Supervisión del estado de los cliente LDAP

En las siguientes secciones se muestran varios comandos para ayudar a determinar el estado del entorno del cliente LDAP. Consulte también las páginas del comando man para obtener información adicional sobre las opciones que se pueden utilizar.

Para obtener una descripción general de la Utilidad de gestión de servicios (SMF), consulte el Capítulo 1, Gestión de servicios (descripción general) de Gestión de servicios y errores en Oracle Solaris 11.1. También consulte las páginas del comando man svcadm(1M) y svcs(1) para obtener más información.

Verificación de que el comando ldap_cachemgr está en ejecución

El daemon ldap_cachemgr debe estar ejecutándose y funcionando correctamente en todo momento. De lo contrario, el sistema no funciona. Al configurar e iniciar el servicio de cliente LDAP, svc:/network/ldap/client, el método SMF de cliente inicia automáticamente el daemon ldap_cachemgr. Los siguientes métodos determinan si el servicio de cliente LDAP está en línea:

• Utilice el comando svcs para ver si el servicio está activado.

  # svcs \*ldap\*
  STATE          STIME    FMRI
  disabled       Aug_24   svc:/network/ldap/client:default

• Utilice este comando para ver toda la información sobre el servicio.

  # svcs -l network/ldap/client:default
  fmri svc:/network/ldap/client:default
  name LDAP Name Service Client
  enabled false
  state disabled
  next_state none
  state_time Thu Oct 20 23:04:11 2011
  logfile /var/svc/log/network-ldap-client:default.log
  restarter svc:/system/svc/restarter:default
  contract_id
  manifest /lib/svc/manifest/network/ldap/client.xml
  manifest /lib/svc/manifest/milestone/config.xml
  manifest /lib/svc/manifest/network/network-location.xml
  manifest /lib/svc/manifest/system/name-service/upgrade.xml
  dependency optional_all/none svc:/milestone/config (online)
  dependency optional_all/none svc:/network/location:default (online)
  dependency require_all/none svc:/system/filesystem/minimal (online)
  dependency require_all/none svc:/network/initial (online)
  dependency require_all/restart svc:/network/nis/domain (online)
  dependency optional_all/none svc:/system/manifest-import (online)
  dependency require_all/none svc:/milestone/unconfig (online)
  dependency optional_all/none svc:/system/name-service/upgrade (online)

• Pase la opción -g a ldap_cachemgr.

  Esta opción proporciona más información sobre el estado, que es útil para diagnosticar un problema.

  # /usr/lib/ldap/ldap_cachemgr -g
  cachemgr configuration:
  server debug level          0
  server log file "/var/ldap/cachemgr.log"
  number of calls to ldapcachemgr         19
  
  cachemgr cache data statistics:
  Configuration refresh information:
    Previous refresh time: 2010/11/16 18:33:28
    Next refresh time:     2010/11/16 18:43:28
  Server information:
    Previous refresh time: 2010/11/16 18:33:28
    Next refresh time:     2010/11/16 18:36:08
    server: 192.168.0.0, status: UP
    server: 192.168.0.1, status: ERROR
      error message: Can't connect to the LDAP server
  Cache data information:
    Maximum cache entries:          256
    Number of cache entries:          2

Para obtener más información sobre el daemon ldap_cachemgr, consulte la página del comando man ldap_cachemgr(1M).

Comprobación de la información actual de perfil

Conviértase en superusuario o adopte un rol equivalente, y ejecute ldapclient con la opción lista.

# ldapclient list
NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=west,dc=example,dc=com
NS_LDAP_BINDPASSWD= {NS1}4a3788e8c053424f
NS_LDAP_SERVERS= 192.168.0.1, 192.168.0.10
NS_LDAP_SEARCH_BASEDN= dc=west,dc=example,dc=com
NS_LDAP_AUTH= simple
NS_LDAP_SEARCH_REF= TRUE
NS_LDAP_SEARCH_SCOPE= one
NS_LDAP_SEARCH_TIME= 30
NS_LDAP_SERVER_PREF= 192.168.0.1
NS_LDAP_PROFILE= pit1
NS_LDAP_CREDENTIAL_LEVEL= proxy
NS_LDAP_SERVICE_SEARCH_DESC= passwd:ou=people,?sub
NS_LDAP_SERVICE_SEARCH_DESC= group:ou=group,dc=west,dc=example,dc=com?one
NS_LDAP_BIND_TIME= 5

La información de perfil actual se puede ver mediante el comando svccfg o svcprop, o el comando ldapclient con la opción lista. Consulte la página del comando man ldapclient(1M) para obtener información específica sobre cada valor de propiedad disponible.

Verificación de comunicación básica cliente-servidor

La mejor manera de mostrar que el cliente está hablando con el servidor LDAP es con el comando ldaplist. Con ldaplist sin argumentos se vuelcan todos los contenedores en el servidor. Esto funciona siempre que existan contenedores, y no se tienen que rellenar. Consulte la página del comando man ldaplist(1) para obtener más información.

Si el primer paso funciona, puede intentar ldaplist passwd username o ldaplist hosts hostname, pero si contienen demasiados datos, es posible que desee elegir un servicio no tan lleno o guiarlos a head o more.

Comprobación de datos del servidor desde un equipo no cliente

La mayoría de los comandos de las secciones anteriores suponen que ya ha creado un cliente LDAP. Si no ha creado un cliente y desea revisar los datos del servidor, utilice el comando ldapsearch. En el siguiente ejemplo se muestran todos los contenedores.

# ldapsearch -h server1 -b "dc=west,dc=example,dc=com" -s one "objectclass=*" 

La salida predeterminada para el comando ldapsearch es el formato LDIF estándar de la industria que está definido en RFC-2849. Todas las versiones de ldapsearch pueden proporcionar resultados en formato LDIF utilizando la opción -L.