Dépannage de la transition de NIS à LDAP

Cette section comprend deux aspects du dépannage :

• Messages d'erreur LDAP courants

• Problèmes liés à la transition de NIS à LDAP

Messages d'erreur LDAP courants

Il arrive parfois que le serveur N2L enregistre les erreurs qui se rapportent à des problèmes LDAP internes, ce qui se traduit par des messages d'erreur LDAP. Bien que ces erreurs ne soient pas fatales, elles indiquent des problèmes que vous devez examiner. Par exemple, le serveur N2L peut continuer à fonctionner, mais fournir des résultats obsolètes ou incomplets.

La liste suivante présente certains messages d'erreur LDAP courants que vous pouvez rencontrer lors de l'implémentation du service N2L. Vous trouverez la description des erreurs ainsi que les causes possibles et les solutions.

Administrative limit exceeded

Numéro d'erreur : 11

Origine : Une recherche LDAP réalisée dépasse la limite autorisée par l'attribut nsslapd-sizelimit du serveur d'annuaire. Seule une partie des informations sera renvoyée.

Solution : Augmentez la valeur de l'attribut nsslapd-sizelimit ou implémentez un index VLV pour la recherche défaillante.

Invalid DN Syntax

Numéro d'erreur : 34

Origine : Une tentative d'écriture d'une entrée LDAP avec un DN contenant des caractères non autorisés a été effectuée. Le serveur N2L tente de neutraliser les caractères non autorisés (le symbole +, par exemple) qui sont générés dans le DN.

Solution : Vérifiez le journal des erreurs du serveur LDAP pour savoir quels DN non autorisés ont été écrits, puis modifiez le fichier NISLDAPmapping qui les a générés.

Object class violation

Numéro d'erreur : 65

Origine : Une tentative d'écriture d'une entrée LDAP non valide a été effectuée. Généralement, cette erreur est due à l'absence d'attributs MUST, découlant de l'une des circonstances suivantes.

• Bogues dans le fichier NISLDAPmapping qui créent des entrées avec des attributs manquants

• Tentative d'ajout d'un attribut AUXILIARY à un objet qui n'existe pas

  Par exemple, si le nom de l'utilisateur n'a pas encore été créé à partir de la carte passwd.byxxx, la tentative d'ajout informations auxiliaires pour cet utilisateur échoue.

Solution : En ce qui concerne les bogues dans le fichier NISLDAPmapping, vérifiez ce qui est écrit dans le journal des erreurs du serveur pour déterminer la nature du problème.

Can't contact LDAP server

Numéro d'erreur : 81

Origine : La configuration erronée du fichier ypserv le fait peut être pointer vers le mauvais serveur d'annuaire LDAP. Le serveur d'annuaire n'est peut-être pas non plus en cours d'exécution.

Solution : Reconfigurer et confirmer.

• Reconfigurez le fichier ypserv de telle sorte qu'il pointe vers le bon serveur d'annuaire LDAP.

• Pour confirmer que le serveur LDAP est en cours d'exécution, entrez :

  % ping hostname 5 | grep "no answer" || \
        (ldapsearch -h hostname -s base -b ""  \
        "objectclass=*" >/dev/null && echo Directory accessible)

  Si le serveur n'est pas disponible, le message suivant s'affiche : no answer from hostname. En cas de problèmes avec le serveur LDAP, le message suivant s'affiche : ldap_search: Can't connect to the LDAP server - Connection refused. Enfin, si tout fonctionne, le message suivant s'affiche : Directory accessible.

Timeout

Numéro d'erreur : 85

Origine : Une opération LDAP a expiré, généralement pendant la mise à jour d'une carte à partir de l'arborescence DIT. La carte peut désormais contenir des informations obsolètes.

Solution : Augmentez la valeur des attributs nisLDAPxxxTimeout dans le fichier de configuration ypserv.

Problèmes liés à la transition de NIS à LDAP

Les problèmes suivants peuvent se produire lors de l'exécution du serveur N2L. Les causes possibles et les solutions sont fournies.

Débogage du fichier NISLDAPmapping

Le fichier de mappage NISLDAPmapping est complexe. De nombreuses erreurs potentielles risquent de provoquer un comportement inattendu du mappage. Utilisez les techniques suivantes pour résoudre ces problèmes.

Un message de la console s'affiche lorsque ypserv -ir (ou - Ir) s'exécute

Description : Un message simple s'affiche sur la console et le serveur s'arrête (une description détaillée est enregistrée dans le syslog).

Origine : La syntaxe du fichier de mappage est peut-être incorrecte.

Solution : Vérifiez et corrigez la syntaxe dans le fichier NISLDAPmapping.

Le démon NIS s'arrête au démarrage

Description : Lors de l'exécution de ypserv ou d'autres démons NIS, un message d'erreur en rapport avec LDAP est consigné et le démon s'arrête.

Origine : Il existe plusieurs causes possibles :

• Le serveur LDAP ne peut pas être contacté.

• Une entrée trouvée dans une carte NIS ou dans l'arborescence DIT n'est pas compatible avec le mappage spécifié.

• Une tentative de lecture ou d'écriture sur le serveur LDAP renvoie une erreur.

Solution : Consultez le journal d'erreurs sur le serveur LDAP. Reportez-vous aux erreurs LDAP répertoriées dans Messages d'erreur LDAP courants.

Résultats inattendus des opérations NIS

Description : Les opérations NIS ne renvoient pas les résultats attendus, mais aucune erreur n'est consignée.

