Q&A
エラーになったときのもう一台の方のログも見せていただけませんか。
###前提・実現したいこと
Amazon Linux上に2台のOpenLDAPをマルチマスタ構成で構築しております。
###発生している問題・エラーメッセージ
同期がうまくいっていないようで、下記エラーメッセージが出力されます。
サーバ1
Jan 26 11:19:32 ip-XX-XX-XX-XX slapd[26241]: =>do_syncrepl rid=001 Jan 26 11:19:32 ip-XX-XX-XX-XX slapd[26241]: slap_client_connect: URI=ldap://サーバ2のIPアドレスbindmethod=simple DN="cn=manager,dc=xxxx,dc=com" ldap_sasl_bind_s failed (-1) Jan 26 11:19:32 ip-XX-XX-XX-XX slapd[26241]: do_syncrepl: rid=001 rc -1 retrying
サーバ2 (1/27 10:30 JST 追記)
Jan 26 11:19:38 ip-XX-XX-XX-XX slapd[28751]: =>do_syncrepl rid=001 Jan 26 11:19:38 ip-XX-XX-XX-XX slapd[28751]: slap_client_connect: URI=ldap://サーバ1のIPアドレスbindmethod=simple DN="cn=manager,dc=xxxx,dc=com" ldap_sasl_bind_s failed (-1) Jan 26 11:19:38 ip-XX-XX-XX-XX slapd[28751]: do_syncrepl: rid=001 rc -1 retrying
ログレベル変更後
サーバ1
Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: daemon: epoll: listen=7 active_threads=0 tvp=zero Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: daemon: epoll: listen=8 active_threads=0 tvp=zero Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: daemon: epoll: listen=9 active_threads=0 tvp=zero Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: =>do_syncrepl rid=001 Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: slap_client_connect: URI=ldap://サーバ2のIPアドレスbindmethod=simple DN="cn=manager,dc=xxxx,dc=com" ldap_sasl_bind_s failed (-1) Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: do_syncrepl: rid=001 rc -1 retrying Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: daemon: activity on 1 descriptor Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: daemon: activity on: Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: daemon: epoll: listen=7 active_threads=0 tvp=zero Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: daemon: epoll: listen=8 active_threads=0 tvp=zero Jan 27 02:51:42 ip-XX-XX-XX-XX slapd[28305]: daemon: epoll: listen=9 active_threads=0 tvp=zero
サーバ2
Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: daemon: epoll: listen=7 active_threads=0 tvp=zero Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: daemon: epoll: listen=8 active_threads=0 tvp=zero Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: daemon: epoll: listen=9 active_threads=0 tvp=zero Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: =>do_syncrepl rid=001 Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: slap_client_connect: URI=ldap://サーバ1のIPアドレスbindmethod=simple DN="cn=manager,dc=xxxx,dc=com" ldap_sasl_bind_s failed (-1) Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: do_syncrepl: rid=001 rc -1 retrying Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: daemon: activity on 1 descriptor Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: daemon: activity on: Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: daemon: epoll: listen=7 active_threads=0 tvp=zero Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: daemon: epoll: listen=8 active_threads=0 tvp=zero Jan 27 02:51:45 ip-XX-XX-XX-XX slapd[31035]: daemon: epoll: listen=9 active_threads=0 tvp=zero
###該当のソースコード
ミラーリングの設定は以下の通りです。
OpenLDAPの構築 を参考にしています。
