nixp.ru v3.0

22 октября 2017,
воскресенье,
22:21:33 MSK

DevOps с компанией «Флант»
raba написал 6 октября 2008 года в 10:01 (674 просмотра) Ведет себя неопределенно; открыл 33 темы в форуме, оставил 77 комментариев на сайте.

Не могу понят в чем дело. При попытке законектится к imap(imapd-ssl) вываливается в логах такие ошибки. В thunderbird идикатор конекта перепрыгивает как сумашедший на инициализация нового подключения. При етом сервер нормально запускается.Клиент и сервер находятся на одной и той-же машине. Может кто-нибудь побаривал ето?

/var/log/debug

authdaemond: rebinding with DN 'uid=…'

authdaemond: authentication bind successful

(и так до безконечности)

/var/log/messages

kernel: pid 2215 (imapd), uid 862: exited on signal 11 (core dumped)

(и так до безконечности)

/var/log/maillog

imapd: LOGIN, user=…

(и так до безконечности. Кстати хочу заметит что LOGOUT не наблюдается)

metal
raba
var/log/messages

kernel: pid 2215 (imapd), uid 862: exited on signal 11 (core dumped)

Намек на то, что imapd упал, по хорошему баг-репорт разработчикам. Скорее всего у тебя что в настройках не верное, так пустой uid, как пример.

Anarchist

Use tag 'code'!

raba
Не могу понят в чем дело. При попытке законектится к imap(imapd-ssl) вываливается в логах такие ошибки.

Ты абсолютно уверен в том, что авторизация через LDAP (существеннейший момент, который ты ни в коем случае не должен был упускать) у тебя настроена полностью И корректно (повторяться в лом, Шуруп, редиска, бастует)?

raba
При етом сервер нормально запускается.

Что никоим образом не гарантирует его нормальной работоспособности.

Запомни на будущее.

raba
Клиент и сервер находятся на одной и той-же машине.

При правильной настройки не играет никакой роли.

А теперь правильный ответ на твой вопрос:

1. Есть подозрение, что сам по себе IMAP с LDAP’ом работать не умеет.

2. Гадом буду, ты явно не дал себе труда перехачить все сценарии авторизации из /etc/pam.d/ на использование LDAP’а.

3. Как ты его собирал (и использует ли он системные сценарии авторизации) — понятия не имею.

Усё понял?

Значит так:

1. Первым делом идёшь в порты, выясняешь как твой IMAP собран. При необходимости пересобираешь с поддержкой PAM (чтобы наверняка и без глупостей — никаких альтернатив!);

2.

# vim /etc/pam.d/imap

Приводишь к виду

#
# $FreeBSD: src/etc/pam.d/imap,v 1.5 2003/03/08 09:50:11 markm Exp $
#
# PAM configuration for the "imap" service
#
# auth
#auth            required      pam_nologin.so            no_warn
#auth            sufficient      pam_krb5.so            no_warn try_first_pass
#auth            sufficient      pam_ssh.so            no_warn try_first_pass
auth            sufficient      /usr/local/lib/pam_ldap.so no_warn try_first_pass
auth            required      pam_unix.so            no_warn try_first_pass

P.S. В качестве епитимьи:

1. Выразительное чтение дампов. Вслух!

2. Урок полного формулирования вопросов!!!

3. Модификация всех сценариев системной авторизации с учётом факта перехода на авторизацию через LDAP.

Anarchist
metal
Намек на то, что imapd упал, по хорошему баг-репорт разработчикам. Скорее всего у тебя что в настройках не верное, так пустой uid, как пример.

Сразу видно что ты:

1. Давно внимательно не присматривался к FreeBSD;

2. Не работал с авторизацией через LDAP.

RTFM правильный ответ (естественно мой :))) ).

raba

Так ребятаа, Остановитесь, а то запутаете меня еще больше!!! Причем тут 'pam’, вопрос на шестерку??? А authdaemonrc/authldaprc, не для того ли чтобы, меня авторизировать в ldap?? А как понимать тогда что при приеме почты по pop3/pop3d-ssl через тот-же самый ldap все офигенно летает. С 'pam' я пока не работал, и честно говоря немножко недопонимаюваю, как в конкретном случае 'pam' может мне помочь?

Anarchist
raba
Остановитесь, а то запутаете меня еще больше!!!

Запутать — это мы всегда пожалуйста :)))

raba
Причем тут 'pam’, вопрос на шестерку??? А authdaemonrc/authldaprc, не для того ли чтобы, меня авторизировать в ldap??

