Project

General

Profile

Tâche #13176

Scénario #13012: Exécuter les tests eCDL 2.5.1

pb compte et groupe du domaine LDAP

Added by Michel BALLY over 5 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
09/21/2015
Due date:
% Done:

50%

Estimated time:
8.00 h
Spent time:
Remaining (hours):
0.0

Description

l'eCDl ne voit que les comptes et groupes du domaine approuvé NT, bien penser à ouvrir le flux vers la source en udp 137 depuis d'eCDL comme en 2.4.1.
Sans doute lié au paramétrage manquant de la libnss-ldapd au lieu de libnss-ldap, fichier de conf à adapter?

History

#1 Updated by Emmanuel IHRY over 5 years ago

  • Status changed from Nouveau to En cours
  • Estimated time set to 8.00 h
  • Remaining (hours) set to 8.0

Analyse de la conf nlscd en cours

#2 Updated by Emmanuel IHRY over 5 years ago

Ce problème est une conséquence du changemant intervenu dans la demande #13069. Le remplacement de la libnss-ldap par libnss-ldapd fait que les comptes et groupes du domaine courant ne sont plus visibles avec la commande "getent" alors qu'ils le sont avec wbinfo.

-solution 1
confier sur les ecdl le mapping intégralement à winbind (comme c'est le cas sur les esbl) et se passer de la librairie libnss-ldap ou libnss-ldapd ( l'avantage pourrait être que winbind cache également les comptes du domaine bureautique principal). Est-ce cependant possible ?

- solution 2 : usage de libnss-ldapd qui nécessite la mise au pt du fichier nlscd.conf, mais peut il y avoir un problème de cache nscd + windbind ? ou peut on utiliser nslcd sans cache ?
Il faut en tous cas que celà fonctione également en mode local et mode distant

voir différentes literratures sur le sujet
https://wiki.samba.org/index.php/Nslcd
http://arthurdejong.org/nss-pam-ldapd/setup
http://arthurdejong.org/nss-pam-ldapd/nslcd.conf.5
https://wiki.debian.org/LDAP/NSS

#3 Updated by Emmanuel IHRY over 5 years ago

Pour la solution 2

après mise à jour de la dernière mouture (eole-ecdl 2.5.1-4)

  • secours ldap: il y a un problème si on force en mode 'ldap central'
    ecdl_bascule_ldap -c

Remarque de Christophe après intégration de la solution :

j'ai juste constaté qu'il y a les comptes et groupes du domaine approuvé, mais pas ceux du domaine de l'ecdl

  • il y a un problème au démarrage du serveur
    en attente sur la tty1

on peut se connecter sur une autre console

winbind et nmbd sont lancés mais pas smbd

en fait ça bloque sur le démarrage du service winbind

root 1645 1126 0 19:30 ? 00:00:00 /bin/sh /etc/rc2.d/S20winbind start

je t'ai transmis le résultat de la commande 'ps -ef' obtenue à partir d'une autre tty

un moyen pour que le serveur démarre est de lancer un reconfigure, la commande s'exécute immédiatement et le serveur devient opérationnel

#4 Updated by Emmanuel IHRY over 5 years ago

  • % Done changed from 0 to 50
  • Remaining (hours) changed from 8.0 to 4.0

la procédure avec nslcd est opérationnelle

reste à voir s'il aurait été possible de s'appuyer sur winbind, à voir en 2.5.2 si pas de solution à court terme

#5 Updated by Emmanuel IHRY over 5 years ago

Analyse du pb winbind

il y a une erreur lors de la recherche d'une personne

sur un getent passwd uid ou wbinfo -i uid

dans le debug winbind :

getpwnam bali.entitea
winbindd_getpwnam: My domain -- rejecting getpwnam() for TEST-PNESR\bali.entitea.
Could not convert sid S-0-0: NT_STATUS_NO_SUCH_USER

Autre message d'erreur Failed to issue the StartTLS instruction: Operations error

#6 Updated by Emmanuel IHRY over 5 years ago

erreur sur la connexion ldap

Attempting to find a passdb backend to match ldapsam:"ldaps://ldapsmb.ac.melanie2.i2:636" (ldapsam)
Found pdb backend ldapsam
smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=TEST-PNESR))]
smbldap_search_ext: base => [ou=TEST-PNESR,ou=domaines,ou=Samba,ou=applications,ou=ressources,dc=equipement,dc=gouv,dc=fr], filter => [(&(objectClass=sambaDomain)(sambaDomainName=TEST-PNESR))], scope => [2]
The connection to the LDAP server was closed
Failed to issue the StartTLS instruction: Operations error
Connection to LDAP server failed for the 1 try!
pdb backend ldapsam:"ldaps://ldapsmb.ac.melanie2.i2:636" has a valid init
Found policy hnd0 [0000] 00 00 00 00 01 00 00 00 00 00 00 00 0D 56 FB 10 ........ .....V..
[0010] 8D 6E 00 00 .n..
smbldap_search_ext: base => [sambaDomainName=TEST-PNESR,ou=TEST-PNESR,ou=domaines,ou=Samba,ou=applications,ou=ressources,dc=equipement,dc=gouv,dc=fr], filter => [(objectClass=sambaTrustedDomainPassword)], scope => [2]
The connection to the LDAP server was closed
Failed to issue the StartTLS instruction: Operations error
Connection to LDAP server failed for the 1 try!

#7 Updated by Emmanuel IHRY over 5 years ago

  • Status changed from En cours to Résolu

#8 Updated by Emmanuel IHRY over 5 years ago

  • Remaining (hours) changed from 4.0 to 0.0

Pb résolu, reste à voir si on pourrait utiliser uniquement windbind pour la 2.5.2

#9 Updated by Emmanuel IHRY over 5 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF