Linux Alguien sabe OpenLDAP

Soujiro

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.418
Estimados, necesito un buen manual de OpenLDAP, ojala un manual para macacos. Tenemos que habilitar single sign-on para las vpn y LDAP es "la" alternativa que tenemos.
Tratamos de usar un entorno replicado master master master usando la imagen de docker https://hub.docker.com/r/osixia/openldap/ pero la replicacion explota cuando "reinicias" un container
Para debugear que esta pasando necesito aprender esta PORQUERIA por lo cual necesito un "manual" para entender que carajos trata de hacer el container por debajo y arreglar la replicacion.

p.d lo de porquería es que hacer login como admin por ejemplo necesitar usar cadenas ridículas (cn=admin,dc=example,dc=com), algo que definitavamente no es intuitivo
 
Sort by date Sort by votes
Kitsune

Kitsune

Fanático
Se incorporó
5 Mayo 2006
Mensajes
1.041
no cache, primero .funciona la autenticación con un solo servicio (mas alla de la replicación)?
que errores te da? la organizacion ya usa ldap/ad??
esto seria un servicio aparte o quieres que se autentique con el servidor institucional??

lo de cn,dc,oy, etc es la información del dominio y organización (departamento, unidad, etc) a la cual pertenece y se autenticara el usuario.
 
Upvote 0
K3rnelpanic

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.061
Oye pero qué Directory Service usan en tu organización?, Tienen algún domain?, hay algo implementado ya?, tienen un openldap corriendo o quieren integrar todo desde 0?
 
Upvote 0
Soujiro

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.418
con esa imagen de docker levantamos un ldap, creamos usuarios. provamos que la vpn se autentifique contra ese ldap y todo funciona ok.
Luego cambiamos a el "modo" replicado. Todo funciono ok hasta que tuvimos que reiniciar un container... luego de eso la replicacion no funciona y dice un error que no dice "nada" a mis ojos inexpertos (primera vez que tengo que pelear con esta cosa)

Código: 
5cfae9ca do_syncrepl: rid=002 rc -1 retrying
5cfae9ca slap_client_connect: URI=ldap://ldap2.example.com Error, ldap_start_tls failed (-1)
5cfae9ca do_syncrepl: rid=102 rc -1 retrying

por eso pido un manual para "aprender" bien esta cosa, pillo miles de challas pero o se quedan en puros conceptos básicos o asumen que eres un experto en ldap. no he logrado encontrar uno que parta en lo básico y termine en lo complicado.... :(

p.d el container "ve" al ldap2.example.com por medio de ping,curl, telnet etc.
 
Upvote 0
Cosme

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.281
La hora es la misma entre maquinas? Y revisa el certificado usando OpenSSL para conectar
 
Upvote 0
Soujiro

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.418
Si paso en todos :(
por telnet puedo conectar al puerto 636
todos los containers tienen la misma hora
Gracias por el link, lo leere en cuanto pueda hacerme un tiempo :p
 
Upvote 0
Kitsune

Kitsune

Fanático
Se incorporó
5 Mayo 2006
Mensajes
1.041
Igual haría la prueba sin encryptación solo para descartar.
Aparte que son usuarios de una vpn lo que ya asumimos cierta seguridad y que no es un servicio expuesto
 
Upvote 0
Miguelwill

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.376
probaste reiniciando ambos LDAP que estás replicando ? solo para saber

también me imagino que miraste si estaba el servicio funcionando en ambos y si al meter un cambio este sincroniza al otro , pero me imagino que no lo hace por el tipo de error

LDAP en general es pajero para las rutas de autenticación, ya que debe verificar que el usuario existe en la unidad organizativa solicitada , o si pertenece al grupo, etc , ya que así mismo sirve para verificar los permisos de usuarios y áreas asignadas
recuerda que no es una base de datos, es un directorio de usuarios y recursos de lectura rápida, ideal para autenticar y validar accesos

Enviado desde mi TA-1039 mediante Tapatalk
 
Upvote 0
You must log in or register to reply here.
Subir