JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Utilisation des services de noms et d'annuaire dans Oracle Solaris 11.1     Oracle Solaris 11.1 Information Library (Français)
Oracle Technology Network
Bibliothèque
PDF
Aperçu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

Partie I A propos des services d'annuaire et de noms

1.  Services d'annuaire et de noms (présentation)

2.  Commutateur du service de noms (présentation)

3.  Gestion de DNS (tâches)

4.  Configuration des clients Active Directory Oracle Solaris (tâches)

Partie II Configuration et administration NIS

5.  Service d'information réseau (présentation)

6.  Définition et configuration du service NIS (tâches)

7.  Administration de NIS (tâches)

8.  Dépannage NIS

Partie III Service de noms LDAP

9.  Introduction aux services de noms LDAP (présentation)

10.  Exigences de planification pour les services de noms LDAP (tâches)

11.  Configuration de Oracle Directory Server Enterprise Edition avec les clients LDAP (tâches)

12.  Configuration des clients LDAP (tâches)

13.  Dépannage LDAP (référence)

Contrôle de l'état du client LDAP

Vérification de l'exécution du démon ldap_cachemgr

Vérification des informations du profil actif

Vérification de la communication client-serveur de base

Vérification des données du serveur à partir d'une machine non client

Problèmes et solutions relatifs à la configuration LDAP

Non d'hôte non résolu

Impossible d'atteindre les systèmes dans le domaine LDAP à distance

Echec de connexion

Recherche trop lente

Liaison impossible de la commande ldapclient à un serveur

Utilisation du démon ldap_cachemgr pour le débogage

Blocage de la commande ldapclient durant la configuration

14.  Service de noms LDAP (référence)

15.  Transition de NIS à LDAP (tâches)

Glossaire

Index

Problèmes et solutions relatifs à la configuration LDAP

Les sections suivantes décrivent les problèmes de configuration LDAP et propose des solutions à ces problèmes.

Non d'hôte non résolu

Le serveur backend client LDAP renvoie les noms d'hôte complets pour les recherches d'hôte (les noms d'hôte renvoyés par gethostbyname() et getaddrinfo(), par exemple). Si le nom enregistré est qualifié, c'est-à-dire s'il contient au moins un point, le client renvoie le nom en l'état. Par exemple, si le nom enregistré est hostB.eng, le nom renvoyé est hostB.eng.

Si le nom stocké dans l'annuaire LDAP n'est pas qualifié (il ne contient pas de point), le service d'arrière-plan du client ajoute la partie domaine au nom. Par exemple, si le nom enregistré est hostA, le nom renvoyé est hostA.domainname.

Impossible d'atteindre les systèmes dans le domaine LDAP à distance

Si le nom de domaine DNS est différent du nom de domaine LDAP, le service de noms LDAP ne peut pas être utilisé pour servir les noms d'hôte, à moins que les noms enregistrés soient complets.

Echec de connexion

Les clients LDAP utilisent les modules PAM pour l'authentification utilisateur lors de la connexion. Lors de l'utilisation du module PAM UNIX standard, le mot de passe est lu à partir du serveur et vérifié côté client. Ce processus peut échouer pour l'une des raisons suivantes :

  1. ldap n'est pas associé à la base de données passwd dans le commutateur du service de noms.

  2. L'attribut userPassword de l'utilisateur sur la liste de serveurs n'est pas lisible par l'agent proxy. Vous devez permettre au moins à l'agent proxy de lire le mot de passe car l'agent proxy le renvoie au client pour la comparaison. pam_ldap n'exige pas un droit d'accès en lecture au mot de passe.

  3. L'agent proxy n'a peut-être pas le mot de passe correct.

  4. L'entrée ne comporte pas la classe d'objet shadowAccount.

  5. Aucun mot de passe n'est défini pour l'utilisateur.

    Lorsque vous utilisez ldapaddent, vous devez utiliser l'option -p pour vous assurer que le mot de passe est ajouté à l'entrée utilisateur. Si vous exécutez ldapaddent sans l'option -p, le mot de passe de l'utilisateur n'est pas stocké dans l'annuaire, sauf si vous ajoutez également le fichier /etc/shadow par le biais de ldapaddent.

