Superuser

Autor Thema: getent Problem?  (Gelesen 2354 mal)

claus

  • Gast
getent Problem?
« am: 03. März 2008, 13:46:40 »
Hallo allerseits,

ja, ich bins mal wieder mit einem Access-Problem. Per Zufall habe ich heute mal folgendes ausprobiert:

Solaris 10:

getent group | wc -l
     263


ldapsearch -b 'ou=Group,o=*************' -D 'cn=ldapadmin,o=***********' -w '********' cn=ts_* | grep 'dn:' | wc -l
     595

Solaris 8:

getent group | wc -l
     623


ldapsearch -b 'ou=Group,o=*************' -D 'cn=Directory Manager' -w '*************' cn=ts_* | grep cn=ts* | grep -v 'ou=Group' | wc -l
     596

Es ist klar, dass es per getent mehr Gruppen sein sollten, ein paar davon sind ja über /etc/group gepflegt.

Bei getent passwd ist es korrekt.

Woran kann das liegen? Hat da jemand eine Ahnung? Es ist ja nicht so, dass die LDAP Gruppen nicht gefunden werden, es ist aber so, dass eben ca. die Hälfte davon fehlt.

Hat jemand Ideen, Ratschläge, Vorschläge? Unser Provider kann uns gerade auch nicht weiterhelfen.

Claus

sonnenblen.de - Das unabhängige Sun User Forum

getent Problem?
« am: 03. März 2008, 13:46:40 »

claus

  • Gast
Re: getent Problem?
« Antwort #1 am: 03. März 2008, 18:18:14 »
Ok, Problem gelöst:

Es ist kein Solaris Bug, sondern einfach ein Konfigurationsproblem gewesen. Ich dachte zuerst an einen Bug, da auf unseren Maschinen ein oder zwei Patches gefehlt haben, die eben genau getent betreffen.

OpenLDAP funktioniert viel restriktiver als die Sun-Variante: die Grössenbeschränkung für requests in einer Session ist bedeutend kleiner, bzw überhaupt vorhanden. Diesen Wert muss man dann einfach explizit überschreiben und alles ist im Butter.

Wie kommt man drauf?

ldaplist -l group
liefert:
ldaplist: LDAP error (LDAP ERROR (4): Sizelimit exceeded.)
So, ein Problem weniger. Ich hoffe, es hilft jemandem weiter.

Edit: Noch ein klein wenig konkreter: Der betroffene Parameter (sizelimit) ist im Ausgangszustand explizit nicht gesetzt, aber intern mit einem sehr niedrigen Wert vorbelegt. Einen expliziten Hinweis hat nur das ldaplist -l geliefert, ansonsten war der Debug output nicht brauchbar.

Weiterhin funktioniert die Umleitung auf Syslog überhaupt nicht, man bekommt überhaupt nur Debug, wenn man den Server per Shell Aufruf startet (und dann auch wieder mit ^C beenden muss).

Claus
« Letzte Änderung: 04. März 2008, 18:17:47 von claus »