вопрос по ldap'y 0

Командир,

Чем подробнее ты опишешь ситуацию (особенно в случае не вполне тривиальных вопросов, как этот) — тем выше вероятность получения удовлетворяющего тебя ответа.

Честно сразу предупреждаю: указанный аспект LDAP у меня сейчас стоит в очереди на разработку.

Почты в смысле — хранения учётных записей пользователей электронной почты в LDAP?

Насколько я помню (понял) схемы — это описание структуры.

# grep inetLocalMailRecipient *schema

что говорит?

Спасибо! grep inetLocalMailRecipient *schema ничего не выдает, а реч идет хранение уч.записей ел.почты в ldap

raba
Спасибо! grep inetLocalMailRecipient *schema ничего не выдает

Команда выполнялась в каталоге с схемами LDAP?

Вариантов ровно два:

1. Необходимо подключить нестандартную схему (где брать — гугл тебе в зубы).

2. Проёб (несогласованность) разработчиков. Высянить (гугд в зубы) формат схемы и прописать ручками в соответствии со своими представлениями о здравом смысле.

Такое ощущение что что-то с ldap’ом? Да команда выполнялась в етот каталог. Посмотрел другого сервака там присуствует указаные записи в misc.schema, если я просто тупо скопирую их в моей misc.schema, ето пакатить, или чтоб все было корректно нужно каким-то образом переставить ldap с нужными опциями, но с какими?

raba
Такое ощущение что что-то с ldap’ом? Да команда выполнялась в етот каталог.

Cкорее ощущение, что ты не совсем понимаешь, что ты делаешь.

Ну или не так (неполно) описываешь.

raba
Посмотрел другого сервака там присуствует указаные записи в misc.schema, если я просто тупо скопирую их в моей misc.schema

Версии LDAP’ов/даты (и размер) файлов схем в студию!

Напоминаю о чём я уже предупреждал.

raba
ето пакатить, или чтоб все было корректно нужно каким-то образом переставить ldap с нужными опциями, но с какими?

Думаешь переустанавливать?

Значит версии совпадают?

Интерееесно.

Версии одинаковые и размеры тоже за исключением misc’a, еще присуствуют дополнительные схемы у одного из них из-за доп.ПО, которое ставилось.

raba
Версии одинаковые и размеры тоже за исключением misc’a, еще присуствуют дополнительные схемы у одного из них из-за доп.ПО, которое ставилось.

Дополнительное ПО не переписывало схем?

Бери нужную тебе схему, копируй туда, куда нужно — и вперёд!

короче я пересобрал, кое чего поменял не та как в прошлый раз, иммею ввиду что блоки о 'mailhost' дублировались в authldap.schema и misc.schema, теперь убил блок в authldap.schema, вроде тоже как работвет только при следующая модификация с добавлением mailRoutingAddress пишет:

ldapadd: modify operation type is missing at line 3, entry «uid=usr,ou=clients,o=my,l=spb,c=ru»

, а сам mailRoutingAddress находится в misc.schema

разобрался и мне как кажется с ldap’ом на данный момент должно быть все в порядке, только в порядке ли все с sendmail’ом :) ? Сразу не судите, пока не сильно разбираюсь но двигаюсь к етому..sendmail скомпилиран с поддержке ldap, в базе ldap есть данные о нужной учетной записью:

dn: uid=usr,ou=clients,o=my,l=spb,c=ru

uid: usr

cn: usr

sn: user

objectClass: person

objectClass: inetOrgPerson

objectClass: inetLocalMailRecipient

mailbox: Maildir

clearPassword: userpw

userPassword:: e8f7gifgj$%dfH>hgfA4KzF5UytOefgfHJgfUXZJOFg=

mailLocalAddress: usr@my.spb.ru

mailRoutingAddress: usr@true.ldp

, но при поступление писма для етого пользователя нет логи для ldap’a, т.е обращение к нему вообще не происходить, при етом писма принимаются и отправляются, но без участия ldap’a. в sendmail’е для ldap прописал

FEATURE(`ldap_routing’)

LDAPROUTE_DOMAIN(`true.ldp’)

define(`confLDAP_DEFAULT_SPEC’, `-h ldap.true.ldp -b dc=true,dc=ldp’)

мне кажется что наверника чего-то маленкое пропускаю, но поверте читал ссылки по ldap’y так и не разобрался, помогите разобратся!

raba
clearPassword: userpw

userPassword:: e8f7gifgj$%dfH>hgfA4KzF5UytOefgfHJgfUXZJOFg=

Ты уж определись с тем: какой пароль использовать.

