Добрый день All !
В дервере появился PreMigrated сервер OES2015 SP1 (со всеми патчами). Данная версия выбрана для гладкого пререноса iPrint с NW65 sp8 (трудящегося в XEN).
Сервер безболезненно прижился в дереве.
Был один нюанс - у LUM не установился Common Server Certificate но после перенастройки LUM и rcnscd restart 'id admin' отрабатывает нормально.
Из продуктов выбран обычный набор: PreMigrated Server (без реплики для последующего TRANSFER ID), iManager, iPrint.
yast2 oes-ldap показывает три записи:
этот Premigrated Server по IP,
этот Premigrated Server по DNS,
и сервер содержащий r/w реплику по IP.
На самом Pre Migrated ldapsearch
/opt/novell/eDirectory/bin/ldapsearch -x -h <PreMigratedIp> -p 636 -D cn=admin,o=TPSB -w PASSWD -e /etc/opt/novell/certs/SSCert.der "cn=admin" cn
нормально отдает админа
-----------------------------------
version: 1
#
# filter: cn=admin
# requesting: cn
#
# Admin,TPSB
dn: cn=Admin,o=TPSB
cn: Admin
cn:: w4DDpMOsw6jDrcOow7HDssOww6DDssOuw7A=
# admin,Tomcat-Roles,TPSB
dn: cn=admin,ou=Tomcat-Roles,o=TPSB
cn: admin
# search result
# search: 2
# result: 0 Success
# numResponses: 3
# numEntries: 2
-----------------------------------
Проблема появляется при создании на PreMigrated сервере iPrint Driver Store (чтобы потом создать iPrint Manager, потом миграция принтеров и в конце TRANSFER ID).
При создании возникает ошибка
Ошибка: Ошибка Создание хранилища драйверов
Authorization Required
IPP Error: 0xF0191
HTTP Error: 401
Соответственно в error_log апача имеем:
[Mon Nov 21 14:49:02 2022] [error] [client 192.168.100.183] user cn=Admin,o=TPSB not found: /ipps
[Mon Nov 21 14:49:02 2022] [error] [client 192.168.100.183] no acceptable variant: /usr/share/apache2/error/HTTP_UNAUTHORIZED.html.var
[Mon Nov 21 14:49:03 2022] [error] [client 192.168.100.183] user Admin not found: /ipps
[Mon Nov 21 14:49:03 2022] [error] [client 192.168.100.183] no acceptable variant: /usr/share/apache2/error/HTTP_UNAUTHORIZED.html.var
В общем не получается логин по https Apache->LDAP в /ipps
конфиг ипринта стандартный:
# Do not modify this file! Changes to this file may
# cause iPrint to opperate improperly. Your changes to this
# file will not be preserved.
<IfModule !mod_ipp.c>
LoadModule ipp_module /opt/novell/iprint/httpd/lib64/mod_ipp.so
</IfModule>
<IfModule mod_ipp.c>
<LocationMatch ^/(ipps|idss|[Pp][Ss][Mm][Ss][Tt][Aa][Tt][Uu][Ss])($|/)>
SSLRequireSSL
Require valid-user
Order deny,allow
Allow from all
AuthType Basic
AuthBasicProvider ldapdn
AuthName "TPSB"
AuthLDAPDNURL "ldaps://<premigrate-server-fdn>:636/o=tpsb???(objectClass=user)"
AuthLDAPDNRemoteUserIsDN on
AuthzLDAPDNAuthoritative Off
AuthLDAPDNAllowDNAuth on
</LocationMatch>
</IfModule>
Подскажите что поковырять ? Пока я в непонятках.
Все время забываю что для нормального лога LDAP в dstrace надо добавить галок в трейсе LDAP сервера.
Вот что показывает DSTRACE -ALL +LDAP с включенным трейсом в LDAP:
=======================================================
15:19:08 EB6C4700 LDAP: (192.168.100.183:42228)(0x0005:0x77) DoExtended on connection 0x125bea80
15:19:08 EB6C4700 LDAP: (192.168.100.183:42228)(0x0005:0x77) DoExtended: Extension Request OID: 2.16.840.1.113719.1.27.100.101
15:19:08 EB6C4700 LDAP: (192.168.100.183:42228)(0x0005:0x77) Sending operation result 0:"":"" to connection 0x125bea80
15:19:08 E6CB0700 LDAP: (192.168.100.183:42228)(0x0006:0x63) DoSearch on connection 0x125bea80
15:19:08 E6CB0700 LDAP: (192.168.100.183:42228)(0x0006:0x63) Search request:
base: "cn=admin,o=tpsb"
scope:0 dereference:3 sizelimit:0 timelimit:0 attrsonly:0
filter: "(objectClass=user)"
no attributes
15:19:08 E6CB0700 LDAP: (192.168.100.183:42228)(0x0006:0x63) Empty attribute list implies all user attributes
15:19:08 E6CB0700 LDAP: (192.168.100.183:42228)(0x0006:0x63) Sending operation result 0:"":"" to connection 0x125bea80
15:19:08 E68AC700 LDAP: (192.168.100.183:42228)(0x0007:0x63) DoSearch on connection 0x125bea80
15:19:08 E68AC700 LDAP: (192.168.100.183:42228)(0x0007:0x63) Search request:
base: "o=tpsb"
scope:2 dereference:3 sizelimit:0 timelimit:0 attrsonly:0
filter: "(&(objectClass=user)(uid=cn=admin,o=tpsb))"
no attributes
15:19:08 E68AC700 LDAP: (192.168.100.183:42228)(0x0007:0x63) Empty attribute list implies all user attributes
15:19:08 E68AC700 LDAP: (192.168.100.183:42228)(0x0007:0x63) Sending operation result 0:"":"" to connection 0x125bea80
=======================================================
Может каких аттрибутов не хватает в дереве (дерево создавалось на NW 4.02 как бы) ?
