Resolución de problemas de NIS a LDAP

En esta sección, se tratan dos áreas de resolución de problemas:

• Mensajes de error de LDAP comunes

• Problemas de NIS a LDAP

Mensajes de error de LDAP comunes

A veces, el servidor N2L registra errores que se relacionan con problemas internos de LDAP, lo que resulta en mensajes de error relacionados con LDAP. Aunque los errores no son fatales, indican problemas para investigar. Por ejemplo, el servidor N2L podría seguir funcionando, pero proporcionar resultados incompletos y desactualizados.

La siguiente lista incluye algunos de los mensajes de error de LDAP comunes que pueden aparecer al implementar el servicio N2L. Se incluyen descripciones del error y las posibles causas y soluciones.

Administrative limit exceeded

Error Number: 11

Causa: Se realizó una búsqueda LDAP que era mayor que la permitida por el atributo nsslapd-sizelimit del servidor de directorios. Sólo se devolverá información parcial.

Solución: Aumente el valor del atributo nsslapd-sizelimit o implemente un índice VLV para la búsqueda que falla.

Invalid DN Syntax

Error Number: 34

Causa: Se ha intentado escribir una entrada LDAP con un DN que contiene caracteres no válidos. El servidor N2L intenta evitar caracteres no válidos, como el símbolo +, que se generan en los DN.

Solución: Compruebe el registro de errores del servidor LDAP para averiguar qué DN no válidos se escribieron y luego modifique el archivo NISLDAPmapping que generó los DN no válidos.

Object class violation

Error Number: 65

Causa: Se ha intentado escribir una entrada LDAP que no es válida. Por lo general, este error se debe a que faltan atributos MUST, lo que puede ocurrir debido a cualquiera de las siguientes circunstancias.

• Errores en el archivo NISLDAPmapping que crea entradas con atributos faltantes.

• Intenta añadir un atributo AUXILIARY a un objeto que no existe.

  Por ejemplo, si un nombre de usuario no se ha creado todavía desde la asignación passwd.byxxx, un intento de agregar información auxiliar a ese usuario fallará.

Solución: Para los errores en el archivo NISLDAPmapping, compruebe lo que se escribió en el registro de errores del servidor para determinar la naturaleza del problema.

No es posible contactar con servidor LDAP

Error Number: 81

Causa: El archivo ypserv puede estar configurado incorrectamente y apuntar al servidor de directorios LDAP equivocado. Como alternativa, el servidor de directorios podría no estar ejecutándose.

Solución: Vuelva a configurarlo y confírmelo.

• Vuelva a configurar el archivo ypserv para apuntar al servidor de directorios LDAP correcto.

• Para confirmar que el servidor LDAP está en ejecución, escriba:

  % ping hostname 5 | grep "no answer" || \
        (ldapsearch -h hostname -s base -b ""  \
        "objectclass=*" >/dev/null && echo Directory accessible)

  Si el servidor no está disponible, se muestra este mensaje: no answer from hostname. Si hay problemas con el servidor LDAP, se muestra este mensaje: ldap_search: Can't connect to the LDAP server - Connection refused. Por último, si todo funciona, se muestra el siguiente mensaje: Directory accessible.

Timeout

Error Number: 85

Causa: Una operación LDAP superó el tiempo de espera, posiblemente cuando se actualizaba un mapa desde el DIT. Es posible que ahora la asignación tenga información desactualizada.

Solución: Aumente los atributos nisLDAPxxxTimeout en el archivo de configuración ypserv.

Problemas de NIS a LDAP

Se pueden producir los siguientes problemas al ejecutar el servidor N2L. Se proporcionan posibles causas y soluciones.

Depuración del archivo NISLDAPmapping

El archivo de asignación NISLDAPmapping es complejo. Muchos de los errores potenciales hacen que la asignación se comporte en forma inesperada. Utilice las siguientes técnicas para resolver dichos problemas.

Console Message Displays When ypserv -ir (or - Ir) Runs

Descripción: Un simple mensaje aparece en la consola y el servidor se cierra (una descripción detallada se escribe en syslog.

Causa: Es posible que la sintaxis del archivo de asignación sea incorrecta.

Solución: Compruebe y corrija la sintaxis del archivo NISLDAPmapping.

El daemon NIS finaliza en el inicio

Descripción: Cuando se ejecuta ypserv u otros daemons NIS, se registra un mensaje de error relacionado con LDAP y se cierra el daemon.

Causa: Es posible que esto se deba a uno de los siguientes motivos:

• No se puede establecer contacto con el servidor LDAP.

• Una entrada encontrada en una asignación NIS o en el DIT no es compatible con la asignación especificada.

• Un intento de lectura o escritura en el servidor LDAP devuelve un error.

Solución: Examine el registro de errores en el servidor LDAP. Consulte los errores LDAP que aparecen en Mensajes de error de LDAP comunes.

Resultados inesperados de operaciones NIS

Descripción: Las operaciones NIS no devuelven los resultados esperados, pero no se registran errores.

Causa: Es posible que existan entradas incorrectas en los mapas de datos NIS o LDAP, lo que da como resultado asignaciones que no finalizan como deberían.

