Трудности в настройке LDAP сервера

[boombastic]

Добрый день. У меня возникли трудности в настройке openldap сервера. Делаю всё согл. документации:
1. Поставил openldap сервер.
2. /etc/openldap/slapd.conf
#____________________
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/redhat/autofs.schema
include /etc/openldap/schema/redhat/kerberosobject.schema
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
database ldbm
suffix "dc=ivanco,dc=net"
rootdn "cn=lalala,dc=ivanco,dc=net"
rootpw blablabla
directory /var/lib/ldap
index cn,sn,uid pres,eq,sub
#____________________
3. создаю example.ldiff
#____________________
dn: dc=ivanco,dc=net
objectClass: dcObject
objectClass: organization
o: ivanco
dc: ivanco
dn: cn=lalala,dc=ivanco,dc=net
objectClass: organizationalRole
cn: lalala
#____________________
4. ldapadd -vxD "cn=lalala,dc=ivanco,dc=net" -W -f mydomain.ldiff
Получаю след. результат:
ldap_initialize( <DEFAULT> )
Enter LDAP Password:
add objectClass:
dcObject
organization
organizationalRole
add o:
ivanco
add dc:
ivanco
add dn:
cn=lala,dc=ivanco,dc=net
add cn:
admin
adding new entry "dc=ivanco,dc=net"
ldap_add: Invalid syntax
additional info: objectClass: value #1 invalid per syntax

ldif_record() = 21

Перерыл весь гугль. В openldap.org->FAQ есть следующее объяснение данной проблемы (http://www.openldap.org/faq/data/cache/648.html):

This error is reported when a value of an attribute does not conform to syntax restrictions. Additional information is commonly provided stating which value of which attribute was found to be invalid. Double check this value and other values (the server will only report the first error it finds).

Common errors include:

extraneous white space (especially trailing white space)
improperly encoded characters (LDAPv3 uses UTF-8 encoded Unicode)
empty values (few syntaxes allow empty values)

Перепроверил все значения. Повторно переписал ldiff файл - никакого положительного результа.
Кто знает в чём дело?
P4-2,4\512DDR\RHEL AS3\UTM5 licensed.

[boombastic]

всё. тема закрыта. не надо было умничать. Написано в мануале cn-Manager значит надо Manager и тогда всё работает.

[boombastic]

однако поспешил я с закрытием темы. возникла следующая проблема:
Существующая конфигурация:
billing utm5\FreeBSD 5.3-STABLE
openldap+postfix+cyrus-sasl\RHEL AS3
на линуксе openldap поднялся без проблем. с помощью ldapadd пользователи для почты заводятся. Теперь пробую завести почтового пользователя чз utm5 интерфейс админа.
в utm5.cfg прописано:
ldap_enable=yes
ldap_host=$my_ip
ldap_login="cn=Manager,dc=$my_domain,dc=net"
ldap_password=$my_passwd
ldap_base_dn="dc=$my_domain,dc=net"
___
где $my_domain мой домен.
$my_passwd пароль на ldap сервер

сохраняю, рестартую, подключаюсь к биллингу, завожу пользователю услугу "Почтовый ящик 10мб", подлючаю "Технич. парметр" с типом "email" и ID связки "Почтовый ящик 10мб". В поле значение, задаю email в виде н-р testmail@$my_domain.net и в поле "пароль" - пароль открытым текстом. Всё проходит без запинок.
Всё это время на сервере с запущенным ldap сервером слушаю трафик:
tcpdump -i any -n port 389
тишина.
tail -f /var/log/messages тоже молчит .

Конфиг /etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/redhat/autofs.schema
include /etc/openldap/schema/redhat/kerberosobject.schema

pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
loglevel 512

database ldbm
suffix "dc=$my_domain,dc=net"
rootdn "cn=Manager,dc=ivanco,dc=net"
rootpw $my_password
directory /var/lib/ldap
index cn,sn,uid pres,eq,sub
___________________________
c машины где установлен биллинг машина с лдап сервером видна, пинги идут, telnet $ldap_server_ip ldap устанавливает соединение. файрвола нету
___________________________
rpm -qa|grep openldap
openldap-2.0.27-17
openldap-devel-2.0.27-17
openldap-servers-2.0.27-17
openldap-clients-2.0.27-17
___________________________
rpm -qa|grep cyrus-sasl
cyrus-sasl-2.1.15-10.boom
cyrus-sasl-plain-2.1.15-10.boom
cyrus-sasl-devel-2.1.15-10.boom
cyrus-sasl-gssapi-2.1.15-10.boom
cyrus-sasl-md5-2.1.15-10.boom
___________________________


Подскажите плиз в чём я ошибся?