Origine : Les cartes LDAP ou NIS peuvent contenir des entrées incorrectes, ce qui empêche les mappages de se dérouler comme prévu.

Solution : Vérifiez et corrigez les entrées dans l'arborescence DIT LDAP et dans les versions N2L des cartes NIS.

1. Vérifiez que les entrées dans l'arborescence DIT LDAP sont correctes et sinon corrigez-les.

   Si vous utilisez Oracle Directory Server Enterprise Edition, démarrez la console de gestion en exécutant la commande dsadm startconsole.

2. Vérifiez que les versions N2L des cartes NIS dans le répertoire /var/yp contiennent les entrées prévues en comparant la carte qui vient d'être générée et la carte d'origine. Corrigez les entrées au besoin.

   # cd /var/yp/domainname
   # makedbm -u test.byname
   # makedbm -u test.byname

   Gardez à l'esprit les points suivants lorsque vous vérifiez le résultat des cartes :

   • L'ordre des entrées n'est peut-être pas le même dans les deux fichiers.

     Exécutez la commande sort avant la comparaison des résultats.

   • L'utilisation des espaces n'est peut-être pas la même dans les deux fichiers.

     Exécutez la commande diff -b lors de la comparaison des résultats.

Ordre de traitement des cartes NIS

Description : Des violations de classe d'objet surviennent.

Origine : Lorsque la commande ypserv -i est exécutée, chaque carte NIS est lue et son contenu enregistré dans l'arborescence DIT. Plusieurs cartes peuvent fournir des attributs à un même objet DIT. En règle générale, une carte crée la plus grande partie de l'objet, notamment tous ses attributs MUST. D'autres cartes fournissent des attributs MAY supplémentaires.

Les cartes sont traitées dans l'ordre selon lequel les attributs nisLDAPobjectDN apparaissent dans le fichier NISLDAPmapping. Lorsque les cartes contenant les attributs MAY sont traitées avant celles contenant les attributs MUST, des violations de classe d'objet surviennent. Pour plus d'informations sur cette erreur, reportez-vous à l'erreur 65 à la section Messages d'erreur LDAP courants.

Solution : Réorganisez les attributs nisLDAPobjectDN de façon à traiter les cartes dans l'ordre approprié.

Comme solution temporaire, exécutez la commandeypserv -i plusieurs fois. L'entrée LDAP est créée au fur et à mesure des exécutions de la commande.

Problème de délai d'attente du serveur N2L

Le délai d'attente du serveur a expiré.

Origine : Lorsque le serveur N2L actualise une carte, le résultat peut être l'accès à un grand annuaire LDAP. Si le Oracle Directory Server Enterprise Edition n'est pas correctement configuré, cette opération risque d'expirer avant terme.

Solution : Afin d'éviter l'expiration du délai d'attente du serveur d'annuaire, modifiez les attributs Oracle Directory Server Enterprise Edition manuellement ou à l'aide de la commande idsconfig. Pour plus d'informations, reportez-vous aux sections Messages d'erreur LDAP courants et Pratiques recommandées dans le cadre de la transition de NIS à LDAP avec Oracle Directory Server Enterprise Edition.

Problème du fichier de verrouillage N2L

La commande ypserv démarre mais ne répond pas aux demandes NIS.

Origine : Les fichiers de verrouillage du serveur N2L ne synchronisent pas correctement l'accès aux cartes NIS. Cela ne devrait jamais se produire.

Solution : Entrez les commandes suivantes sur le serveur N2L :

# svcadm disable network/nis/server:default
# rm /var/run/yp_maplock /var/run/yp_mapupdate
# svcadm enable network/nis/server:default

Problème d'interblocage N2L

Le serveur N2L se bloque.

Origine : Lorsque les adresses du serveur maître N2L et du serveur LDAP ne sont pas répertoriées correctement dans les fichiers hosts, ipnodes ou ypserv, un interblocage peut se produire. Pour plus de détails sur la configuration d'adresses pour N2L, reportez-vous à la section Prérequis pour la transition de NIS à LDAP.

Pour un exemple de scénario d'interblocage, tenez compte de la séquence d'événements suivante :

1. Un client NIS tente de rechercher une adresse IP.

2. Le serveur N2L constate que l'entrée hosts est obsolète.

3. Le serveur N2L tente de mettre à jour l'entrée hosts à partir d'un serveur LDAP.

4. Le serveur N2L obtient le nom de son serveur LDAP de ypserv , puis effectue une recherche à l'aide de libldap.

5. libldap tente de convertir le nom du serveur LDAP en adresse IP en effectuant un appel au commutateur du service de noms.

6. Le commutateur du service de noms NIS peut effectuer un appel NIS au serveur N2L, qui se bloque.

Solution : Répertoriez les adresses du serveur maître N2L et du serveur LDAP dans les fichiers hosts ou ipnodes sur le serveur maître N2L. La nécessité de répertorier les adresses de serveur dans hosts, ipnodes ou les deux fichiers dépend de la manière dont ces fichiers sont configurés pour résoudre les noms d'hôte locaux. Vérifiez également que la propriété config/hosts du service svc:/network/name-service/switch répertorie files avant nis dans l'ordre de recherche.

Une autre solution à ce problème d'interblocage consiste à préciser l'adresse du serveur LDAP (et pas son nom d'hôte) dans le fichier ypserv. Ainsi, l'adresse du serveur LDAP est indiquée à un emplacement différent. Par conséquent, modifier l'adresse du serveur LDAP ou du serveur N2L requiert un peu plus d'effort.