nss_ldap und langsames Login

mousaka

getting older
Hallo

Folgendes Problem: Habe eine Samba PDC gemäss Wiki am Laufen. Das ganze lief seit einigen Montaten stabil. Jetz habe ich neue Versionen eingespielt (u.a. OpenLDAP und nss_ldap, sowie Upgrade auf 6.2-p2) und jetzt sind Probleme aufgetreten.
Ich bin irgendwie nicht in der Lage die genau Ursache festzumachen. Darum einen Überblick was (nicht) funzt:

  • Login dauert bei aktiviertem LDAP-Server ca. 75 Sekunden (nach Passworteingabe), ohne aktivierten LDAP-Server normal scnhell.
  • Vom Server selbst funktioniert alles eindwandfrei: ldapsearch, slaptest, pdbedit.
  • Windows Clients können jedoch nicht auf shares zugreifen.
  • Zugriff via Jxplorer funktioniert einwandfrei.
  • /etc/nsswitch.conf wird jeweils richtig gesetzt je nach Status LDAP-Server
  • die Namensauflösung funktioniert
  • smbclient -L localhost -U% (als root) funktioniert
  • smbclient -L localhost -UBenutzer1 liefert: session setup failed: Call timed out: server did not respond after 20000 milliseconds
  • Der cron-Prozess meldet alle 5 Minuten: nss_ldap: could not search LDAP server - Server is unavailable

Die Log-Files von Samba und LDAP zeigen keine Fehlermeldungen.

Stehe auf dem Schlauch und weiss nicht nach was ich genau suchen soll. Weiss jemand Rat?

mousaka
 
Ziemlich duerftige Beschreibung.
Wie sieht deine ldap.conf aus und wielange dauert ein lookup auf einen User (id <user>)?
 
Ziemlich duerftige Beschreibung.
Ja ich weiss.

/usr/local/etc/ldap.conf
Code:
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE dc=maple,dc=ziegi,dc=ch
URI ldaps://tree.maple.ziegi.ch
TLS_CACERT /usr/local/etc/openldap/ssl/CA.cer
TLS hard

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
Als root
Code:
tree# id mousaka
id: mousaka: no such user
tree# id
uid=0(root) gid=0(wheel) groups=0(wheel), 5(operator)
Edit: id mousaka dauert wohl auch 75 Sekunden

mousaka
 
Noch paar Infos:

/var/log/messages
Code:
Mar 13 21:02:38 tree login: ROOT LOGIN (root) ON ttyv2
Mar 13 21:03:43 tree login: nss_ldap: could not search LDAP server - Server is u
navailable
Mar 13 21:04:42 tree login: nss_ldap: could not search LDAP server - Server is u
navailable
...
Mar 13 22:37:05 tree pdbedit: nss_ldap: could not search LDAP server - Server is
 unavailable

Code:
tree# pdbedit -u mousaka
mousaka:4294967295:System User
diese dauer auch ca. 75s.

mousaka

Wenn ich das richtig verstehe, dann stimmt was mit dem LDAP nicht.
 
tree# pdbedit -u mousaka
mousaka:4294967295:System User
Dein Samba-Server hat sicher keine Verbindung zum OpenLDAP-Server. Eine solch hohe UID ist nicht möglich bzw. nicht gut! Die UID und GID von Windows-Benutzern sollte bei 500 liegen.

Mar 13 21:04:42 tree login: nss_ldap: could not search LDAP server - Server is unavaible
Dasselbe mit NSS. Der NSS hat keine Verbindung zum OpenLDAP-Server. Deshalb liefert auch id mousaka nichts vernünftiges.

Login dauert bei aktiviertem LDAP-Server ca. 75 Sekunden (nach Passworteingabe), ohne aktivierten LDAP-Server normal scnhell.
Auch PAM hat keine Verbindung zum OpenLDAP-Server.