  6. Aucun serveur LDAP n'est accessible.

    Vérifiez l'état des serveurs.

    # /usr/lib/ldap/ldap_cachemgr -g

  7. pam.conf n'est pas correctement configuré.

  8. L'utilisateur n'est pas défini dans l'espace de noms LDAP.

  9. NS_LDAP_CREDENTIAL_LEVEL est défini sur anonymous pour les modules pam_unix_* et userPassword n'est pas disponible pour les utilisateurs anonymes.

  10. Le mot de passe n'est pas stocké au format crypt.

  11. Si pam_ldap est configuré de façon à prendre en charge la gestion des comptes, l'échec de la connexion peut être le résultat d'une des situations suivantes :

    • Le mot de passe de l'utilisateur a expiré.

    • Le compte de l'utilisateur est verrouillé en raison d'un trop grand nombre de tentatives de connexion ayant échoué.

    • Le compte utilisateur a été désactivé par l'administrateur.

    • L'utilisateur a tenté de se connecter à l'aide d'un programme sans mot de passe, tel que ssh ou sftp.

  12. Si une authentification par utilisateur et sasl/GSSAPI sont en cours d'utilisation, certains composants de Kerberos ou la configuration pam_krb5 est incorrecte. Reportez-vous au manuel Administration d’Oracle Solaris 11.1 : Services de sécurité pour des détails sur la résolution de ces problèmes.

Recherche trop lente

La base de données LDAP fait appel aux index pour améliorer la rapidité des recherches. La principale dégradation des performances survient lorsque les index sont mal configurés. La documentation comprend un ensemble commun d'attributs qui doivent être indexés. Vous pouvez également ajouter vos propres index pour améliorer les performances de votre site.

Liaison impossible de la commande ldapclient à un serveur

La commande ldapclient n'est pas parvenue à initialiser le client avec l'option init et l'attribut profileName spécifié. Les raisons possibles pour cet échec sont les suivantes :

  1. Un nom de domaine incorrect a été spécifié dans la ligne de commande.

  2. L'attribut nisDomain n'est pas défini dans l'arborescence d'informations d'annuaire (DIT) pour la représentation du point d'entrée pour le domaine client indiqué.

  3. Les informations de contrôle d'accès ne sont pas configurées correctement sur le serveur, désactivant par là-même les recherches anonymes dans la base de données LDAP.

  4. Une adresse de serveur incorrecte a été transmise à la commande ldapclient. Exécutez la commande ldapsearch pour vérifier l'adresse de serveur.

  5. Un nom de profil incorrect a été transmis à la commande ldapclient. Exécutez la commande ldapsearch pour vérifier le nom de profil dans l'arborescence DIT.

  6. Utilisez snoop sur l'interface réseau du client pour voir le type de trafic sortant et déterminer avec quel serveur il communique.

Utilisation du démon ldap_cachemgr pour le débogage

L'exécution du démon ldap_cachemgr avec l'option - g peut s'avérer très utile dans le cadre du débogage, car vous pouvez visualiser la configuration et les statistiques actuelles du client. Par exemple,

# ldap_cachemgr -g

imprimerait la configuration et les statistiques actuelles sur la sortie standard, en incluant l'état de tous les serveurs LDAP, comme mentionné précédemment. Notez que vous n'avez pas besoin de devenir superutilisateur pour exécuter cette commande.

Blocage de la commande ldapclient durant la configuration

Si la commande ldapclient se bloque, les touches Ctrl-C entraîneront la fermeture du programme après la restauration de l'environnement antérieur. Si cela se produit, vérifiez avec l'administrateur du serveur que le serveur est en cours d'exécution.

Vérifiez également les attributs list du serveur dans le profil ou à partir de la ligne de commande et assurez-vous que les informations du serveur sont correctes.

Copyright © 2002, 2012, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant