• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Samba umschaltung auf Slave-LDAP

moe

moe

Member
Moin,

wir haben hier folgende Konfiguration:

Samba Version 3.0.24-25.1.59-1272-SUSE-SL9.3
mit LDAP-Backend.

Es gibt einen LDAP-Master und einen LDAP Slave auf den
vom Master repliziert wird. Beide LDAP-Boxen laufen in VM´s.

Grundsätzlich funktioniert alles gut aber wir hatten neulich ein Problem
mit dem LDAP-Master. Dieser beantwortete keine LDAP Anfragen mehr
sodas für alle Clients der Zugriff auf dem Samba extrem zäh wurde und
dann auch gar nicht mehr möglich war. Die Ursache für das Problem auf dem LDAP Master
wurde gefunden und behoben.

Ursache dafür das der Samba nach dem Ausstieg des LDAP-Master nicht mehr korrekt
funktionierte dürfte sein das der Samba nicht versucht hat den LDAP-Slave zu nutzen
obwohl dieser m.E. korrekt in der smb.conf
eingetragen war.

passdb backend = ldapsam:"ldap://master.meine.dom ldap://slave.meine.dom"
Zum Vergrößern anklicken....

Der Zugriff auf den LDAP-Slave von der command-line des Samba-Servers funktioniert(e)
einwandfrei. Auch die Namensauflösung geht.

1. Frage:
Ist es notwendig noch weitere Konfigurationen vorzunehmen damit Samba
im Bedarfsfall sofort den Slave-LDAP benutzt ?

2. Frage:
Kann man die Umschaltung auf den Slave irgendwie testen ohne den
Master zu deaktiveren bzw. aus der smb.conf zu entfernen ?
(wäre schön da es sich um ein Produktivsystem handelt.)

Ich habe schon ausgibig gesucht konnte aber keinen Fehler in der Config
finden.

MfG moe
 
S

stka

Guru
Laut manpage zuir smb.conf:
Example: passdb backend = ldapsam:"ldap://ldap-1.example.com ldap://ldap-2.example.com"
Zum Vergrößern anklicken....
Ist dein Eintag richtig, beide Server werden durchsucht, neue Benutzer aber immer auf dem ersten erzeugt.
 
OP
moe

moe

Member
stka schrieb:
Laut manpage zuir smb.conf:
Example: passdb backend = ldapsam:"ldap://ldap-1.example.com ldap://ldap-2.example.com"
Zum Vergrößern anklicken....
Ist dein Eintag richtig, beide Server werden durchsucht, neue Benutzer aber immer auf dem ersten erzeugt.
Zum Vergrößern anklicken....

Ja, eigentlich sollte der Eintrag korrekt sein ... kann noch etwas anderes fehlen ?
 
OP
moe

moe

Member
flip007 schrieb:
setzt ihr ein BDC ein ? wo die ldapslave DB nutzt ?

gruß flippa
Zum Vergrößern anklicken....

bisher nicht ... ist aber geplant ...
Es gibt zwar noch weitere Services die den Master-LDAP bzw. den Slave-LDAP
nutzen ...aber das tut ja eigentlich nix zur Sache...
 
S

stka

Guru
Hast du irgendwelche ACLs gesetzt? Was ist im log zu sehen? Setze das Loglevel mal auf 256 in der slapd.conf. Schau dann mal was passiert. Auch solltest du mal in der /var/log/samba/log.smbd schauen ob dort Fehlermeldungen auftauchen.
 
OP
moe

moe

Member
stka schrieb:
Hast du irgendwelche ACLs gesetzt? Was ist im log zu sehen? Setze das Loglevel mal auf 256 in der slapd.conf. Schau dann mal was passiert. Auch solltest du mal in der /var/log/samba/log.smbd schauen ob dort Fehlermeldungen auftauchen.
Zum Vergrößern anklicken....

Nein ACL´s sind keine gesetzt. Jedenfalls keine welche den Samba daran hindern könnten auf den Slave zuzugreifen.Wenn wir den Samba nur den Slave-LDAP geben dann funktioniert auch alles. Da der LDAP unmengen an Output produziert (schon wenn kleine loglevel eingestellt sind) haben wir das loglevel hier auf 0 gesetzt.
Der Samba loggt im Fehlerfall hauptsächlich 2 verschiedene Meldungen ins
/var/log/warn
smbd[XXXXX]: nss_ldap: could not hard reconnect to LDAP server - Can´t contact LDAP server
oder:
smbd[XXXXX]: nss_ldap: could not get LDAP result - Can´t contact LDAP server

Eine mögliche Ursache dafür das er nicht umschaltet habe ich jetzt noch entdeckt:
Wir nutzen auf dem Samba die smb-ldaptools und dort gibt es anscheindend Einstellungen für MAsterund Slave-LDAP in den beiden
Dateien:
/etc/smbldap-tools/smbldap.conf
/etc/smbldap-tools/smbldap_bind.conf

Allerdings ist mir nicht ganz klar was das bringen soll denn eigentlich nutzt doch meines Wissens Samba die smbldap-tools nur für schreibende Vorgänge auf dem LDAP. Schreibend kann er ja auf den LDAP-SLave sowieso nicht zugreifen. Von daher meine ich das auch wenn ich dort noch den Slave-LDAP eintrage keine verbesserung erzielt würde.
Zudem scheint es noch einen Dual-Head-Patch von IDEALX für Samba zu geben damit dieser mit 2 LDAP-Servern umgehen kann.
 
S

stka

Guru
Leider kann ich dir zu den aktuellen samba-ldaptools nichts sagen, die verwende ich schon lange nicht mehr.
 
OP
moe

moe

Member
stka schrieb:
Leider kann ich dir zu den aktuellen samba-ldaptools nichts sagen, die verwende ich schon lange nicht mehr.
Zum Vergrößern anklicken....

schade ... aber meinst Du ich liege prinzipiell mit der Vermutung richtig
das die smbldap-tools keinen Einfluss auf einen nur-lesenden- LDAP-Zugriff
haben ?
Leider ist auch zu der Dual-Head-Patch Geschichte nicht wirklich was zu finden ...
 
S

stka

Guru
Bei der Version die ich kenne, gab es keinen Einfluss auf nur-lese Zugriffe. Wer weiß, welche Einstellungen die smb-ldaptools aber am samba und ldap vorgenommen haben.
Das ist auch der Grund warum ich darauf ganz verzichte.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben