Contrôle de l'état du client LDAP

Les sections suivantes décrivent différentes commandes pour vous aider à déterminer l'état d'un environnement client LDAP. Pour plus d'informations concernant les options qui peuvent être utilisées, reportez-vous également aux pages de manuel.

Pour une présentation de l'utilitaire de gestion des services (SMF), reportez-vous au Chapitre 1, Gestion des services (présentation) du manuel Gestion des services et pannes dans Oracle Solaris 11.1. Pour plus d'informations, reportez-vous aux pages de manuel svcadm(1M) et svcs(1).

Vérification de l'exécution du démon ldap_cachemgr

Le démon ldap_cachemgr doit être en cours d'exécution et fonctionner correctement à tout moment. Dans le cas contraire, le système ne fonctionne pas. Lorsque vous configurez et démarrez le service client LDAP, svc:/network/ldap/client méthode SMF , la méthode SMF client démarre automatiquement le démon ldap_cachemgr . Les méthodes suivantes déterminent si le service client LDAP est en ligne :

• Exécutez la commande svcs pour déterminer si le service est activé.

  # svcs \*ldap\*
  STATE          STIME    FMRI
  disabled       Aug_24   svc:/network/ldap/client:default

• Exécutez cette commande pour consulter toutes les informations sur le service.

  # svcs -l network/ldap/client:default
  fmri svc:/network/ldap/client:default
  name LDAP Name Service Client
  enabled false
  state disabled
  next_state none
  state_time Thu Oct 20 23:04:11 2011
  logfile /var/svc/log/network-ldap-client:default.log
  restarter svc:/system/svc/restarter:default
  contract_id
  manifest /lib/svc/manifest/network/ldap/client.xml
  manifest /lib/svc/manifest/milestone/config.xml
  manifest /lib/svc/manifest/network/network-location.xml
  manifest /lib/svc/manifest/system/name-service/upgrade.xml
  dependency optional_all/none svc:/milestone/config (online)
  dependency optional_all/none svc:/network/location:default (online)
  dependency require_all/none svc:/system/filesystem/minimal (online)
  dependency require_all/none svc:/network/initial (online)
  dependency require_all/restart svc:/network/nis/domain (online)
  dependency optional_all/none svc:/system/manifest-import (online)
  dependency require_all/none svc:/milestone/unconfig (online)
  dependency optional_all/none svc:/system/name-service/upgrade (online)

• Transmettez l'option -g à ldap_cachemgr.

  Cette option fournit de plus amples informations sur l'état, ce qui s'avère utile lorsque vous diagnostiquez un problème.

  # /usr/lib/ldap/ldap_cachemgr -g
  cachemgr configuration:
  server debug level          0
  server log file "/var/ldap/cachemgr.log"
  number of calls to ldapcachemgr         19
  
  cachemgr cache data statistics:
  Configuration refresh information:
    Previous refresh time: 2010/11/16 18:33:28
    Next refresh time:     2010/11/16 18:43:28
  Server information:
    Previous refresh time: 2010/11/16 18:33:28
    Next refresh time:     2010/11/16 18:36:08
    server: 192.168.0.0, status: UP
    server: 192.168.0.1, status: ERROR
      error message: Can't connect to the LDAP server
  Cache data information:
    Maximum cache entries:          256
    Number of cache entries:          2

Pour plus d'informations sur le démon ldap_cachemgr, reportez-vous à la page de manuel ldap_cachemgr(1M).

Vérification des informations du profil actif

Connectez-vous en tant que superutilisateur ou prenez un rôle équivalent et exécutez ldapclient avec l'option list.

# ldapclient list
NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=west,dc=example,dc=com
NS_LDAP_BINDPASSWD= {NS1}4a3788e8c053424f
NS_LDAP_SERVERS= 192.168.0.1, 192.168.0.10
NS_LDAP_SEARCH_BASEDN= dc=west,dc=example,dc=com
NS_LDAP_AUTH= simple
NS_LDAP_SEARCH_REF= TRUE
NS_LDAP_SEARCH_SCOPE= one
NS_LDAP_SEARCH_TIME= 30
NS_LDAP_SERVER_PREF= 192.168.0.1
NS_LDAP_PROFILE= pit1
NS_LDAP_CREDENTIAL_LEVEL= proxy
NS_LDAP_SERVICE_SEARCH_DESC= passwd:ou=people,?sub
NS_LDAP_SERVICE_SEARCH_DESC= group:ou=group,dc=west,dc=example,dc=com?one
NS_LDAP_BIND_TIME= 5

Vous pouvez afficher les informations de profil actuelles à l'aide de la commande svccfg ou svcprop, ou encore de la commande ldapclient avec l'option list. Reportez-vous à la page de manuel ldapclient(1M) pour des informations spécifiques sur chaque paramètre de propriété disponible.

Vérification de la communication client-serveur de base

Le meilleur moyen de montrer que votre client communique avec le serveur LDAP est d'exécuter la commande ldaplist. L'exécution de la commande ldaplist sans aucun argument a pour effet de vider tous les conteneurs sur le serveur. Cela fonctionne tant que les conteneurs existent et qu'ils n'ont pas à être renseignés. Pour plus d'informations, reportez-vous à la page de manuel ldaplist(1).

Si la première étape fonctionne, vous pouvez essayer le nom d'utilisateur ldaplist passwd username ou le nom d'hôte ldaplist hosts hostname, mais s'ils contiennent beaucoup de données, vous pouvez choisir un service moins rempli ou préférer les envoyer vers head ou more.

Vérification des données du serveur à partir d'une machine non client

La plupart des commandes des sections précédentes supposent que vous avez déjà créé un client LDAP. Si vous n'avez pas créé de client et que vous souhaitez vérifier les données sur le serveur, exécutez la commande ldapsearch. L'exemple suivant répertorie tous les conteneurs.

# ldapsearch -h server1 -b "dc=west,dc=example,dc=com" -s one "objectclass=*" 

La sortie par défaut de la commande ldapsearch est au format LDIF standard, défini par la documentation RFC-2849. Toutes les versions de ldapsearch peuvent générer un format de sortie LDIF à l'aide de l'option -L.