LDAP 서버에 대한 클라이언트 연결을 디버깅하는 방법

LDAP 서버에서 클라이언트 항목을 잘못 구성하면 클라이언트가 서버와 통신하지 못할 수 있습니다. 마찬가지로 클라이언트에서 파일을 잘못 구성해도 통신에 방해가 될 수 있습니다. 클라이언트와 서버 간 통신 문제를 디버깅할 때 다음 항목과 파일을 확인하십시오.

시작하기 전에

LDAP 클라이언트의 전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

1. LDAP 서버에 대한 원격 호스트 템플리트 및 LDAP 서버의 게이트웨이에 대한 원격 호스트 템플리트가 올바른지 확인합니다.
   1. tncfg 또는 tninfo 명령을 사용하여 정보를 봅니다.

      # tncfg get host=LDAP-server
      # tncfg get host=gateway-to-LDAP-server

      # tninfo -h LDAP-server
      # tninfo -h gateway-to-LDAP-server

   2. 서버에 대한 경로를 확인합니다.

      # route get LDAP-server

   템플리트 지정이 올바르지 않은 경우 호스트를 올바른 템플리트에 추가합니다.

2. /etc/hosts 파일을 확인하고 필요한 경우 수정합니다.

   시스템, 시스템의 레이블이 있는 영역에 대한 인터페이스, LDAP 서버에 대한 게이트웨이 및 LDAP 서버가 파일에 나열되어야 합니다. 추가 항목이 있을 수도 있습니다.

   중복된 항목을 찾습니다. 다른 시스템의 레이블이 있는 영역인 항목을 제거합니다. 예를 들어, Lserver가 LDAP 서버의 이름이고 LServer-zones가 레이블이 있는 영역에 대한 공유 인터페이스인 경우 /etc/hosts 파일에서 LServer-zones를 제거합니다.

3. DNS를 사용하는 경우 svc:/network/dns/client 서비스의 구성을 확인합니다.

   # svccfg -s dns/client listprop config
   config                       application
   config/value_authorization   astring       solaris.smf.value.name-service.dns.switch
   config/nameserver            astring       192.168.8.25 192.168.122.7

4. 값을 변경하려면 svccfg 명령을 사용합니다.

   # svccfg -s dns/client setprop config/search = astring: example1.domain.com
   # svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35
   # svccfg -s dns/client:default refresh
   # svccfg -s dns/client:default validate
   # svcadm enable dns/client
   # svcadm refresh name-service/switch
   # nslookup some-system
   Server:         192.168.135.35
   Address:        192.168.135.35#53
   
   Name:   some-system.example1.domain.com
   Address: 10.138.8.22
   Name:   some-system.example1.domain.com
   Address: 10.138.8.23

5. name-service/switch 서비스의 tnrhdb 및 tnrhtp 항목이 정확한지 확인합니다.

   다음 출력에서 tnrhdb 및 tnrhtp 항목은 나열되지 않았습니다. 따라서 이러한 데이터베이스는 기본값인 files ldap 이름 지정 서비스를 순서대로 사용하는 것입니다.

   # svccfg -s name-service/switch listprop config
   config                       application
   config/value_authorization   astring       solaris.smf.value.name-service.switch
   config/default               astring       "files ldap"
   config/host                  astring       "files dns"
   config/netgroup              astring       ldap

6. 클라이언트가 서버에서 올바르게 구성되었는지 확인합니다.

   # ldaplist -l tnrhdb client-IP-address

7. 레이블이 있는 영역에 대한 인터페이스가 LDAP 서버에서 올바르게 구성되었는지 확인합니다.

   # ldaplist -l tnrhdb client-zone-IP-address

8. 현재 실행 중인 모든 영역에서 LDAP 서버에 연결할 수 있는지 확인합니다.

   # ldapclient list
   ...
   NS_LDAP_SERVERS= LDAP-server-address
   # zlogin zone-name1 ping LDAP-server-address
   LDAP-server-address is alive
   # zlogin zone-name2 ping LDAP-server-address
   LDAP-server-address is alive
   ...

9. LDAP를 구성하고 재부팅합니다.
   1. 절차는 Trusted Extensions에서 전역 영역을 LDAP 클라이언트로 만들기를 참조하십시오.
   2. 모든 레이블이 있는 영역에서 LDAP 서버의 클라이언트로 영역을 재설정합니다.

      # zlogin zone-name1
      # ldapclient init \
      -a profileName=profileName \
      -a domainName=domain \
      -a proxyDN=proxyDN \
      -a proxyPassword=password LDAP-Server-IP-Address
      # exit
      # zlogin zone-name2 ...

   3. 모든 영역을 정지하고 재부트합니다.

      # zoneadm list
      zone1
      zone2
      ,
      ,
      ,
      # zoneadm -z zone1 halt
      # zoneadm -z zone2 halt
      .
      .
      .
      # reboot

      대신 txzonemgr GUI를 사용하여 레이블이 있는 영역을 정지할 수도 있습니다.