[admin]

нужно добавить в конфиг строчку
urfa_lib_file=/netup/utm5/lib/utm5_core/liburfa-ldap.so

[vprudnikov]

однако поспешил я с закрытием темы. возникла следующая проблема:
Существующая конфигурация:
billing utm5\FreeBSD 5.3-STABLE
openldap+postfix+cyrus-sasl\RHEL AS3
на линуксе openldap поднялся без проблем. с помощью ldapadd пользователи для почты заводятся. Теперь пробую завести почтового пользователя чз utm5 интерфейс админа.
в utm5.cfg прописано:
ldap_enable=yes
ldap_host=$my_ip
ldap_login="cn=Manager,dc=$my_domain,dc=net"
ldap_password=$my_passwd
ldap_base_dn="dc=$my_domain,dc=net"
___
где $my_domain мой домен.
$my_passwd пароль на ldap сервер

сохраняю, рестартую, подключаюсь к биллингу, завожу пользователю услугу "Почтовый ящик 10мб", подлючаю "Технич. парметр" с типом "email" и ID связки "Почтовый ящик 10мб". В поле значение, задаю email в виде н-р testmail@$my_domain.net и в поле "пароль" - пароль открытым текстом. Всё проходит без запинок.
Всё это время на сервере с запущенным ldap сервером слушаю трафик:
tcpdump -i any -n port 389
тишина.
tail -f /var/log/messages тоже молчит .

Конфиг /etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/redhat/autofs.schema
include /etc/openldap/schema/redhat/kerberosobject.schema

pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
loglevel 512

database ldbm
suffix "dc=$my_domain,dc=net"
rootdn "cn=Manager,dc=ivanco,dc=net"
rootpw $my_password
directory /var/lib/ldap
index cn,sn,uid pres,eq,sub
___________________________
c машины где установлен биллинг машина с лдап сервером видна, пинги идут, telnet $ldap_server_ip ldap устанавливает соединение. файрвола нету
___________________________
rpm -qa|grep openldap
openldap-2.0.27-17
openldap-devel-2.0.27-17
openldap-servers-2.0.27-17
openldap-clients-2.0.27-17
___________________________
rpm -qa|grep cyrus-sasl
cyrus-sasl-2.1.15-10.boom
cyrus-sasl-plain-2.1.15-10.boom
cyrus-sasl-devel-2.1.15-10.boom
cyrus-sasl-gssapi-2.1.15-10.boom
cyrus-sasl-md5-2.1.15-10.boom
___________________________


Подскажите плиз в чём я ошибся?

Очень бы хотелось услышать окончательный результат работы с ldap... (т.е. проходит ли авторизация почты после добавления тех. параметра)

[boombastic]

Всё получилось. Всё хорошо. Пользователи заводятся, авторизация проходит, почту получают. Осталось проверить блокируются ли пользвоатели при окончании баланса в биллинге.
Итоговая картина выглядит так:
BILLING-> FreeBSD 5.3
LDAP+POSTFIX+CYRUS-> RHEL AS3

[vprudnikov]

Всё получилось. Всё хорошо. Пользователи заводятся, авторизация проходит, почту получают. Осталось проверить блокируются ли пользвоатели при окончании баланса в биллинге.
Итоговая картина выглядит так:
BILLING-> FreeBSD 5.3
LDAP+POSTFIX+CYRUS-> RHEL AS3

Придется пробовать в такой же конфигурации. Пробовал и на FreeBSD 4.8 и на RH-9 - пароль упорно UTM писала некорректный MD5...
Если не сложно: можно посмотреть конфиги ldap.conf , slapd.conf , utm5.conf и версию ldap и sasl?

[boombastic]

Не сложно. Совет - делай всё по мануалу. Я тоже сначала умничал и по граблям вприпрыжку бегал. Потом плюнул и сделал по бумажке и всё заработало. Щас надо секурити на лдап сервере поднастроить тока.

