JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Trabajo con servicios de nombres y directorios en Oracle Solaris 11.1     Oracle Solaris 11.1 Information Library (Español)
Red de tecnología de Oracle
Biblioteca
PDF
Vista de impresión
Comentarios
search filter icon
search icon

Información del documento

Prefacio

Parte I Acerca de los servicios de nombres y directorios

1.  Servicios de nombres y directorios (descripción general)

2.  Conmutador de servicio de nombres (descripción general)

3.  Gestión de DNS (tareas)

4.  Configuración de clientes de Active Directory de Oracle Solaris (tareas)

Parte II Configuración y administración de NIS

5.  Servicio de información de red (descripción general)

6.  Instalación y configuración del servicio NIS (tareas)

7.  Administración de NIS (tareas)

8.  Resolución de problemas de NIS

Parte III Servicios de nombres LDAP

9.  Introducción a los servicios de nombres LDAP (descripción general)

10.  Requisitos de planificación para servicios de nombres LDAP (tareas)

11.  Configuración de Oracle Directory Server Enterprise Edition con clientes LDAP (tareas)

12.  Configuración de clientes LDAP (tareas)

13.  Resolución de problemas de LDAP (referencia)

Supervisión del estado de los cliente LDAP

Verificación de que el comando ldap_cachemgr está en ejecución

Comprobación de la información actual de perfil

Verificación de comunicación básica cliente-servidor

Comprobación de datos del servidor desde un equipo no cliente

Problemas y soluciones de la configuración de LDAP

Nombre de host no resuelto

No se puede acceder a los sistemas de forma remota en el dominio LDAP

No funciona el inicio de sesión

Consulta demasiado lenta

El comando ldapclient no se puede enlazar a un servidor

Uso del daemon ldap_cachemgr para depuración

El comando ldapclient se bloquea durante la configuración

14.  Servicio de nombres LDAP (Referencia)

15.  Transición de NIS a LDAP (tareas)

Glosario

Índice

Problemas y soluciones de la configuración de LDAP

En las siguientes secciones se describen los problemas de la configuración de LDAP y sugiere soluciones a los problemas.

Nombre de host no resuelto

El servidor back-end de cliente LDAP devuelve nombres de host completos para consultas de host, como nombres de host por gethostbyname() y getaddrinfo(). Si el nombre guardado está completo, es decir, contiene al menos un punto, el cliente devuelve el nombre como está. Por ejemplo, si el nombre almacenado es hostB.eng, el nombre devuelto es hostB.eng.

Si el nombre almacenado en el directorio de LDAP, no está completo (no contiene un punto), el back-end del cliente agrega la parte de dominio al nombre. Por ejemplo, si el nombre almacenado es hostA, el nombre devuelto es hostA.domainname.

No se puede acceder a los sistemas de forma remota en el dominio LDAP

Si el nombre de dominio DNS es diferente al nombre de dominio LDAP, el servicio de nombres LDAP no se puede usar para servir nombres de host, a menos que los nombres de host estén almacenados completos.

No funciona el inicio de sesión

Los clientes LDAP usan los módulos PAM para autenticación del usuario durante el inicio de sesión. Cuando se utiliza el módulo PAM de UNIX estándar, la contraseña se lee desde el servidor y se verifica en el cliente. Este proceso puede fallar debido a una de las siguientes razones:

  1. ldap no está asociado a la base de datos passwd en el cambio de servicio de nombres.

  2. El usuario del atributo userPassword de la lista de servidores no puede ser leído por el agente de proxy. Debe permitir que al menos el agente de proxy pueda leer la contraseña, porque el agente de proxy la devuelve al cliente para su comparación. pam_ldap no necesita acceso de lectura a la contraseña.

  3. El agente de proxy podría no tener la contraseña correcta.

  4. La entrada no contiene la clase de objeto shadowAccount.

  5. No se ha definido una contraseña para el usuario.

    Al usar ldapaddent, debe utilizar la opción -p para asegurarse de que la contraseña se agregue a la entrada de usuario. Si utiliza ldapaddent sin la opción -p, la contraseña del usuario no se almacena en el directorio a menos que también agregue el archivo /etc/shadow mediante ldapaddent.

  6. No hay servidores LDAP accesibles.

    Compruebe el estado de los servidores.

    # /usr/lib/ldap/ldap_cachemgr -g

  7. pam.conf se ha configurado incorrectamente.

  8. El usuario no está definido en el espacio de nombres LDAP.

  9. NS_LDAP_CREDENTIAL_LEVEL se establece en anonymous para los módulos pam_unix_*, y userPassword no está disponible para usuarios anónimos.

  10. La contraseña no está almacenada en formato crypt.

  11. Si pam_ldap está configurado para admitir la gestión de cuentas, la falla en el inicio de sesión podría ser el resultado de una de las siguientes opciones:

    • La contraseña del usuario ha caducado.

    • La cuenta del usuario está bloqueada debido a demasiados intentos fallidos de inicio de sesión.

    • La cuenta del usuario ha sido desactivada por el administrador.

    • El usuario intentó iniciar sesión mediante un programa no basado en contraseña, como ssh o sftp.

  12. Si se utiliza la autenticación por usuario y sasl/GSSAPI, algún componente de Kerberos o la configuración de pam_krb5 se establecieron incorrectamente. Consulte Administración de Oracle Solaris 11.1: servicios de seguridad para obtener detalles sobre la resolución de estos problemas.

Consulta demasiado lenta

La base de datos de LDAP se basa en índices para mejorar rendimiento de la consulta. Cuando los índices no están configurados correctamente, se produce una mayor degradación del rendimiento. La documentación incluye un conjunto común de atributos que se deben indexar. También puede agregar sus propios índices para mejorar el rendimiento en el sitio.

El comando ldapclient no se puede enlazar a un servidor

El comando ldapclient no pudo inicializar el cliente al utilizar la opción init con el atributo profileName especificado. Los posibles motivos de la falla incluyen los siguientes:

  1. Se especificó el nombre de dominio incorrecto en la línea de comandos.

  2. El atributo nisDomain no está configurado en el DIT para representar el punto de entrada para el dominio de cliente especificado.

  3. La información de control de acceso no está correctamente configurada en el servidor, por lo que no permite la búsqueda anónima en la base de datos de LDAP.

  4. Una dirección de servidor incorrecta que se pasa al comando ldapclient. Use el comando ldapsearch para verificar la dirección del servidor.

  5. Un nombre de perfil incorrecto que se pasa al comando ldapclient. Use el comando ldapsearch para verificar el nombre de perfil en el DIT.

  6. Use snoop en la interfaz de red del cliente para ver el tipo de tráfico de salida y determinar a qué servidor le está hablando.

Uso del daemon ldap_cachemgr para depuración

La ejecución del daemon ldap_cachemgr con la opción -g puede ser una manera útil de depurar, ya que puede ver las estadísticas y la configuración del cliente actual. Por ejemplo,

# ldap_cachemgr -g

podría imprimir la configuración actual y estadísticas en una salida estándar, incluido el estado de todos los servidores LDAP, como se ha mencionado anteriormente. Observe que no necesita convertirse en superusuario para ejecutar este comando.

El comando ldapclient se bloquea durante la configuración

Si el comando ldapclient se bloquea, si pulsa Ctrl-C se cerrará después de restaurar el entorno anterior. Si esto ocurre, consulte al administrador del servidor para asegurarse que el servidor se está ejecutando.

Revise también los atributos de la lista del servidor en el perfil o desde la línea de comandos, y asegúrese de que la información del servidor sea correcta.

Copyright © 2002, 2012, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior Siguiente