如何调试客户机与 LDAP 服务器的连接

在 LDAP 服务器上错误配置客户机项可能会妨碍客户机与服务器进行通信。同样，在客户机上错误配置文件可能会妨碍通信。尝试调试客户机/服务器通信问题时，请检查以下项和文件。

开始之前

在 LDAP 客户机上，您必须充当全局区域中的安全管理员角色。

1. 检查 LDAP 服务器以及 LDAP 服务器网关所对应的远程主机模板是否正确。
   1. 使用 tncfg 或 tninfo 命令查看信息。

      # tncfg get host=LDAP-server
      # tncfg get host=gateway-to-LDAP-server

      # tninfo -h LDAP-server
      # tninfo -h gateway-to-LDAP-server

   2. 确定通往服务器的路由。

      # route get LDAP-server

   如果模板指定不正确，请将主机添加到正确的模板。

2. 检查并更正（如有必要）/etc/hosts 文件。

   您的系统、系统上有标签区域的接口、LDAP 服务器的网关和 LDAP 服务器必须列在该文件中。可能还会有更多项。

   查找重复的项。删除其他系统上属于有标签区域的任何项。例如，如果 Lserver 是 LDAP 服务器的名称，LServer-zones 是有标签区域的共享接口，请从 /etc/hosts 文件中删除 LServer-zones。

3. 如果使用的是 DNS，请检查 svc:/network/dns/client 服务的配置。

   # svccfg -s dns/client listprop config
   config                       application
   config/value_authorization   astring       solaris.smf.value.name-service.dns.switch
   config/nameserver            astring       192.168.8.25 192.168.122.7

4. 要更改值，请使用 svccfg 命令。

   # svccfg -s dns/client setprop config/search = astring: example1.domain.com
   # svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35
   # svccfg -s dns/client:default refresh
   # svccfg -s dns/client:default validate
   # svcadm enable dns/client
   # svcadm refresh name-service/switch
   # nslookup some-system
   Server:         192.168.135.35
   Address:        192.168.135.35#53
   
   Name:   some-system.example1.domain.com
   Address: 10.138.8.22
   Name:   some-system.example1.domain.com
   Address: 10.138.8.23

5. 检验 name-service/switch 服务中的 tnrhdb 和 tnrhtp 项是否正确。

   在以下输出中，未列出 tnrhdb 和 tnrhtp 项。因此，这些数据库将按该顺序使用缺省的 files ldap 命名服务。

   # svccfg -s name-service/switch listprop config
   config                       application
   config/value_authorization   astring       solaris.smf.value.name-service.switch
   config/default               astring       "files ldap"
   config/host                  astring       "files dns"
   config/netgroup              astring       ldap

6. 检查是否在服务器上正确配置了客户机。

   # ldaplist -l tnrhdb client-IP-address

7. 检查是否在 LDAP 服务器上正确配置了有标签区域的接口。

   # ldaplist -l tnrhdb client-zone-IP-address

8. 检验您是否可以从当前运行的所有区域联系 LDAP 服务器。

   # ldapclient list
   ...
   NS_LDAP_SERVERS= LDAP-server-address
   # zlogin zone-name1 ping LDAP-server-address
   LDAP-server-address is alive
   # zlogin zone-name2 ping LDAP-server-address
   LDAP-server-address is alive
   ...

9. 配置 LDAP 并重新引导。
   1. 有关过程，请参见使全局区域成为 Trusted Extensions 中的客户机。
   2. 在每个有标签区域中，将区域重建为 LDAP 服务器的客户机。

      # zlogin zone-name1
      # ldapclient init \
      -a profileName=profileName \
      -a domainName=domain \
      -a proxyDN=proxyDN \
      -a proxyPassword=password LDAP-Server-IP-Address
      # exit
      # zlogin zone-name2 ...

   3. 停止所有区域并重新引导。

      # zoneadm list
      zone1
      zone2
      ,
      ,
      ,
      # zoneadm -z zone1 halt
      # zoneadm -z zone2 halt
      .
      .
      .
      # reboot

      可以改用 txzonemgr GUI 来停止有标签区域。