Vom Server selbst funktioniert alles eindwandfrei: ldapsearch
Das ldapsearch die Benutzer einwandfrei auflistet, glaub ich Dir nicht! Bitte beachte # man ldapsearch:
http://www.freebsd.org/cgi/man.cgi?...ath=FreeBSD+6.1-RELEASE+and+Ports&format=html
 
Ein ldapsearch ohne jedes Argument liefert
Code:
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# maple.ziegi.ch
dn: dc=maple,dc=ziegi,dc=ch
objectClass: dcObject
objectClass: organization
o: maple
dc: maple

# People, maple.ziegi.ch
dn: ou=People,dc=maple,dc=ziegi,dc=ch
objectClass: top
objectClass: organizationalUnit
ou: People

# Groups, maple.ziegi.ch
dn: ou=Groups,dc=maple,dc=ziegi,dc=ch
objectClass: top
objectClass: organizationalUnit
ou: Groups

# Idmap, maple.ziegi.ch
dn: ou=Idmap,dc=maple,dc=ziegi,dc=ch
objectClass: top
objectClass: organizationalUnit
objectClass: sambaUnixIdPool
ou: Idmap
uidNumber: 10000
gidNumber: 10001

# root, People, maple.ziegi.ch
dn: uid=root,ou=People,dc=maple,dc=ziegi,dc=ch
cn: root
sn: root
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 0
uid: root
uidNumber: 0
homeDirectory: /home/root
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaHomePath: \\tree\root
sambaHomeDrive: U:
sambaPrimaryGroupSID: S-1-5-21-4185557080-697072127-98918748-512
sambaSID: S-1-5-21-4185557080-697072127-98918748-500
loginShell: /bin/false
gecos: Netbios Domain Administrator
sambaAcctFlags: [U]
sambaPwdLastSet: 1171103327
sambaPwdMustChange: 1202207327
...
<!-- Habe hier mal abgeschnitten -->

Der erwähnte User:
Code:
# mousaka, People, maple.ziegi.ch
dn: uid=mousaka,ou=People,dc=maple,dc=ziegi,dc=ch
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
cn: mousaka
sn: mousaka
givenName: mousaka
uid: mousaka
uidNumber: 1002
gidNumber: 513
homeDirectory: /home/mousaka
loginShell: /bin/csh
gecos: System User
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: System User
sambaSID: S-1-5-21-4185557080-697072127-98918748-3004
sambaPrimaryGroupSID: S-1-5-21-4185557080-697072127-98918748-513
sambaLogonScript: scripts/logon.bat
sambaHomePath: \\tree\mousaka
sambaHomeDrive: U:
sambaAcctFlags: [U]
sambaPwdLastSet: 1173808219
sambaPwdMustChange: 1204912219

Sieht doch ok aus?
 
Sieht doch ok aus?
Ja, alles im grünen Bereich. Korrigiere bei Gelegenheit das Home-Verzeichnis von root (/root und nicht /home/root).

- Sind die Konfigurationsdateien:
/usr/local/etc/ldap.conf
/usr/local/etc/openldap/ldap.conf
/usr/local/etc/nss_ldap.conf
identisch (Symlinks)?

Wie sehen die smb.conf-Einträge für die Kommunikation mit dem OpenLDAP-Server aus?
 
Last edited:
Also die Datenbank scheint ok zu sein. Wie lange dauert denn das 'ldapsearch'?

Kannst du bitte mal ohne Verschluesselung testen?

Kannst du bitte tcpdump nebenher laufen lassen, wenn du dann zB 'id mousaka' aufrufst? Da sieht man am ehesten, in welcher Richtung es hakt.
 
