Назад | Перейти на главную страницу

Debian 9: не удается связаться с сервером LDAP с протоколом ldapi

На моем клиенте при аутентификации pam (пакеты libnss-ldap и libpam-ldap и конфигурация) есть конфигурация, которая приводит меня к

nss_ldap: failed to bind to LDAP server ldapi://172.16.10.174/: Can't contact LDAP server

Мой сервер запускается следующим образом (кажется ldapi доступен):

● slapd.service - LSB: OpenLDAP standalone server (Lightweight Directory Access Protocol)
Loaded: loaded (/etc/init.d/slapd; generated; vendor preset: enabled)
Active: active (running) since Thu 2018-10-04 09:40:14 -03; 8min ago
    Docs: man:systemd-sysv-generator(8)
Process: 1026 ExecStart=/etc/init.d/slapd start (code=exited, status=0/SUCCESS)
    Tasks: 3 (limit: 4915)
CGroup: /system.slice/slapd.service
        └─1180 /usr/sbin/slapd -h ldap:/// ldapi:/// -g openldap -u openldap -F /etc/ldap/slapd.d

с ldap оно работает

ldapsearch -H ldap://172.16.10.174/ -b dc=myDomain,dc=local -x

но с ldapi нет либо на локальном хосте, либо на машине в локальной сети:

ldapsearch -H ldapi://localhost:389 -b dc=solarity,dc=local -x
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)`

Должен ли я изменить конфигурацию сервера, чтобы иметь возможность подключаться к клиенту как ldapi:// или измените клиента для аутентификации с ldap://??

  1. Клиент: Где находится файл конфигурации в debian 9 nssd, чтобы я мог изменить протокол на ldap вместо ldapi?
  2. Сервер: если есть смысл оставаться с протоколом ldapi, как я могу его протестировать и настроить сервер так, чтобы он выполнял то, что ожидает от моего клиента, который, похоже, (ldapsearch -H ldapi://172.16.10.174/ -b dc=solarity,dc=local -x не работает)

В ldapi:// протокол используется для доступа к серверу LDAP через сокет файловой системы, например /var/run/ldapi (это может быть другим для Debian, это расположение по умолчанию в CentOS). Таким образом, он работает только в том случае, если вы находитесь на том же хосте, что и сам сервер LDAP.

Если вам нужно получить доступ к серверу LDAP с других машин, лучше использовать либо ldap:// или ldaps://.

В соответствии с wiki.debian.org/LDAP/NSS & wiki.debian.org/LDAP/PAM так должно быть /etc/libnss-ldap.conf и /etc/pam_ldap.conf соответственно