning: cannot assess the validity of the ACL scope within backend naming context
564da523 config_back_db_open: No explicit ACL for back-config configured. Using hardcoded default
Adnoddau:
GWALL RHAN 2
564da523 <= hdb_dn2id: get failed: DB_NOTFOUND: No matching key/data pair found (-30988)
564da523 <= hdb_dn2id: get failed: DB_NOTFOUND: No matching key/data pair found (-30988)
Yn yr un hon (uchod) darganfyddais enghraifft yma gyda slapd.conf
ffeiliau ac un (isod)gan nodi hyn felly rwy'n meddwl tybed a yw mor syml ag y mae angen ichi newid i'r cyfeiriadur DB yn y ffeil slapd.conf
yn eich achos chi.
(Adnodd: http: // www .zytrax.com / books / ldap / ch5 )
ENGHRAIFFT O ADNODD URL
# root or superuser
rootdn "cn=jimbob, dc=example, dc=com"
rootpw dirtysecret
# The database directory MUST exist prior to running slapd AND
# change path as necessary
directory /var/db/openldap/example-com
GWALL RHAN 3
Datrys Problemau trwy ddefnyddio telnet
i'r IP LDAP cyfeiriad
Gall fod yn ddefnyddiol hefyd ( http://www.openldap.org/faq/data/cache/532.html )
ldap_read: want=8 error=Resource temporarily unavailable
GWALL RHAN 4
64da525 <= hdb_dn2id: get failed: DB_NOTFOUND: No matching key/data pair found (-30988)
564da525 => bdb_entry_get: cannot find entry: "cn=melka martin,ou=release engineering,ou=development,ou=research and development,ou=cz,dc=int,dc=company,dc=com"
564da525 QUERY NOT ANSWERABLE
564da525 QUERY CACHEABLE