Forum Linux.debian/ubuntu LDAP et database meta : WARNING: No dynamic config support for database meta.

Posté par Daiko le 06 novembre 2013 à 15:34. Licence CC By‑SA.

Étiquettes :

nov.

2013

Bonjour,

Je cherche à "joindre" deux annuaires LDAP, l'un est local, l'autre distant.
Lorsque, à mon fichier /etc/ldap/slapd.conf, j'ajoute :

database meta
suffix "dc=local,dc=fr"

uri             "ldap://localhost/ou=saf,dc=local,dc=fr"
suffixmassage   "ou=saf,dc=local,dc=fr" "ou=Users,dc=saf,dc=local,dc=fr"

tls start
uri             "ldapi://ldapro.example.com/ou=saf,dc=local,dc=fr"
suffixmassage   "ou=saf,dc=local,dc=fr" "ou=Users,dc=example,dc=com"

Si je tente d'initialiser la configuration :

root@serveur:/etc/ldap# slaptest -f slapd.conf -F slapd.d/
527a4b98 WARNING: No dynamic config support for database meta.
527a4b98 
WARNING: The converted cn=config directory is incomplete and may not work.

config file testing succeeded

Le service LDAP ne démarre plus ; Le contenu de /var/log/syslog :

Nov  6 15:16:37 serveur slapd[3180]: @(#) $OpenLDAP: slapd  (Apr 23 2013 12:16:04) $#012#011root@lupin:/tmp/buildd/openldap-2.4.31/debian/build/servers/slapd
Nov  6 15:16:37 serveur slapd[3181]: meta_back_db_open: no targets defined
Nov  6 15:16:37 serveur slapd[3181]: backend_startup_one (type=meta, suffix="dc=local,dc=fr"): bi_db_open failed! (1)
Nov  6 15:16:37 serveur slapd[3181]: slapd stopped.

Effectivement dans les fichier présents dans /etc/ldap/slap.d il manque la partie qui définie les deux arbres à contacter.

Des idées ? Je pense comprendre que le problème se passe lors de l'utilisation de slaptest mais je ne vois pas ce qui cloche.
Pour info c'est une debian Wheezy 64b fraichement installée avec uniquement slapd. J'ai bien accès à l'annuaire distant a partir du serveur, et l'annuaire local fonctionne si le "meta annuaire" n'est pas configuré.

Merci d'avance pour votre aide.

Le fichiers slapd.conf complet :

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/samba.schema

pidfile         /var/run/slapd/slapd.pid

loglevel        none

modulepath      /usr/lib/ldap
moduleload      back_hdb
moduleload      back_ldap
moduleload      back_meta

sizelimit 500

tool-threads 1

backend         hdb

database        hdb

suffix          "dc=saf,dc=local,dc=fr"
rootdn          "cn=admin,dc=saf,dc=local,dc=fr"
rootpw          password

directory       "/var/lib/ldap"

index           objectClass eq
index          cn                      pres,sub,eq
index          sn                      pres,sub,eq
index          uid                     pres,sub,eq
index          displayName             pres,sub,eq
index          default                 sub
index          uidNumber               eq
index          gidNumber               eq
index          mail,givenName          eq,subinitial
index          dc                      eq


# Checkpoint the BerkeleyDB database periodically in case of system
# failure and to speed slapd shutdown.
checkpoint      512 30

access to attrs=userPassword,shadowLastChange
        by anonymous auth
        by self write
        by * none

access to dn.base="" by * read

access to *
        by * read

database meta
suffix "dc=local,dc=fr"

uri             "ldap://localhost/ou=saf,dc=local,dc=fr"
suffixmassage   "ou=saf,dc=local,dc=fr" "ou=Users,dc=saf,dc=local,dc=fr"

tls start
uri             "ldapi://ldapro.example.com/ou=saf,dc=local,dc=fr"
suffixmassage   "ou=saf,dc=local,dc=fr" "ou=Users,dc=example,dc=com"

lastmod off

# massage != message

Posté par NeoX le 06 novembre 2013 à 17:29. Évalué à 2.
si moi j'aime bien les mAssages je ne suis pas sur que slapd les apprecie dans ses fichiers de config.

tu as plein de suffixmAssage dans tes fichiers,
alors que ca doit plutot etre suffixmEssage

ensuite je dirais que c'est bizarre le ldap uri et l'uri avec les ou,dc,dc dedans
mais je n'ai pas encore de configuration multiserveur ici.

dans mes configs entre un client et un serveur, sur le client j'ai plutot ca :
```
base dc=example,dc=com

uri ldap://ldap.example.com
```
puis seulement apres viennent les binddn qui precisent qui peut se connecter, ou le rootdn
- [^] # Re: massage != message
  
  Posté par nono14 (site web personnel) le 06 novembre 2013 à 18:32. Évalué à 2.
  
  +1, et augmente le loglevel, ça cause plus.
  
  Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
- [^] # Re: massage != message
  
  Posté par Daiko le 06 novembre 2013 à 20:39. Évalué à 0.
  La syntaxe est bonne :
```
 suffixmassage <virtual naming context> <real naming context>
       All the directives starting with "rewrite" refer to the rewrite engine
       that has been added to slapd.  The "suffixmassage" directive was
       introduced in the LDAP backend to allow suffix massaging while
       proxying.  It has been obsoleted by the rewriting tools.  However,
       both for backward compatibility and for ease of configuration when
       simple suffix massage is required, it has been preserved.  It wraps
       the basic rewriting instructions that perform suffix massaging.  See
       the "REWRITING" section for a detailed list of the rewrite rules it
       implies.
```
  J'ai naturellement augmenté le niveau de log mais je n'ai repéré aucune erreur supplémentaires. (en lançant manuellement slapd avec -d 3 et -f slapd.conf) La seule différence est que le service se lance mais il n'y a rien concernant le meta annuaire. (je posterais le log demain matin, je n'ai pas accès au serveur ce soir)
  - [^] # Re: massage != message
    
    Posté par NeoX le 06 novembre 2013 à 23:34. Évalué à 2.
    autant pour moi sur le suffixmassage qui est bien confirmé dans plein de doc
    de meme que la reecriture avec un suffixe
```
suffix "dc=foo,dc=com"
uri    "ldap://l1.foo.com/dc=foo,dc=com" "ldap://l2.foo.com/"
```
    source : http://www.openldap.org/software/man.cgi?query=slapd-meta&sektion=5&manpath=OpenLDAP+2.X-Devel&format=html
# slapd-meta ne finctionne pas avec une configuration dynamique

Posté par Daiko le 26 novembre 2013 à 12:25. Évalué à -1.

Pour ceux qui rencontreraient le même problème, le backend meta ne fonctionne pas (encore ?) avec la nouvelle façon de configurer openldap, il faut utiliser slapd.conf en modifiant le fichier /etc/default/slpad et ajouter le chemin du fichier dans SLAPD_CONF. (le message était pourtant clair mais je ne l'ai pas compris comme ça)

En espérant que cela serve à quelqu'un d'autre.

Ma version de slpad : 2.4.31-1+nmu2

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# massage != message

[^] # Re: massage != message

[^] # Re: massage != message

[^] # Re: massage != message

# slapd-meta ne finctionne pas avec une configuration dynamique