nss_ldap: não foi possível procurar o servidor LDAP - o servidor não está disponível

3

Eu tenho um servidor OpenLDAP instalado no FreeBSD 8.x. Estou recebendo este erro:
Mar 25 16:11:45 ldap2 slapd[1268]: nss_ldap: could not search LDAP server - Server is unavailable

Incluí as informações de configuração do LDAP abaixo. Além disso, o módulo PAM pam_ldap está ativado para o serviço sshd e system .

ldap.conf :

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
base      dc=albiruni,dc=com
uri       ldap://localhost/
rootbinddn cn=admin,dc=albiruni,dc=com
#bind_policy soft
ssl start_tls
TLS_REQCERT allow
pam_login_attribute uid

nsswitch.conf

# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1.10.1.6.1 2010/12/21 17:09:25 kensmith Exp $
#

group: files cache ldap
passwd: files cache ldap
sudoers: files cache ldap


#group: compat
#group_compat: nis
hosts: files dns
networks: files
#passwd: compat
#passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
    
por user75841 25.03.2011 / 12:29

1 resposta

3

Como o @ChrisS disse, isso parece ser um caso de seu servidor LDAP tentando consultar a si mesmo antes de ser iniciado.

Algumas soluções:

  1. Aponte ldap2 em ldap1 e vice-versa em /etc/ldap.conf
    O nome do host do seu sistema é ldap2 , por isso suponho que também haja um ldap1 ao redor.
    Se você configurar os sistemas para consultar uns aos outros, contanto que você apenas reinicie um por vez, você sempre terá pelo menos um servidor para fazer o bootstrap do outro.

  2. Verifique se você tem nss_initgroups_ignoreusers definido corretamente em /etc/ldap.conf
    Esta é uma boa prática geral - os usuários referenciados durante a inicialização (por exemplo, o usuário do servidor LDAP) não devem precisar que o LDAP esteja ativo e em execução, e não devem iniciar consultas LDAP para pesquisar membros do grupo. A opção nss_initgroups_ignoreusers suprime as consultas de associação do grupo LDAP para usuários especificados - geralmente, contas de sistema / serviço. Isso geralmente elimina a situação "servidor indisponível", pois o servidor LDAP (e outros serviços do sistema principal) pode ser iniciado sem precisar consultar o servidor LDAP. No momento em que as coisas que fizerem precisarem que o servidor LDAP esteja consultando, o servidor LDAP já deve estar ativo e em execução.

por 09.01.2012 / 20:13