rpm -qa|grep openldap
openldap-2.0.27-17
openldap-devel-2.0.27-17
openldap-servers-2.0.27-17
openldap-clients-2.0.27-17

rpm -qa|grep cyrus-sasl
cyrus-sasl-2.1.15-10.boom
cyrus-sasl-plain-2.1.15-10.boom
cyrus-sasl-devel-2.1.15-10.boom
cyrus-sasl-gssapi-2.1.15-10.boom
cyrus-sasl-md5-2.1.15-10.boom

p.s. приставка .boom в назв. пакета, це я фиксил там сам кое что. ничего особенного.
p.p.s кстати, в rhel as3 по умолчанию отсутствует cyrus-imapd но я брал srpm от FedoraCore3 (ибо мне влом из сорцов) немного фиксил .spec файл и собирал. Всё проходило без запинки.
Фиксил я на след тему, по умолчанию в мануале написано что дистриб cyrus-a надо пропатчить патчами для работы с ldap и дан урл где качать. В srpm от fc3 были не самые последние патчи, но... самый последний дистриб cyrus-a. соотв я взял самые последние патчи, подправил .spec файл чтобы патчить сорцы cyrus-a именно ими (а не старыми) и собрал. Всё заработало.
Вот конфиги (имена доменов я изменил, по кое-каким соображениям):
cat /etc/ldap.conf
# Your LDAP server. Must be resolvable without using LDAP.
host 127.0.0.1
# The distinguished name of the search base.
base dc=boombastic,dc=ru
_____________
остальное по умолчанию.

cat /etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/redhat/autofs.schema
include /etc/openldap/schema/redhat/kerberosobject.schema
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
loglevel 512
database ldbm
suffix "dc=boombastic,dc=ru"
rootdn "cn=Manager,dc=boombastic,dc=ru"
rootpw mysupadupapasswd
directory /var/lib/ldap
index cn,sn,uid pres,eq,sub
_______________________
cat first.file.ldiff

dn: dc=boombastic,dc=ru
objectClass: dcObject
objectClass: organization
o: boombastic network
dc: boombastic

dn: cn=Manager,dc=boombastic,dc=ru
objectclass: organizationalRole
_____________________
ВАЖНО пропустить одну строку.
_____________________
cat netup.ldiff
dn: ou=users,dc=boombastic,dc=ru
objectClass: organizationalUnit
ou: users


dn: cn=test,ou=users,dc=boombastic,dc=ru
cn: test
sn: test
givenName: boom mail test
objectClass: inetOrgPerson
objectClass: uidObject
objectClass: organizationalPerson
objectClass: top
mail: test
mail: test@boombastic.ru
uid: test
userPassword: testuserpasswd
____________________________
делаю:
ldapadd -vxD "cn=Manager,dc=boombastic,dc=ru" -W -f first.file.ldiff
ldapadd -vxD "cn=Manager,dc=boombastic,dc=ru" -W -f netup.ldiff
____________________________

cat cyrus.conf
START {
recover cmd="ctl_cyrusdb -r"
}
SERVICES {
imap cmd="imapd" listen="imap" prefork=5
imaps cmd="imapd -s" listen="imaps" prefork=1
pop3 cmd="pop3d" listen="pop3" prefork=3
pop3s cmd="pop3d -s" listen="pop3s" prefork=1
sieve cmd="timsieved" listen="sieve" prefork=0
lmtpunix cmd="lmtpd" listen="/var/lib/imap/socket/lmtp" prefork=1
proto="udp" prefork=1
}
EVENTS {
checkpoint cmd="ctl_cyrusdb -c" period=30
delprune cmd="cyr_expire -E 3" at=0400
tlsprune cmd="tls_prune" at=0400
}

cat imapd.conf
configdirectory: /var/lib/imap
partition-default: /var/spool/imap
admins: cyrusadmin
sievedir: /var/lib/imap/sieve
sendmail: /usr/sbin/sendmail
hashimapspool: true
sasl_pwcheck_method: saslauthd
mboxlist_db: flat
createonpost: 1
autocreatequota: 20480
sasl_mech_list: PLAIN
tls_cert_file: /usr/share/ssl/certs/cyrus-imapd.pem
tls_key_file: /usr/share/ssl/certs/cyrus-imapd.pem
tls_ca_file: /usr/share/ssl/certs/ca-bundle.crt

[vprudnikov]

Не сложно. Совет - делай всё по мануалу. Я тоже сначала умничал и по граблям вприпрыжку бегал. Потом плюнул и сделал по бумажке и всё заработало. Щас надо секурити на лдап сервере поднастроить тока.

