Univention Bugzilla – Bug 13784
Mehrere LDAP-Server für den Memberserver
Last modified: 2015-03-25 14:04:14 CET
Der UCS-Samba Memberserver verwendet als idmap-Backend LDAP. Neben dem ldap/server/name wird auch ldap/server/addition ausgewertet und eingetragen: root@qamember_amd64:~# ucr search ldap/server/name ldap/server/name: qamaster_amd64.univention.qa root@qamember_amd64:~# ucr search ldap/server/addition ldap/server/addition: qaslave_amd64.univention.qa root@qamember_amd64:~# grep idmap\ backend /etc/samba/smb.conf | grep -v \# idmap backend = ldap:" ldap://qamaster_amd64.univention.qa ldap://qaslave_amd64.univention.qa " Wenn der DC Master abgeschaltet ist, bekomme ich die Meldung: [2009/03/17 01:14:03, 0] lib/smbldap.c:smbldap_connect_system(992) failed to bind to server ldap://qamaster_amd64.univention.qa with dn="cn=qamember_amd64,cn=memberserver,cn=computers,dc=univention,dc=qa" Error: Can't contact LDAP server
Stefan weisst du noch, welche UCS-/Samba-Version das war? http://forum.soft32.com/linux/IDMAP-Backend-multiple-ftopict374149.html
Nein, genau nicht. Ich denke UCS 2.1.
Bitte prüfen, ob die Angabe mehrerer LDAP-Server mit Samba 3.2.13 mittlerweile möglich ist.
Mit Samba 3.2.13 auf einem Memberrechner mit UCS 2.2.2 (sowie selbiger Version auf Master und Slave) funktioniert das folgendermaßen: nur per ucr hab ich auf dem member folgendes in die smb.conf geschrieben: idmap backend = "ldap: ldap://qamaster.univention.test ldap://qaslave.univention.test " tcpdump '(tcp port 139 or tcp port 445) and src 10.200.4.5' auf Master und Slave hilft, eingehende Anfragen zu erkennen. (10.200.4.5 ist die ip vom member) Anfänglich gehen Anfragen vom member (am besten mit 'wbinfo -n $RANDOMNAME' um lokalen cache zu umgehen) brav an den Master. Nach "ifdown eth0" auf master hängen dann die nächsten Anfragen, aber relativ bald gehen dann die weiteren Anfragen an den Slave. Das ist auch weiterhin der Fall, wenn der Master wieder erreichbar ist. Nach Neustart von winbind auf member oder ausfall des slave gehen die Anfragen wieder an Master.
Ab UCS 2.3 funktioniert das nicht mehr, siehe Bug 16665 Comment 6. Im Template ist der entsprechende Block auskommentiert mit dem Hinweis: ## the idmap backend config has undergone at least two rewites, in its current ## state (3.3.9) it does not allow more than one ldap URL.
See also Bug #36805.
ldap/server/addition has been re-added to the list of LDAP servers. Unlike my 4.0-1 setup, I was unable to reproduce the original Bug #36805. Anyway, I think it is correct to use all configured LDAP servers. YAML: 2015-03-19-univention-samba.yaml Fix: r59201
-> more /etc/samba/smb.conf| grep ldap_ur idmap config * : ldap_url = ldap://master.fb.intranet:7389 -> ucr set ldap/server/addition=slave.fb.intranet -> more /etc/samba/smb.conf| grep ldap_url idmap config * : ldap_url = ldap://master.fb.intranet:7389 ldap://slave.fb.intranet:7389 -> ucr set ldap/server/addition="slave.fb.intranet backup.fb.intranet" -> more /etc/samba/smb.conf| grep ldap_url idmap config * : ldap_url = ldap://master.fb.intranet:7389 ldap://slave.fb.intranet:7389 ldap://backup.fb.intranet:7389 -> ucr unset ldap/server/addition -> more /etc/samba/smb.conf| grep ldap_url idmap config * : ldap_url = ldap://master.fb.intranet:7389 OK - 2015-03-19-univention-samba.yaml
<http://errata.univention.de/ucs/3.2/308.html>