Chinaunix

标题: aix上的ldap客户端异常,有人遇到相同问题吗？ [打印本页]

作者: zhenggb 时间: 2009-02-10 10:30
标题: aix上的ldap客户端异常,有人遇到相同问题吗？
我在配置AIX上的LDAP客户端连接LDAP服务器(SFU)，发现存在以下一些问题，

已经联系相关工程师，没有得到解决，大家帮帮忙顶起:
1、在配置完成后，AD用户一般能正常登录AIX，但有时也登录不了，报错如下

：
login: user1
user1's Password:
Failed setting terminal ownership and mode.

2、在客户端上执行id+用户名，一般情况能返回该用户所有组，正常应该为
$ id user1
uid=5544(user1) gid=1987(group1) groups=1234(group2)
但有时只能返回主组，groups为空！，如下：
$ id user1
uid=5544(user1) gid=1987

3、在/tmp/syslog.out日志中经常报ldap server 宕了，如下：
Dec 24 05:50:24 HOSTNAME daemon:err|error secldapclntd: LDAP server <LDAP服务器1IP> is down.
Dec 24 05:50:24 HOSTNAME daemon:err|error secldapclntd: LDAP server <LDAP服务器2IP> is down.

配置文件内容如下：

serverschematype:sfur2
ldapservers:AD服务器1IP,AD服务器2IP
binddn:CN=user,<绑定用户所在OU>
bindpwd

assword
authtype:ldap_auth
searchmode:OS
defaultentrylocation:LDAP
useSSL:no
ldapport:389
userclasses:user,person,organizationalperson
groupclasses:group
userattrmappath:/etc/security/ldap/sfur2user.map
groupattrmappath:/etc/security/ldap/sfur2group.map
userbasedn:OU=<用户所在OU>
groupbasedn:OU=<组所在OU>
ldaptimeout:30
numberofthread:200
cachetimeout:60
heartbeatinterval:30
groupcachesize:1000
connectionsperserver:50

作者: mjwdj 时间: 2009-02-10 13:45
http://www-01.ibm.com/support/do ... 01348256e0000061a60

很明显uid=5544(user1) gid=1987，输出结果里没有组名！

ldap的group有错误……

和配置文件没关系，查查你的ldap数据库

作者: zhenggb 时间: 2009-02-11 09:29
标题: 回复 #2 mjwdj 的帖子
正常来说是能获取到用户的组，但就是有时才取不到的。。。。ldap服务上的数据是没问题的，我怀疑是aix客户端的问题，因为suse linux客户端一直很正常的。。。

作者: aaaaaa 时间: 2009-02-20 00:42
及其怀疑与TCP的连接状态有关系。我曾经碰到很奇怪的问题，后来发现是ldap client于服务器在连接上的状态不一致，暂时采取了设置idletimeout秒，避免TCP超时和keepalive问题。楼主有多个系统融合，对TCP和C/S的环境都比较复杂，应也可能存在类似的问题。

FYI

作者: zhenggb 时间: 2009-02-20 23:44
标题: 回复 #4 aaaaaa 的帖子
如果是您所说的情况导致的话，请问idletimeout应该设置为？？？

作者: aaaaaa 时间: 2009-02-23 10:41
cn=config.ldif

lcIdleTimeout: 30

我的配置，FYI

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)