rpm -qa|grep openldap
openldap-2.0.27-17
openldap-devel-2.0.27-17
openldap-servers-2.0.27-17
openldap-clients-2.0.27-17

rpm -qa|grep cyrus-sasl
cyrus-sasl-2.1.15-10.boom
cyrus-sasl-plain-2.1.15-10.boom
cyrus-sasl-devel-2.1.15-10.boom
cyrus-sasl-gssapi-2.1.15-10.boom
cyrus-sasl-md5-2.1.15-10.boom

p.s. приставка .boom в назв. пакета, це я фиксил там сам кое что. ничего особенного.
p.p.s кстати, в rhel as3 по умолчанию отсутствует cyrus-imapd но я брал srpm от FedoraCore3 (ибо мне влом из сорцов) немного фиксил .spec файл и собирал. Всё проходило без запинки.
Фиксил я на след тему, по умолчанию в мануале написано что дистриб cyrus-a надо пропатчить патчами для работы с ldap и дан урл где качать. В srpm от fc3 были не самые последние патчи, но... самый последний дистриб cyrus-a. соотв я взял самые последние патчи, подправил .spec файл чтобы патчить сорцы cyrus-a именно ими (а не старыми) и собрал. Всё заработало.
Вот конфиги (имена доменов я изменил, по кое-каким соображениям):
cat /etc/ldap.conf
# Your LDAP server. Must be resolvable without using LDAP.
host 127.0.0.1
# The distinguished name of the search base.
base dc=boombastic,dc=ru
_____________
остальное по умолчанию.

cat /etc/openldap/slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/redhat/autofs.schema
include /etc/openldap/schema/redhat/kerberosobject.schema
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
loglevel 512
database ldbm
suffix "dc=boombastic,dc=ru"
rootdn "cn=Manager,dc=boombastic,dc=ru"
rootpw mysupadupapasswd
directory /var/lib/ldap
index cn,sn,uid pres,eq,sub
_______________________
cat first.file.ldiff

dn: dc=boombastic,dc=ru
objectClass: dcObject
objectClass: organization
o: boombastic network
dc: boombastic

dn: cn=Manager,dc=boombastic,dc=ru
objectclass: organizationalRole
_____________________
ВАЖНО пропустить одну строку.
_____________________
cat netup.ldiff
dn: ou=users,dc=boombastic,dc=ru
objectClass: organizationalUnit
ou: users


dn: cn=test,ou=users,dc=boombastic,dc=ru
cn: test
sn: test
givenName: boom mail test
objectClass: inetOrgPerson
objectClass: uidObject
objectClass: organizationalPerson
objectClass: top
mail: test
mail: test@boombastic.ru
uid: test
userPassword: testuserpasswd
____________________________
делаю:
ldapadd -vxD "cn=Manager,dc=boombastic,dc=ru" -W -f first.file.ldiff
ldapadd -vxD "cn=Manager,dc=boombastic,dc=ru" -W -f netup.ldiff
____________________________

cat cyrus.conf
START {
recover cmd="ctl_cyrusdb -r"
}
SERVICES {
imap cmd="imapd" listen="imap" prefork=5
imaps cmd="imapd -s" listen="imaps" prefork=1
pop3 cmd="pop3d" listen="pop3" prefork=3
pop3s cmd="pop3d -s" listen="pop3s" prefork=1
sieve cmd="timsieved" listen="sieve" prefork=0
lmtpunix cmd="lmtpd" listen="/var/lib/imap/socket/lmtp" prefork=1
proto="udp" prefork=1
}
EVENTS {
checkpoint cmd="ctl_cyrusdb -c" period=30
delprune cmd="cyr_expire -E 3" at=0400
tlsprune cmd="tls_prune" at=0400
}

cat imapd.conf
configdirectory: /var/lib/imap
partition-default: /var/spool/imap
admins: cyrusadmin
sievedir: /var/lib/imap/sieve
sendmail: /usr/sbin/sendmail
hashimapspool: true
sasl_pwcheck_method: saslauthd
mboxlist_db: flat
createonpost: 1
autocreatequota: 20480
sasl_mech_list: PLAIN
tls_cert_file: /usr/share/ssl/certs/cyrus-imapd.pem
tls_key_file: /usr/share/ssl/certs/cyrus-imapd.pem
tls_ca_file: /usr/share/ssl/certs/ca-bundle.crt

Большое спасибо, попробуем. Настройкой LDAP не я занимался, но мне говорили, что по мануалу ничего не получается. И проблема, собственно, была совершенно, вроде бы, не связанная с настройкой. Просто UTM5 загоняла в LDAP неправильный пароль. Все нормально создавалось - только пароль неправильный.

[vprudnikov]

Поставили все на Fedora Core 2 - действительно работает нормально. На RH-9 не работает, т.к. приходится менять версию ldap. А при компилляции из исходников, видимо, нужно знать какой-то параметр, который приводит к указанной мною проблеме. На freebsd 4.8 тоже не работал (но там скорее всего ldap ставился из портов). Сейчас попробую на FreeBSD 5.3...

[vprudnikov]

Решили поставить сначала на FreeBSD 4.11. OpenLDAP ставился из портов. Результат - пароль загоняется криво. Я так понимаю, что разработчки проверяют работоспособность системы только на своей тестовой машине.

[vprudnikov]

Ну, на 5.3, естественно, тоже ничего не работает... но, видимо, так и должно быть. Наверное, руки кривые! А техцентр ВАЗа закрыт на неопределенный срок.

[aospan]

Ну, на 5.3, естественно, тоже ничего не работает... но, видимо, так и должно быть. Наверное, руки кривые! А техцентр ВАЗа закрыт на неопределенный срок.

Владимир, есть смысл раз и навсегда разобраться с этим вопросом На FedoraCore 2 пароль верно заносится, а на FreeBSD 5.3 неверно ?
Можете для информации перекинуть какие пароли заводите и что реально уходит в LDAP ?

[vprudnikov]

Ну, на 5.3, естественно, тоже ничего не работает... но, видимо, так и должно быть. Наверное, руки кривые! А техцентр ВАЗа закрыт на неопределенный срок.

Владимир, есть смысл раз и навсегда разобраться с этим вопросом На FedoraCore 2 пароль верно заносится, а на FreeBSD 5.3 неверно ?
Можете для информации перекинуть какие пароли заводите и что реально уходит в LDAP ?

Абылай, по-моему, я это уже неоднократно делал. Делаю еще раз:

• free# ldd /netup/utm5/lib/utm5_core/liburfa-ldap.so
  /netup/utm5/lib/utm5_core/liburfa-ldap.so:
  libmysqlclient.so.10 => /usr/local/lib/mysql/libmysqlclient.so.10 (0x28148000)
  libssl.so.3 => /usr/lib/libssl.so.3 (0x28164000)
  libcrypto.so.3 => /usr/lib/libcrypto.so.3 (0x28193000)
  libc.so.4 => /usr/lib/libc.so.4 (0x2806a000)
  libldap.so.2 => /usr/local/lib/libldap.so.2 (0x2828a000)
  liblber.so.2 => /usr/local/lib/liblber.so.2 (0x282b7000)
  libz.so.2 => /usr/lib/libz.so.2 (0x282c2000)
  libcrypt.so.2 => /usr/lib/libcrypt.so.2 (0x282cf000)
  libm.so.2 => /usr/lib/libm.so.2 (0x282e8000)
  libsasl2.so.2 => /usr/local/lib/libsasl2.so.2 (0x28303000)
  
  
  
  ber_dump: buf=0x09885718 ptr=0x09885769 end=0x09885838 len=207
  0000: 30 12 04 04 6d 61 69 6c 31 0a 04 03 79 79 79 04 0...mail1...yyy.
  0010: 03 79 79 79 30 44 04 0b 6f 62 6a 65 63 74 43 6c .yyy0D..objectCl
  0020: 61 73 73 31 35 04 0d 69 6e 65 74 4f 72 67 50 65 ass15..inetOrgPe
  0030: 72 73 6f 6e 04 09 75 69 64 4f 62 6a 65 63 74 04 rson..uidObject.
  0040: 14 6f 72 67 61 6e 69 7a 61 74 69 6f 6e 61 6c 50 .organizationalP
  0050: 65 72 73 6f 6e 04 03 74 6f 70 30 20 04 02 73 6e erson..top0 ..sn
  0060: 31 1a 04 18 55 54 4d 20 63 72 65 61 74 65 64 20 1...UTM created
  0070: 6d 61 69 6c 20 61 63 63 6f 75 6e 74 30 0c 04 03 mail account0...
  0080: 75 69 64 31 05 04 03 79 79 79 30 43 04 0c 75 73 uid1...yyy0C..us
  0090: 65 72 50 61 73 73 77 6f 72 64 31 33 04 31 7b 4d erPassword13.1{M
  00a0: 44 35 7d 32 46 65 4f 33 34 52 59 7a 67 62 37 78 D5}2FeO34RYzgb7x
  00b0: 62 74 32 70 59 78 63 70 45 6c 4f 55 30 56 53 56 bt2pYxcpElOU0VSV
  00c0: 43 42 4a 54 6c 52 50 49 48 4e 73 61 51 67 3d CBJTlRPIHNsaQg=

username: yyy
пароль: qwerty

[vprudnikov]

Это FreeBSD 4.11. Mysql 4.1 из портов. OpenLDAP-client 2.1 SASL из портов. Больше ничего не стоит. Чистая система. Сбрасывает на проверенный LDAP, стоящий на Fedora Core 2.