Solución: Compruebe y corrija entradas en el DIT de LDAP y en las versiones de N2L de los mapas de datos NIS.

1. Compruebe que estén las entradas correctas en el DIT de LDAP y corrija las entradas según sea necesario.

   Si utiliza Oracle Directory Server Enterprise Edition, inicie la consola de gestión mediante la ejecución del comando dsadm startconsole.

2. Compruebe que las versiones de N2L de los mapas de datos NIS en el directorio /var/yp contengan las entradas esperadas comparando el mapa generado recientemente con el mapa original. Corrija las entradas según sea necesario.

   # cd /var/yp/domainname
   # makedbm -u test.byname
   # makedbm -u test.byname

   Tenga en cuenta lo siguiente cuando verifique los resultados para las asignaciones:

   • El orden de las entradas podría no ser el mismo en los dos archivos.

     Utilice el comando sort antes de comparar el resultado.

   • El uso de espacios en blanco podría no ser el mismo en los dos archivos.

     Utilice el comando diff -b al comparar la salida.

Procesamiento del orden de las asignaciones NIS

Descripción: Se producen infracciones de clases de objetos.

Causa: Cuando se ejecuta el comando ypserv -i, cada mapa de datos NIS se lee, y su contenido se escribe en el DIT. Varias asignaciones podrían contribuir atributos al mismo objeto del DIT. Por lo general, un mapa crea la mayor parte del objeto, incluidos todos los atributos MUST del objeto. Otras asignaciones contribuyen atributos MAY adicionales.

Los mapas se procesan en el mismo orden en el que aparecen los atributos nisLDAPobjectDN en el archivo NISLDAPmapping. Si se procesan asignaciones que contienen los atributos MAY antes que las asignaciones que contienen los atributos MUST, se producen infracciones en la clase de objeto. Consulte el Error 65 en Mensajes de error de LDAP comunes para obtener más información sobre este error.

Solución: Vuelva a ordenar los atributos nisLDAPobjectDN para que los mapas se procesen en el orden correcto.

Como corrección temporal, vuelva a ejecutar el comando ypserv -i varias veces. Cada vez se ejecuta el comando, se construye más la entrada de LDAP.

Problema de tiempo de espera del servidor N2L

The server times out.

Causa: Cuando el servidor N2L actualiza una asignación, el resultado puede ser un acceso al directorio LDAP de gran tamaño. Si Oracle Directory Server Enterprise Edition no está configurado correctamente, esta operación puede tener un tiempo de espera antes de terminar.

Solución: Para evitar que se superen los tiempos de espera del servidor de directorios, modifique los atributos de Oracle Directory Server Enterprise Edition manualmente o ejecutando el comando idsconfig. Consulte Mensajes de error de LDAP comunes y Mejores prácticas de NIS a LDAP con Oracle Directory Server Enterprise Edition para obtener información.

Problema de archivo de bloqueo de N2L

The ypserv command starts but does not respond to NIS requests.

Causa: Los archivos de bloqueo del servidor N2L no están sincronizando correctamente el acceso a los mapas de datos NIS. Esto no debería ocurrir nunca.

Solución: Escriba los siguientes comandos en el servidor N2L:

# svcadm disable network/nis/server:default
# rm /var/run/yp_maplock /var/run/yp_mapupdate
# svcadm enable network/nis/server:default

Problema de interbloqueo de N2L

The N2L server deadlocks.

Causa: Si las direcciones del servidor maestro N2L y el servidor LDAP no se muestran correctamente en los archivos hosts, ipnodes o ypserv, podría ocurrir un interbloqueo. Para obtener detalles sobre la correcta configuración de direcciones para N2L, consulte Requisitos previos para la transición de NIS a LDAP.

Para ver un ejemplo de un escenario de interbloqueo, tenga en cuenta la siguiente secuencia de eventos:

1. Un cliente NIS intenta buscar una dirección IP.

2. El servidor N2L descubre que la entrada hosts está desactualizada.

3. El servidor N2L intenta actualizar la entrada hosts de LDAP.

4. El servidor N2L obtiene el nombre de su servidor LDAP desde ypserv y luego realiza una búsqueda mediante libldap.

5. libldap intenta convertir el nombre del servidor LDAP a una dirección IP mediante una llamada al cambio de servicio de nombres.

6. El cambio de servicio de nombres puede ser una llamada NIS al servidor N2L, con interbloqueo.

Solución: Enumere las direcciones del servidor maestro N2L y el servidor LDAP en los archivos hosts o ipnodes del servidor maestro N2L. El hecho de que las direcciones del servidor se deban enumerar en hosts o ipnodes, o en ambos archivos, depende del modo en que estos archivos están configurados para resolver nombres de host locales. Además, compruebe que la propiedad config/hosts del servicio svc:/network/name-service/switch enumere files antes que nis en el orden de búsqueda.

Una solución alternativa a este problema de interbloqueo es enumerar la dirección del servidor LDAP, no su nombre de host, en el archivo ypserv. Esto significa que la dirección del servidor LDAP aparecerá en otro lugar. Por lo tanto, cambiar la dirección del servidor LDAP o N2L requeriría más esfuerzo.