Есть в виртуалке стенд прошедший transfer id и нормально работающий. Надо глянуть там dstrace -all +ldap.
В виртуалке с рабоающим логином в /ipps :
=======================================================
15:31:19 FDEC700 LDAP: New TLS connection 0x1236d180 from 192.168.27.224:59430, monitor = 0xf88c7700, index = 8
15:31:19 F88C7700 LDAP: Monitor 0xf88c7700 initiating TLS handshake on connection 0x1236d180
15:31:19 F81C0700 LDAP: (192.168.27.224:59430)(0x0000:0x00) DoTLSHandshake on connection 0x1236d180
15:31:19 F81C0700 LDAP: BIO ctrl called with unknown cmd 7
15:31:19 F81C0700 LDAP: (192.168.27.224:59430)(0x0000:0x00) Completed TLS handshake on connection 0x1236d180
15:31:19 F83C2700 LDAP: (192.168.27.224:59430)(0x0001:0x60) DoBind on connection 0x1236d180
15:31:19 F83C2700 LDAP: (192.168.27.224:59430)(0x0001:0x60) Treating simple bind with empty DN and no password as anonymous
15:31:19 F83C2700 LDAP: (192.168.27.224:59430)(0x0001:0x60) Bind name:NULL, version:3, authentication:simple
15:31:19 F83C2700 LDAP: (192.168.27.224:59430)(0x0001:0x60) Sending operation result 0:"":"" to connection 0x1236d180
15:31:19 F6CFD700 LDAP: (192.168.27.224:59430)(0x0002:0x77) DoExtended on connection 0x1236d180
15:31:19 F6CFD700 LDAP: (192.168.27.224:59430)(0x0002:0x77) DoExtended: Extension Request OID: 2.16.840.1.113719.1.27.100.101
15:31:19 F6CFD700 LDAP: (192.168.27.224:59430)(0x0002:0x77) Sending operation result 0:"":"" to connection 0x1236d180
15:31:19 F7CBB700 LDAP: (192.168.27.224:59430)(0x0003:0x63) DoSearch on connection 0x1236d180
15:31:19 F7CBB700 LDAP: (192.168.27.224:59430)(0x0003:0x63) Search request:
base: "cn=admin,o=test"
scope:0 dereference:3 sizelimit:0 timelimit:0 attrsonly:0
filter: "(objectClass=user)"
no attributes
15:31:19 F7CBB700 LDAP: (192.168.27.224:59430)(0x0003:0x63) Empty attribute list implies all user attributes
15:31:19 F7CBB700 LDAP: (192.168.27.224:59430)(0x0003:0x63) Sending search result entry "cn=admin,o=TEST" to connection 0x1236d180
15:31:19 F7CBB700 LDAP: (192.168.27.224:59430)(0x0003:0x63) Sending operation result 0:"":"" to connection 0x1236d180
15:31:19 F82C1700 LDAP: (192.168.27.224:59430)(0x0004:0x60) DoBind on connection 0x1236d180
15:31:19 F82C1700 LDAP: (192.168.27.224:59430)(0x0004:0x60) Bind name:cn=admin,o=TEST, version:3, authentication:simple
15:31:19 F82C1700 LDAP: (192.168.27.224:59430)(0x0004:0x60) Sending operation result 0:"":"" to connection 0x1236d180
=======================================================
Есть у меня подозрение на дублирование cn аттрибута:
cn: Admin
cn:: w4DDpMOsw6jDrcOow7HDssOww6DDssOuw7A=
Мусорный CN это BASE64->CP866 : ├А├д├м├и├н├и├▒├▓├░├а├▓├о├░
Однако года с 1994 никому не мешало
Увы дело не в CN.
придется отладку апача в максимум и изучать логи.