web-dev-qa-db-ja.com

これはCentOSLinuxでの通常のLDAP動作ですか?

こんにちは素晴らしい人たち!

Linuxの世界の初心者として、私はCentOS LinuxDistroを実行するClearOS5.2サーバーを本番環境に移行するのに十分なことを学ぶことができました。このボックスは、プライマリドメインコントローラー、LDAPサーバー、OpenVPNサーバー、および関連するすべてのサービス(ファイル共有など)として機能します。最近私が次のことに気づいたことを除いて、すべてがうまく機能します:

サーバーの再起動中に次の2行が頻繁に表示されます:

Sep 30 02:02:23 server1 dbus-daemon: nss_ldap: failed to bind to LDAP server ldap://localhost: Can't contact LDAP server
Sep 30 02:02:23 server1 dbus-daemon: nss_ldap: could not search LDAP server - Server is unavailable

htopを使用すると、複数のslapdインスタンスが同時に実行されているのがわかります(添付の画像を参照):

enter image description here

/ var/log/messagesに次の2行もたくさん見られます:

Sep 30 02:02:32 server1 dbus-daemon: nss_ldap: failed to bind to LDAP server ldap://localhost: Can't contact LDAP server
Sep 30 02:02:32 server1 dbus-daemon: nss_ldap: could not search LDAP server - Server is unavailable

前に述べたように、サーバーは正常に実行されています。 (ログが指摘しているように)LDAPサーバーに到達できない場合、ドメイン認証が失敗すると予想されますが、そうではありません。私は50台のワークステーション環境に2台のラップトップを持っており、すべてのユーザーが問題なくログインして共有に接続できます。また、サーバーの負荷(htopで表示)は私にはかなりよく見えます。

だから私の質問は、これは正常な動作ですか、それとも心配する必要がありますか?

2
Kismet Agbasi

これは正常な動作ではありません。また、スクリーンショットが小さすぎて読めません。

ポート389にtelnetで接続してみてください。接続できる場合は、おそらくポートの問題ではないことを意味します。接続できない場合は、他の何かがそのポートを乗っ取っているか、ファイアウォール/ selinuxに問題があることを意味します。

ファイアウォールの問題である場合は、selinuxをオフにするか、selinuxがある場合は適切に構成します。次に、iptablesのポート389が開いていることを確認します。

ファイアウォールの問題ではない場合は、crontab /init.dスクリプトでslapdを早く開始する必要があります。

まず、/etc/rc.d/init.d/slapdのc​​hkconfig行をchkconfig: - 27 73に編集し、書き込み、終了してから、次のようにします。

chkconfig --del slapd
chkconfig slapd on
service slapd stop
service slapd start

次のようなLDAPクエリツールを使用してLDAPサーバーをテストできます。ldapadmin http://www.ldapadmin.org/

接続できたら、おめでとうございます。正常に機能しています。接続できない場合は、slapdサービスが過負荷になっている可能性があります。

Htopを使用する場合は、画面上のすべてのテキストをマウスで強調表示してから、テキストファイルにコピーして、ここの質問に貼り付けます。

Slapdに認証するユーザーがいるかどうかを確認してください。

getent passwd

LDAPユーザーのリストを取得した場合、それはslapdサービスは機能しているが、過負荷になって問題を引き起こしていることを意味します。私はあなたのhtopの結果を見ることができないので、それが理にかなっているかどうかは言えません。

注:ワークステーションがWindowsボックスの場合、資格情報がキャッシュされている可能性があります。つまり、最初からLDAPサーバーに対して認証を行っていない可能性があります(後で再試行する可能性がありますが、常に認証するとは限りません)。

1
CIA