Cleartext категорически не рекомендован. И скорее всего в данной конфигурации избыточен.

raba
но при поступление писма для етого пользователя нет логи для ldap’a, т.е обращение к нему вообще не происходить

А ты вообще с логированием OpenLDAP’а разобрался?

Вопрос не вполне тривиален и не во всём соответствует здравому смыслу.

Я человек нехороший привычкой к последовательности.

Сейчас у меня порядок задач следующий: закрыть тему почты (без LDAP’а) и только после этого оформлять в виде статьи построение LDAP-сервера.

По почте осталось дописать статью про фильтрацию спама.

Но Шуруп волынит, ещё базовую часть не вывесил… :(

Процитирую черновик про настройку логирования OpenLDAP (правда в FreeBSD 6.2, но полагаю, оно достаточно стандартно):

8. Настройка логирования.

Заявлена возможность задания в slapd.conf в опцией

loglevel [...]

Specify the level at which debugging statements and operation

statistics should be syslogged (currently logged to the

syslogd(8) LOG_LOCAL4 facility).

Однако, как показала практика, slapd.conf (и вообще OpenLDAP) очень чувствителен к порядку

следования опций. Куда втыкать указанную я пока не понял.

Задаю в качестве параметров командной строки при запуске.

Логи по умолчанию пишутся в LOG_LOCAL4, можно изменить параметром запуска (пример см. в строке

аргументов прописанной в /etc/rc.conf).

Фича: не понимает метасимволов (а именно — '*’) в /etc/syslog.conf

Т.е. записи вида local4.* не понимает.

Все сообщения пишутся (независимо от уровня) в local4.debug

Расшифровка смысла числовых значений уровней логирования slapd:

loglevel Logging description

-1 enable all debugging

0 no debugging

1 trace function calls

2 debug packet handling

4 heavy trace debugging

8 connection management

16 print out packets sent and received

32 search filter processing

64 configuration file processing

128 access control list processing

256 stats log connections/operations/results

512 stats log entries sent

1024 print communication with shell backends

2048 print entry parsing debugging

С точки зрения анализа при отладке посчитал целесообразным уровень 128.

Осталась некоторая непонятка про ротацию логов (необходимо ли указывать pid-файл).

Также имеет смысл, дабы не забивать системные логи сообщениями OpenLDAP-server’а

до нечитаемого состояния запретить логирование local4 в debug.log, и (если используется) в all.log.

Вот я так вытащил логи:

local4.* /var/log/ldap.log

и при минимальный рестарт хотя бы, логи на рестарт видны.

..Ето отлично что вы взялись за тяжелую работу, обьяснит нам ввиде статью, но может быть быстренко ссылку мне кинете, про мою проблему и не буду вас больше мучить.

raba
Вот я так вытащил логи:

local4.* /var/log/ldap.log

и при минимальный рестарт хотя бы, логи на рестарт видны.

..Ето отлично что вы взялись за тяжелую работу, обьяснит нам ввиде статью, но может быть быстренко ссылку мне кинете, про мою проблему и не буду вас больше мучить.

Дык я цитату касаемо данного аспекта и привёл.

Меня удивляет что в твоём случае работает

local4.*                                        /var/log/ldap.log

Полезно указывать версию openldap (в моём случае — 2.3.39).

Если бы ты достаточно внимательно прочитал мою цитату, то мог бы предугадать следующий вопрос:

«какой loglevel прописан в конфиге» (проблема мной не решённая) или (что куда приземлённее): «$с каким списком параметров запускается slapd$"?

Версия — openldap-server-2.4.7

slapd запускается так:

slapd_enable=«YES»

slapd_flags=’-h «ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/"'

slapd_sockets=«/var/run/openldap/ldapi»

loglevel не прописан у меня в конфиге.

Хотя только только прописал до определения баз loglevel 128 и вроде как перезапустился без проблем

raba
loglevel не прописан у меня в конфиге.

Хотя только только прописал до определения баз loglevel 128 и вроде как перезапустился без проблем

Перезапустился — ещё не значит, что изменения конфига приняты к исполнению.

Наблюдал на примере директивы Sizelimit в 2.3.39.

