pb nss_ldap

hydro_90 · Le 09/11/2015, à 12:15

Bonjour,

Mes utilisateurs sont sous ubuntu 14.04 et s'authentifient sur un serveur ldap.

J'ai une application permettant de me connecter à un serveur de base de donnée, celle ci fonctionne très bien avec un compte local, mais fonctionne très mal (lenteur à la connexion, freeze, crash) avec un compte ldap.

Dans les logs /var/log/auth.log :

nss_ldap: failed to bind to LDAP server ldap://10.10.1.4: (null)
Nov  9 10:55:49 localhost sqlplus64: nss_ldap: reconnecting to LDAP server...
Nov  9 10:55:49 localhost sqlplus64: nss_ldap: failed to bind to LDAP server ldap://X.X.X.X: (null)
Nov  9 10:55:49 localhost sqlplus64: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Nov  9 10:55:50 localhost sqlplus64: nss_ldap: failed to bind to LDAP server ldap://X.X.X.X: (null)
Nov  9 10:55:50 localhost sqlplus64: nss_ldap: could not search LDAP server - (null)
Nov  9 10:55:50 localhost sqlplus64: nss_ldap: failed to bind to LDAP server ldap://X.X.X.X: (null)
Nov  9 10:55:50 localhost sqlplus64: nss_ldap: reconnecting to LDAP server...

etc....

Je n'ai pas de soucis avec les autres applications installées sur les machines, et les utilisateurs s'authentifient correctement.

Je ne comprends pas pourquoi cette application fait appel à nss_ldap, et même dans ce cas, les utilisateurs s'authentifient, les paramètres ldap coté clients sont corrects, pourquoi j'ai ces messages dans les logs.

Il n'y a pas moyen de modifier les paramètres de l'application pour éviter qu'elle chercher à contacter le serveur ldap.

Quelqu'un à une idée?

Merci par avance.

Modération : merci à l'avenir d'utiliser les balises code (explications ici).

Dernière modification par cqfd93 (Le 09/11/2015, à 12:37)

mikael8349 · Le 09/11/2015, à 23:39

Sauf erreur de ma part :

NSS permet une "résolution de nom au sein d'un système". Dans /etc/nsswitch.conf tu indiques la priorité de résolution en suivant la forme suivante :

resolution: source_1 source_2 source_n

Je pense que ton /etc/nsswitch.conf doit être de la forme suivante :

# /etc/nsswitch.conf

passwd:         ldap compat
group:          ldap compat
shadow:         ldap compat
# [...]

Du coup je pense que un moment donné une résolution est tenté via LDAP, mais celle-ci echoue car nss_ldap ne parvient pas à intéroger le server (service LDAP arrêter, service LDAP sur un autre port que celui auquel nss_ldap tente d'accéder, firewall mal configuré et donc bloquant l'accès, ...). Ces tentatives de connexion prennent du temps avant de passer à la source suivante, à savoir files (/etc/passwd) voir même l'annuaire NIS (car compat = files + nis). C'est peut être pour cela que ça prends du temps mais que ça peut fonctionner.

Fait des tests, si ton fichier /etc/nsswitch.conf a ldap en tant que première source, modifie le en le mettant en dernière source. Vérifie que ton service ldap tourne et sur quel port. Si tu utilises un firewall tu peux le désactiver le temps d'un test afin de voir si ça fonctionne, etc. ...

Dernière modification par mikael8349 (Le 09/11/2015, à 23:41)

hydro_90 · Le 10/11/2015, à 13:33

Bonjour,

Mon fichier /etc/nsswitch.conf :

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files mdns4_minimal [NOTFOUND=return] dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

"(service LDAP arrêter, service LDAP sur un autre port que celui auquel nss_ldap tente d'accéder, firewall mal configuré et donc bloquant l'accès, ...)"

De ce côté la tout va bien car je suis déjà authentifié au ldap avec un utilisateur, quand le lance l'appli.

Je vais refaire des test en modifiant /etc/nsswitch...

Le truc c'est que c'est la seule appli à faire ça...

Dernière modification par hydro_90 (Le 10/11/2015, à 16:43)

hydro_90 · Le 12/11/2015, à 11:30

Re,

J'ai fait des tests dans tous les sens en modifiant les paramètres de nsswitch.conf mais j'ai les mêmes soucis.
Je ne comprends pas en quoi cette application, avec un user ldap, essaye de contacter le serveur ldap.

C'est la seule dans ce cas de figure.

hydro_90 · Le 13/11/2015, à 12:24

Re,

Bon j'ai résolu le pb en installant nscd sur les postes clients.

Depuis, l'appli ne cherche plus à contacter le serveur ldap.

Merci pour votre aide.

Dernière modification par hydro_90 (Le 13/11/2015, à 12:24)

mikael8349 · Le 13/11/2015, à 14:04

Super que tu es fini par trouver une solution (j'espère que tu n'avais pas beaucoup de client, ou que tu passé par une image ltsp).

Du coup, simple curiosité : nscd garde en mémoire le "chemin" le plus rapide pour effectué une authentification, c'est bien ça ? Tu lui as passé des paramètres spéciaux pour que ça fonctionne ?

hydro_90 · Le 13/11/2015, à 18:28

Re,

Non j'ai laissé le /etc/nscd.conf par défaut.

j'ai 300 postes clients, mais j'ai un script qui est appelé dans la crontab tout les soirs et qui me sert pour patcher/modifier les machines.

Nscd est censé faire du cache, et éviter les connexion ldap au serveur, j'imagine que lorsque l'utilisateur ouvre sa session en s'authentifiant ldap nscd doit garder en cache les paramètres du serveur ldap, du coup l'appli qui posait problème va taper dans le cache d'nscd et ne pose plus problème.

@+

mikael8349 · Le 13/11/2015, à 19:52

OK. Astucieux le script de patch dans la crontab.

Merci pour les infos.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 09/11/2015, à 12:15

pb nss_ldap

#2 Le 09/11/2015, à 23:39

Re : pb nss_ldap

#3 Le 10/11/2015, à 13:33

Re : pb nss_ldap

#4 Le 12/11/2015, à 11:30

Re : pb nss_ldap

#5 Le 13/11/2015, à 12:24

Re : pb nss_ldap

#6 Le 13/11/2015, à 14:04

Re : pb nss_ldap

#7 Le 13/11/2015, à 18:28

Re : pb nss_ldap

#8 Le 13/11/2015, à 19:52

Re : pb nss_ldap

Pied de page des forums