- Sind die Konfigurationsdateien:
/usr/local/etc/ldap.conf
/usr/local/etc/openldap/ldap.conf
/usr/local/etc/nss_ldap.conf
identisch (Symlinks)?
Ja

Wie sehen die smb.conf-Einträge für die Kommunikation mit dem OpenLDAP-Server aus?
Code:
[global]
  # Allgemeine Einstellungen
  netbios name     = tree
  server string    = FreeBSD Samba Server
  workgroup        = maple.ziegi.ch
  #load printers    = yes
  passdb backend   = ldapsam:ldaps://tree.maple.ziegi.ch

  # Verbindungseinstellungen
  deadtime         = 360

  # Dateisystem und Zeichensaetze
  unix charset     = UTF8
  map acl inherit  = yes

  # Dos-Attribute
  map hidden = No
  map system = No
  map archive = No
  map read only = No
  store dos attributes = Yes

  # Logdatei
  log file = /var/log/samba/log.%m
  max log size     = 50

  # Server-Einstellungen
  wins support     = yes
  domain master    = yes
  local master     = yes
  preferred master = yes
  time server      = yes
  host msdfs       = no

  # NICs
  bind interfaces only = true
  interfaces = 192.168.19.16 127.0.0.1

  # Anmeldung
  security          = user
  encrypt passwords = yes
  domain logons     = yes

  # NTLMv2 aktivieren
  ntlm auth          = yes
  lanman auth        = no
  client ntlmv2 auth = yes

  # LDAP-Konfiguration
  ldap ssl                      = on
  ldap passwd sync              = Yes
  ldap suffix                   = dc=maple,dc=ziegi,dc=ch
  ldap machine suffix           = ou=People
  ldap user suffix              = ou=People
  ldap group suffix             = ou=Groups
  ldap idmap suffix             = ou= Idmap
  ldap admin dn                 = cn=ldapAdmin,dc=maple,dc=ziegi,dc=ch
  idmap backend                 = ldap:ldaps://tree.maple.ziegi.ch
  idmap uid                     = 10000-20000
  idmap gid                     = 10000-20000

  # Befehle fuer die Benutzer- und Gruppenverwaltung
  add user script               = /var/lib/samba/sbin/smbldap-useradd -a -m %u
  delete user script            = /var/lib/samba/sbin/smbldap-userdel -r %u
  add group script              = /var/lib/samba/sbin/smbldap-groupadd -p %g
  delete group script           = /var/lib/samba/sbin/smbldap-groupdel %g
  add user to group script      = /var/lib/samba/sbin/smbldap-groupmod -m %u %g
  delete user from group script = /var/lib/samba/sbin/smbldap-groupmod -x %u %g
  set primary group script      = /var/lib/samba/sbin/smbldap-usermod -g %g %u
  add machine script            = /var/lib/samba/sbin/smbldap-useradd -w %m

  # Heimverzeichnis des Benutzers
  logon drive        = U:
  logon home        = \\%L\%u

  # Standort der Benutzerprofile
  logon path        = \\%L\profiles\%u
...

Wie lange dauert denn das 'ldapsearch'?
Das geht sofort, d.h. unter 1 Sekunde.

Kannst du bitte mal ohne Verschluesselung testen?
Werde es morgen mal ohne Verschlüsselung probieren. Da ldapsearch und auch jxplorer verschüsselt funktionieren, sollte es ja wohl nicht daran liegen.

Als root erzeugt smbclient
Code:
tree# smbclient -L localhost -U%
Domain=[MAPLE.ZIEGI.CH] OS=[Unix] Server=[Samba 3.0.24]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        IPC$            IPC       IPC Service (FreeBSD Samba Server)
Domain=[MAPLE.ZIEGI.CH] OS=[Unix] Server=[Samba 3.0.24]

        Server               Comment
        ---------            -------
        LEAF1
        TREE                 FreeBSD Samba Server

        Workgroup            Master
        ---------            -------
        MAPLE.ZIEGI.CH       TREE

tree# smbclient -L localhost -U mousaka
Password:
session setup failed: Call timed out: server did not respond after 20000 milliseconds

tcptump und ohne Verschlüsselung werde ich morgen mal probieren. Gute Nacht.
mousaka
 
Hallo

Ohne Verschlüsselung funktionierts!

Mit eingeschalteter Verschlüsselung leider nicht.:mad:

Werde später weiterschauen. Jetzt weiss ich wenigstens wo suchen.

Danke
mousaka
 
Back
Top