А у тебя база пользователей сервисов (в том числе почты) вынесена в отдельную?

raba
А как понимать тогда что при приеме почты по pop3/pop3d-ssl через тот-же самый ldap все офигенно летает.

У pop3-демона этот сценарий работает (или включён).

raba
С 'pam' я пока не работал, и честно говоря немножко недопонимаюваю, как в конкретном случае 'pam' может мне помочь?

Объясняю:

БОльшая часть стандартных сетевых сервисов (электронная почта в том числе) выросла из стандартных сервисов Unix.

Поэтому по умолчанию пользователь электронной почты — это системный пользователь Unix.

Ты системную авторизацию на LDAP переделывал? Или она осталась традиционной?

raba

У меня пользователей все виртуальные, Системные не пользую, домены соответсвенно тоже виртуальные. Почта нигде не конфигирировал кроме в конфигурационных файлов в /etc/mail/* MTA-sendmail с поддержке ..ldap,saslv2,starttls.. pop/imap-из courier-imap. sendmail проверяет пользователя в базе ldap, если такого есть считывается атрибут homeDirectory и почта складывается туда — Вот весь фокус!

Anarchist
raba
У меня пользователей все виртуальные, Системные не пользую, домены соответсвенно тоже виртуальные. Почта нигде не конфигирировал кроме в конфигурационных файлов в /etc/mail/* MTA-sendmail с поддержке ..ldap,saslv2,starttls.. pop/imap-из courier-imap. sendmail проверяет пользователя в базе ldap, если такого есть считывается атрибут homeDirectory и почта складывается туда — Вот весь фокус!

А смысл?

Владелец/права доступа каталога/содержимого, соотвествующего значению атрибута homeDirectory?

Что именно конфигурировал и что пишет по этому поводу в логах LDAP?

ЗЫ: Ты залез в не слишком хорошо проработанную область.

Лучшее что можно здесь сделать — это подготовить описание/собрать данные для багрепорта.

raba

ldap.log — аналогично debug.log(см.вверх) права доступа раставлены как положено, с етим думаю проблема нет…Ну ладно флудить по моему начинаем, буду конечно коворятся, как сделаю отпишусь! Спасибо!

Anarchist
raba
ldap.log — аналогично debug.log(см.вверх

Так: OpenLDAP 2.3 в FreeBSD ЕМНИП по умолчанию всё валит в debug.

Но тогда ты явно процитировал не всё.

Или у тебя недостаточно высокий уровень логирования LDAP.

Помнится, тему логирования в OpenLDAP 2.3 я уже раскрывал… Или надо повториться?

raba
права доступа раставлены как положено, с етим думаю проблема нет..

Уверен?

Ну тогда сочиняй баг-репорт.

raba

обновление почтовых пакетов, и исправление мелочью при создание сертификата(хотя думаю ето не играло значения-emailaddress=user@mail.add), решили мою проблему!Теперь возникла следующая :)

..Превышен лимит подключения к серверу


, хотя в imapd-ssl, ну нигде нету опция про ето дело, а Thunderbirde по умолчанию '5\′

Anarchist
raba
хотя в imapd-ssl, ну нигде нету опция про ето дело, а Thunderbirde по умолчанию '5\′

Первый наводящий вопрос: кроме тебя кто-нибудь к серверу коннектится?

Ты этот сервер полностью самостоятельно настраивал (намёк на sendmail FEATURE conncontrol)?

raba

Ето тестовый сервер, кроме меня никто не будет на нем конектится, но хотелось бы настроить как класический сервак, с множество подключении. Про sendmail не понял намек, все ПО шло из моих рук, нету помощница, хотя хотелось бы :)!

Anarchist
raba
Ето тестовый сервер, кроме меня никто не будет на нем конектится, но хотелось бы настроить как класический сервак, с множество подключении.

И тестов под нагрузкой ты в этот момент не проводил?

На самом деле попытка воспроизведения реальной нагрузки на стенде — песня ещё та…

В случае с почтой полноценного решения [пока] не нашёл.

Но то, что умолчательные настройки sendmail’а в FreeBSD (ограничений по числу сессий нет) для реального почтового сервера (фильтрация спама — на той же машине) непригодны можно сказать со всеё определённостью.

raba
Про sendmail не понял намек, все ПО шло из моих рук, нету помощница, хотя хотелось бы :)!

Ну, есть там (начиная с ЕМНИП 8.13.8 или который там в FreeBSD 6.2) такая фича для ограничения входящей нагрузки (надо сказать — весьма полезная).

Шпаргалку на этот счёт (чтоб было, потом по-хорошему надо будет в статью включить) повешу в ЖеЖешечке.