dn: cn=config changetype: modify replace: olcServerID olcServerID: 1 ※もう一方は"2"で登録 dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: syncprov dn: olcDatabase={2}bdb,cn=config changetype: modify add: olcDbIndex olcDbIndex: entryCSN eq - add: olcDbIndex olcDbIndex: entryUUID eq - add: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://[相手のIPアドレス]:389 bindmethod=simple binddn="cn=Manager,dc=xxxx,dc=com" credentials=xxxx searchbase="dc=xxxx,dc=com" schemachecking=on type=refreshAndPersist retry="60 +" - add: olcMirrorMode olcMirrorMode: TRUE dn: olcOverlay=syncprov,olcDatabase={2}bdb,cn=config changetype: add objectClass: olcOverlayConfig objectClass: olcSyncProvConfig olcOverlay: syncprov
###試したこと
それぞれのサーバからお互いのサーバに対して認証ができることは確認しております。
サーバ1で実行 # ldapwhoami -x -D cn=Manager,dc=xxxx,dc=com -H ldap://[サーバ2のIPアドレス] -W Enter LDAP Password: dn:cn=Manager,dc=xxxx,dc=com サーバ2で実行 # ldapwhoami -x -D cn=Manager,dc=xxxx,dc=com -H ldap://[サーバ1のIPアドレス] -W Enter LDAP Password: dn:cn=Manager,dc=xxxx,dc=com
###補足情報(言語/FW/ツール等のバージョンなど)
OpenLDAP: 2.4.40-12.29.amzn1
他に何か必要な情報等あれば、教えてください。
どうぞよろしくお願いします。
応答コードが LDAP_SERVER_DOWN (-1) なので、provider に接続できていないようです。 コマンドでは接続できているので、consumer 側の設定と思いますが、何でしょうね。 provider 側のログには何か出ていないでしょうか。
コメントありがとうございます。もう一台の方のログも追記しましたので、ご確認をお願いします。(同じ内容のログですね…)
わかりにくくてすみません。失敗したのと同じ時刻の対向サーバのログをお願いできますか。
失礼しました。1分間隔でお互いに同期しているのですが、全く同時刻のログがなかったので、一番近い時刻のログを貼り付けました。どうぞよろしくお願いします。
ログがあまり出ないようですね。ログレベルを上げることはできますか。olcLogLevelは、初期値のままなら「stats」(0x100) になっていると思いますが、「sync stats acl conns trace」(0x4189) などとに変えることは可能でしょうか。
当時のログレベルは「stats args trace sync」でした。ご指定いただいたログレベルに変更して再度出力したログを貼り付けました。どうぞよろしくお願いします。
相手側から接続されたログ(ACCEPT from IP=)が無いのであれば、 本当に接続されていないということだと思います。 確認ですが、ログの URI=ldap://... と bindmethod= の間にスペースはあるのですよね?
> URI=ldap://... と bindmethod= の間にスペース ← 間にスペースはありません… olcSyncReplで各パラメータの行頭にスペースを2つずつ入れても同じエラーが返ってきました。olcSyncReplあたりが怪しい気がするのですが…
なるほど。念のため、olcSyncReplの値を、改行を入れずに一行で指定して設定し直してみていただけますか。
「ldapsearch -Y EXTERNAL -H ldapi:// -b cn=config」の出力で、olcSyncrepl はどうなっていますでしょうか。
改行を入れず一行指定で設定し直しても同様でした…「ldapsearch -Y EXTERNAL -H ldapi:// -b cn=config | grep olcSyncrepl」の該当部分は「olcSyncrepl: {0}rid=001 provider=ldap://[宛先IPアドレス]bindmethod=simple binddn=」でした。
olcSyncReplの反映方法が間違っているのでしょうか…
「ldapmodify -Y EXTERNAL -H ldapi:// -f mirror1.ldif -c 」で実行しております。
IPアドレスとbindmethodがくっついているように見えます。 文法エラーになると思うのですが、LDIFファイルに変なコードが入っていないでしょうか?
修正用LDIFファイルを新たに作成して適用したところ、くっついているところが解消され無事同期されるようになりました。ありがとうございました。
回答1件
0
ベストアンサー
OpenLDAPのLDIF(5)マニュアルページを見ると、LDIFの書式の説明に次のようなことが書いてあります。
A line may be continued by starting the next line with a single space
or tab, e.g.,dn: cn=Barbara J Jensen,dc=exam ple,dc=com
つまり、上の例は次のように解釈されるということですね。
dn: cn=Barbara J Jensen,dc=example,dc=com
同様に、ご質問の設定の
add: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://[相手のIPアドレス]:389 bindmethod=simple binddn="cn=Manager,dc=xxxx,dc=com" credentials=xxxx searchbase="dc=xxxx,dc=com" schemachecking=on type=refreshAndPersist retry="60 +"
は、次のように解釈されます。
投稿2017/01/28 08:30
総合スコア4317
必要箇所に空白が入っていなかったことが直接的な原因だったのですが、その部分を修正したLDIFファイルを新規addした時と同じLDIFファイルを使用したために、ldapmodifyが失敗していたようです。。ldapmodify用に新たにLDIFファイルを作成したところ、無事修正内容が反映され、同期されました。
英語を敬遠したために公式サイトを参照することを怠けておりました。。アドバイスありがとうございます。
無事同期できてよかったです。最後まで丁寧に面倒を見ていただきありがとうございました。
あなたの回答
tips
プレビュー