У меня в /etc/rc.conf прописано следующее:

slapd_enable="YES"
slapd_flags='-u ldap -g ldap -4 -f /usr/local/etc/openldap/slapd.conf -s 128 -l local4'

Кажется немного осталось разобратся, толко одно не понимаю:

»… Настройка sendmail сводится к добавлению строк в файл конфигурации sendmail.mc, с последующим его преобразованием в cf.

-информация о сервере LDAP (ldap.sgb — сервер LDAP, dc=sgb root директория)

define(`confLDAP_DEFAULT_SPEC’,`-h ldap.sgb -b dc=sgb’)dnl..»

Етот цитат указывает на локальный ldap или удаленный?

raba
Кажется немного осталось разобратся, толко одно не понимаю:

»… Настройка sendmail сводится к добавлению строк в файл конфигурации sendmail.mc, с последующим его преобразованием в cf.

-информация о сервере LDAP (ldap.sgb — сервер LDAP, dc=sgb root директория)

define(`confLDAP_DEFAULT_SPEC’,`-h ldap.sgb -b dc=sgb’)dnl..»

Етот цитат указывает на локальный ldap или удаленный?

Вопрос показывает насколько ты далёк от понимания сути процессов.

А также — степень некомепентности ставящих задачу правоверных бздишников.

Ну на хуя ШТАТНОМУ (встроенному в корпус вполне конкретной ОС) sendmail’у LDAP?..

При том, что эта ОС (в штатном варианте) использует <> LDAP метод авторизации.

Ну ты почитай хотя бы немного классику, о том, что из себя представляет и как устроена почта в классическом Unix’е…

Да хотя бы для начала немного мою статью: http://www.nixp.ru/articles/freebsd_mail_server_with_sendmail

Ну и кратко по пунктам:

Как ты представляешь себе получение почты для учётной записи пользователя LDAP отсутствующего в системной (по умолчанию — текстовой) базе?

Оно конечно возможно… При использовании хранения почты и учётных записей пользователей в СУБД! Но не для штатного sendmail’а FreeBSD (в штатной же конфигурации)!!!

Некоторый смысл затея начинает приобретать при замене системной авторизации на LDAP. Но лично я слабо себе представляю где такое может иметь смысл.

Ну да, может я пока и далек от Unix, но ето разве означает что вам платят больше денег за побольше плохих высказанных слов о адресе других, документации мало, и мне не легко все понимать сразу так чтоб прописал и заработало, но по тихонку читаю и кое-что делаю,между впрочем етот ответ был с прошлого года :) , и до сегоднешнего дня много чего изменилось, и ета проблема уже не стоить. Может скажете пару Добрых слов о сегодняшной проблеме?

———————————————

ldap_init/ldap_bind failed to localhost in map access: Protocol error

raba
но ето разве означает что вам платят больше денег за побольше плохих высказанных слов о адресе других

Неужели Вы удивитесь тому, сколько общего в причинах с Вашими проблемами?

А причина заключается в отсутствии минимального обеспечения понтов особо активных на поприще прославления *BSD и пения гимнов преимуществам оной над Linux пониманием восхваляемой ими матчасти.

Слишком много ереси и бреда (вместо полезной информации) встречал в статьях на том же opennet’е.

raba
документации мало

Мало Вам приходилось работать с документацией для Windows, да и вообще документацией разработчиков проприетарного ПО…

И не усугубляйте ситуацию.

raba
и мне не легко все понимать сразу так чтоб прописал и заработало

В сколько-нибудь нетривиальных случаях такого, чтобы сразу заработало и не будет.

Независимо от степени понимания.

От понимания зависит время, необходимое для локализации и исправления проблем.

raba
но по тихонку читаю и кое-что делаю,между впрочем етот ответ был с прошлого года :) , и до сегоднешнего дня много чего изменилось, и ета проблема уже не стоить.

Поздравляю.

Задал вопрос на форуме, разобрался сам — напиши ответ в своей теме.

Так будет всем проще.

raba
Может скажете пару Добрых слов о сегодняшной проблеме?

———————————————

ldap_init/ldap_bind failed to localhost in map access: Protocol error

Скажу, что телепаты в отпуске.

Если хотите получить ответ — формулируйте вопрос достаточно подробно, начиная с описания исходной конфигурации.

По одной строке ошибки в сколько-нибудь нетривиальном случае Вам ничего полезного не напишут.