LDAP-Replikation - Verbindung nicht möglich (lmn6.x)

Ma_Sch · 22. Juni 2021 um 16:58

Hallo,

ich versuche gerade eine LDAP-Replikation aufzusetzen, wie in diesem Wikiartikel beschrieben anwenderwiki:erweiterungen:ldap-replikation [CommunityWiki]

Der Consumer ist dabei unsere Root-Server auf dem auch Moodle und Nextcloud installiert sind, und ist vom lmn-Server über das Internet erreichbar.

Ich kann auf dem Consumer via
ldapsearch -x -b "dc=meineschule,dc=lokal" -H ldaps://ldaps.meineschule-meinestadt.de:636

Einträge aus dem LDAP abrufen. Auch Moodle und nextcloud machen Ihre Anfragen über diese Adresse und diesen Port.

Starte ich slapd steht in den logs

/etc/ldap/slapd.d: line 1: warning: cannot assess the validity of the ACL scope within backend naming context ... slap_client_connect: URI=ldaps://ldaps.meineschule-meinestadt.de:636 DN="cn=admin,dc=meineschule,dc=lokal" ldap_sasl_bind_s failed (-1)

Woran kann das liegen?

Besten Dank, Martin

tjordan · 22. Juni 2021 um 17:10

Hallo Martin,

könnte daran liegen, dass diese Anleitung nur für linuxmuster.net 6.2 gültig ist?

Gruß
Thomas

Ma_Sch · 22. Juni 2021 um 17:14

Eher nicht, da mein Server noch unter 6.2 läuft.

Das sind die Vorbereitungen für den Umzug …

tjordan · 22. Juni 2021 um 17:22

Wozu eine LDAP Replikation für ein System einrichten um einen Umzug vorzubereiten?? Der Sinn erscheint mir zweifelhaft…Was bringt mir eine LDAP-Replizierierung eines SAMBA 3 DC wenn ich auf SAMBA 4 umstelle?

Ma_Sch · 22. Juni 2021 um 17:26

Hallo,

moodle und nextcloud sollen noch erreichbar sein, auch wenn der lmn-Server nicht mehr läuft. Außerdem finden noch weitere Umbaumaßnahmen am Netzwerk statt, so dass das Schulnetzwerk ca. 3 Wochen in den Sommerferien nicht läuft. In dieser Zeit finden aber Sommerkurse , Nachhilfe etc. statt, für die moodle und nextcloud erreichbar sein sollte.

tjordan · 22. Juni 2021 um 17:27

Dann lass die alte Umgebung doch weiterlaufen bis die Neue läuft…

Ma_Sch · 22. Juni 2021 um 17:38

Das geht leider nicht:

Wechsel des Virtualisierers auf dem gleichen physischen Server
Im Gebäude wird umgebaut. Wir sind ca. 2 Wochen ohne Internetanschluss, im Gebäude wird neu verkabelt, so dass es einige Ausfallzeiten gibt.

Insgesamt sollte die LDAP-Replikation dafür sorgen, dass man in dieser gesamten Phase mehr Spielraum hat.

tjordan · 22. Juni 2021 um 18:21

unlogisch…deiner Beschreibung nach läuft der LDAP-Replikator auf dem gleichen Host…auch dieser würde ausfallen…

Gruß
Thomas

Ma_Sch · 22. Juni 2021 um 18:25

Wir haben einen Rootserver gemietet, der steht nicht bei uns im Haus. Auf dem läuft nextcloud und moodle (und noch ein paar andere kleine Sachen). Dieser soll auch der Consumer für das LDAP auf dem lmn6.2 sein.

baumhof · 23. Juni 2021 um 08:01

Hallo Sascha,

ich verstehe dein Vorgehen und halte es für Sinnvoll
Zur Problemlösung habe ich folgende Idee.

In meinen 6.2 Servern mußte ich für manche LDAP Anfragenden Server einen Eintrag machen in der /etc/ldap/slapd.conf auf dem Server.
Danach slapd neustarten dann klappte es.
Die Einträge sehen so aus: im Unternen Bereich der Datei:

'#'Limits Access:
access to attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
by anonymous peername.ip=10.16.1.254 auth
by anonymous peername.ip=IP.DES.ENTFERNTEN.SERVERs auth
by anonymous peername.ip=127.0.0.1 auth
by anonymous ssf=56 auth
by self peername.ip=127.0.0.1 write
by self ssf=56 write
by * none

LG

Holger

Ma_Sch · 23. Juni 2021 um 09:09

Hallo Holger,

Danke für die Antwort. Das löst das Problem aber leider nicht. Vermutlich liegt es daran, dass ich ldaps und nicht ldap zur Übertragung nutze.

Offensichtlich muss ich da noch etwas extra konfigurieren. Vielleicht weiß jemand was?

Vielen Dank, Martin

Ma_Sch · 23. Juni 2021 um 10:54

Jetzt habe ich es

Man benötigt das Zertifikat vom lmn Server auf dem Consumer. Z. B. nach /etc/ldap/ssl/server.pem kopieren. Den Eintrag auf dem Consumer in der Datei /etc/ldap/slapd.conf muss man dann wie folgt anpassen:

syncrepl rid=1
     provider=ldaps://ldaps.meineschule-meinestadt.de:636
     type=refreshOnly
     interval=00:00:10:00
     retry="300 +"
     searchbase="dc=meineschule,dc=lokal"
     filter="(objectClass=*)"
     attrs="*,+"
     scope=sub
     schemachecking=off
     bindmethod=simple
     starttls=no     # ergänzt
     tls_cert="/etc/ldap/ssl/server.pem"     # ergänzt
     tls_key="/etc/ldap/ssl/server.pem"     # ergänzt
     tls_cacert="/etc/ldap/ssl/server.pem"     # ergänzt
     binddn="cn=admin,dc=meineschule,dc=lokal"
     credentials=123456789

dorian · 12. Oktober 2021 um 13:48

Hi @Ma_Sch

Kannst du dein Vorgehen zur Replikation beschreiben? Also wie hast du den Server eingerichtet? Wäre sehr interessant, denn ich hab das auch vor (siehe: Externer LDAP Mirror )

VG, Dorian

edit: Achso. du hast die Anleitung benutzt, sorry