AIX中的LDAP配置管理和故障诊断

下面的表 1 中列出了 AIX LDAP 客户端系统中经常使用的一些命令。

表 1. 经常使用的命令

故障排除信息

这个部分中包括几个典型的问题，随后给出了建议的 解决方案。

问题：LDAP 服务器以“configuration only”模式启动 ……

当重新启动 LDAP 服务器或者在进行 LDAP 服务器配置时返回了下面的错误 信息时，LDAP 服务器以“configuration only”模式启动：“Failed to initialize be_config.Error encountered.Server starting in configuration only mode.”

解决 方案：

可以通过使用下面的命令或者在 /var/ldap/ibmslapd.log 文件中查看相关的信息，以 确认服务器是否以“configuration only”方式启动。

# ldapsearch -h teak01.upt 

-b "" -s base objectclass=* | grep config
ibm-slapdisconfigurationmode=TRUE

有些时候，没有正确地注册 DB2 许可证密钥。这是该 问题的主要原因之一。要解决这个问题，必须注册许可证密钥，可以执行下面的步骤：

以具有 root 权限的用户身份登录。

注册 DB2 产品许可证密钥：

#/usr/opt/db2_08_01/adm /db2licm -a 

/usr/ldap/etc/ldap-custom-db2ese.lic
#/usr/opt/db2_08_01/adm /db2licm -a /usr/ldap/etc/db2wsue.lic

如果以上的步骤不能解 决这个问题，在再次配置 LDAP 服务器之前，可以清除 LDAP 服务器配置并导出 LDAP_DBG=1。/var/ldap/dbg.out、/var/ldap/dbg.log 和 /var/ldap/ibmslapd.log 文件中包含了进 一步调试这个问题所需的诊断信息。

问题：无法使用 LDAP 用户登录系统 ……

在成功配置 Directory Server 后，无法使用 LDAP 用户登录系统。

解决方案：

确保在下列方面没有错误，这可能导致存在特殊 LDAP 用户的错觉。

在客户 端配置过程中，使用 mksecldap -u <userlist> 指定一个用逗号分隔的用户名列表或者 ALL， 以便在客户端启用所有的用户。这意味着将这些用户的 SYSTEM 和注册属性设置为 LDAP。

mksecldap -c -h monster -a cn=admin -p adminpwd -u user1,user2

-u 标志可以确 保 user1 和 user2 用户能够在客户端计算机上用作 LDAP 用户，但是这个标志并不在 LDAP 服务器数 据库中添加任何用户。如果已使用 mkuser –R LDAP <user name> 或者在配置服务器的过 程中将用户添加到了 LDAP，那么这些用户可以成功登录，如下所示：

mksecldap -s -a 

cn=admin -p adminpwd -S rfc2307aix

在这个示例中，将所有的本地用户添加到 LDAP。因为 user1 和 user2 都是本地用户，所以它们将自动添加到 LDAP 数据库中。

验证 Directory Server 已启动并正在运行。ibmdiradm 和 ibmslapd 进程应该正在运行：

# ps -eaf |grep ibm
　　ldap 278760　　　1　 0　 Jan 14　　　-　0:08 /usr/ldap//bin/ibmdiradm -l
　　ldap 434392　　　1　 2　 Jan 14　　　- 339:44 ibmslapd -f/etc/ibmslapd.conf

验 证 LDAP 客户端是否已启动并正在运行。secldapclntd 进程应该正在运行：

# ps -eaf |grep 

-i secldap
　　root 393408　　　1　 0　 Jan 14　　　-　0:15 /usr/sbin/secldapclntd
　　root 725062 692358　 0 03:20:38　pts/0　0:00 grep -i secldap

验证服务器中是否 存在这个用户：

# lsuser -R LDAP usr_3112
usr_3112 id=3112 pgrp=gp_3112 groups=gp_3112,gp_3118,gp_3124 home=/tmp shell=/usr/bin/ksh
|--10--------20--------30--------40--------50--------60--------70--------80--------9|
|-------- XML error:　The previous line is longer than the max of 90 characters ---------|
login=true su=true rlogin=true daemon=true admin=false sugroups=ALL admgroups=
　　tpath=nosak
ttys=ALL expires=0 auth1=SYSTEM auth2=NONE umask=22 registry=LDAP
SYSTEM=KRB5LDAP OR compat logintimes= loginretries=0 pwdwarntime=0
account_locked=false minage=0 maxage=0 maxexpired=-1 minalpha=0 minother=0
mindiff=0 maxrepeats=8 minlen=0 histexpire=0 histsize=0 pwdchecks= dictionlist= fsize=-1
|--10--------20--------30--------40--------50--------60--------70--------80--------9|
|-------- XML error:　The previous line is longer than the max of 90 characters ---------|
cpu=-1 data=262144 stack=65536 core=2097151 rss=65536 nofiles=2000 roles=

验证用户 的注册信息和 SYSTEM 属性。这两项内容都应该设置为 LDAP。

lsuser –a registry 

SYSTEM username

验证是否将 LDAP 节添加到了 /usr/lib/security/methods.cfg 中：

# grep -p LDAP /usr/lib/security/methods.cfg
LDAP:
　　　　program = /usr/lib/security/LDAP
　　　　program_64 =/usr/lib/security/LDAP64

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!