Мы получаем периодические ошибки такого рода:
[Mon Mar 20 08:38:37 2017] [info] [client client_ip_here] [27056] auth_ldap authenticate: user first.last@server.com authentication failed; URI /path/to/project/trunk [LDAP: ldap_start_tls_s() failed][Connect error]
В журналах Apache:
197896-[Mon Mar 20 08:38:37 2017] [info] Initial (No.1) HTTPS request received for child 3 (server svn.server.com:443)
197897-[Mon Mar 20 08:38:37 2017] [debug] mod_authnz_ldap.c(432): [client client_ip_here] [27056] auth_ldap authenticate: using URL ldap://ldap.server.com/OU=Accounts,DC=AAA,DC=BBB,DC=CCC?mail
197901:[Mon Mar 20 08:38:37 2017] [info] [client client_ip_here] [27056] auth_ldap authenticate: user first.last@server.com authentication failed; URI /path/to/project/trunk [LDAP: ldap_start_tls_s() failed][Connect error]
Конфигурация Apache:
<Location /svn/>
DAV svn
SVNListParentPath on
SVNParentPath /path/to/repositories
SVNIndexXSLT "/svnindex.xsl"
# SetEnv SVN_LOCALE_CHARSET "en_US.UTF-8"
SetEnv SVN_LOCALE_CHARSET "UTF-8"
AuthBasicProvider ldap file
AuthUserFile /path/to/svnfile.acl
AuthType Basic
AuthzLDAPAuthoritative off
AuthName "Login with full email (lowercase) and password / Utiliser votre courriel (minuscules) et mot de passe pour vous authentifier"
AuthLDAPBindDN "bind_dn_here"
AuthLDAPBindPassword "password_here"
AuthLDAPURL "ldap://ldap.server.com/OU=Accounts,DC=AAA,DC=BBB,DC=CCC?mail" TLS
AuthzSVNAccessFile /path/to/svnrepos.acl
require valid-user
</Location>
Файл конфигурации LDAP:
RERERRALS off
TLS_CACERTDIR /etc/openldap/certs
TLS_REQCERT never
Раньше это было надежно до прошлой недели, когда нам пришлось менять DC. Решение, пока решение не будет найдено, состоит в том, чтобы перезапускать Apache каждые полчаса (или когда аутентификация начинает давать сбой)
Очевидно, новый DC настроен так же, как и другой. Не знаю, как это исправить. Я не управляю всеми частями этого уравнения.
Можно попробовать запустить ldapsearch, имитирующий то, что делает Apache, когда вы заметили проблему. Если ваша проблема отключает всех пользователей, то не имеет значения, от кого вы зависите. Вы также захотите, чтобы переключатель verbosearch посмотрел, получите ли вы какие-нибудь подсказки о том, почему starttls терпит неудачу.
Другой инструмент, который вы можете попробовать, это "openssl s_client", который может дать вам больше информации о диалоге starttls, и помочь вам сузить причину.
Посмотрел журналы на вашем новом DC?
.