# Samba-PDC (ldap) -> Probleme beim User anlegen

## Gucky_der_Mausbiber

Nabend alle miteinander,

also ich habe da mal ein kleines Problem mit folgendem HowTo ->

http://de.gentoo-wiki.com/Samba_PDC_mit_LDAP-Backend

Aber zuerst einmal zu meinem Grundsystem. Ich habe mich für ein gentoo

hardened Profil/System entschieden! Warum? Ganz einfach weil ich den

Server so sicher wie nur möglich haben will (ist zu Versuchs-/Lernzweck),

deshalb habe ich auch die hardened-sources installiert.

Okay, soweit lief das ganze auch prima. Alles installiert, Server startet

ohne Fehler, Netzwerk geht -> *freu*

So, jetzt wollte ich daran gehen einen Samba-Server aufzusetzen, welcher

gleichzeitig PDC ist und über ldap verfügt, so das Nutzer sich über Samba am

jedem beliebigen Client anmelden können. Hmm, hoffe man versteht was ich

will? Nein, dann nochmal ein Versuch. Ich will mich von jedem Win-Client aus

anmelden können, und zwar so, das Benutzername & Passwort beim Server

liegen, sprich, egal welcher Client, ich kann mich immer einloggen.

Also was tun? Da ich kein ganz dummes Kind bin (^^) habe ich mir gedacht

schaust dir mal obiges HowTo an und machst alles  genauso.

Gesagt getan, ich bin die Anleitung Schritt für Schritt durchgegangen und

als ich dann an den folgenden Punkt gekommen bin lief es schief.

```
server ~ # smbldap-populate

Populating LDAP directory for domain kanzlei

(S-1-5-21-2385998794-886677818-3740541020)

(using builtin directory structure)

entry dc=mydomain,dc=org already exist.

entry ou=Users,dc=mydomain,dc=org already exist.

entry ou=Groups,dc=mydomain,dc=org already exist.

entry ou=Computers,dc=mydomain,dc=org already exist.

entry ou=Idmap,dc=mydomain,dc=org already exist.

entry uid=root,ou=Users,dc=mydomain,dc=org already exist.

entry uid=nobody,ou=Users,dc=mydomain,dc=org already exist.

entry cn=Domain Admins,ou=Groups,dc=mydomain,dc=org already exist.

entry cn=Domain Users,ou=Groups,dc=mydomain,dc=org already exist.

entry cn=Domain Guests,ou=Groups,dc=mydomain,dc=org already exist.

entry cn=Domain Computers,ou=Groups,dc=mydomain,dc=org already exist.

entry cn=Administrators,ou=Groups,dc=mydomain,dc=org already exist.

entry cn=Account Operators,ou=Groups,dc=mydomain,dc=org already exist.

entry cn=Print Operators,ou=Groups,dc=mydomain,dc=org already exist.

entry cn=Backup Operators,ou=Groups,dc=mydomain,dc=org already exist.

entry cn=Replicators,ou=Groups,dc=mydomain,dc=org already exist.

entry sambaDomainName=mydomain,dc=mydomain,dc=org already exist. Updating

it...

failed to modify entry: structural object class modification from

'sambaDomain' to 'inetOrgPerson' not allowed at /usr/sbin/smbldap-populate

line 464, <GEN1> line 21.

Please provide a password for the domain root:

Changing password for root

New password :

Retype new password :
```

Hier tauchte also der erste Fehler auf -> 

```
failed to modify entry:

structural object class modification from 'sambaDomain' to 'inetOrgPerson'

not allowed at /usr/sbin/smbldap-populate line 464, <GEN1> line 21.
```

Okay, das Skript lief aber nach diesem Fehler ja weiter und verlangte das

LDAP-Admin Passwort. Also dachte ich mir der Fehler kan ja nicht schlimm

sein, sonst würde es nicht weiter gehen. Also auf zum nächsten Schritt, der

darin besteht einen Testuser anzulegen, tja und genau das geht nun nicht und

den Fehler finde ich auch nicht. Folgendes kommt immer beim Versuch einen

User anzulegen

```
server ~ # smbldap-useradd -a -m testuser

Could not find base dn, to get next uidNumber at /usr/sbin//smbldap_tools.pm

line 995.
```

Okay, wie gesagt bin ich kein ganz Dummer und habe mal nach dem Fehler

gegoogelt und siehe da, ich bin nicht alleine. Leider gab es keine Lösungen

die für mich funktioniert haben. Z. Bsp. taucht der Fehler bei smbldap-tools

< 0.9.1 auf, aber ich habe keine Version < 0.9.1 -> also nix für mich.

Und auch ansonsten stehe ich auf dem Schlauch weil ich mich wirklich

komplett ans HowTo gehalten habe.

Nunja, damit ihr alles Infos habt nun mal meine Config-Dateien

/etc/make.conf

```
# These settings were set by the catalyst build script that

automatically built this stage

# Please consult /etc/make.conf.example for a more detailed example

USE="acl -alsa cups -gnome -kde ldap mysql -opengl -oss pam -qt -qt3 -qt4

ssl truetype unicode xml xml2"

CHOST="i686-pc-linux-gnu"

CFLAGS="-march=athlon-tbird -O2 -pipe -fomit-frame-pointer"

CXXFLAGS="${CFLAGS}"

LINGUAS="de"
```

/etc/portage/package.use

```
net-fs/samba                    syslog oav acl

net-nds/openldap                samba

net-print/cups                  dbus jpeg php png samba

dev-lang/php                    apache2 gd hardenedphp session truetype xml

cli

media-libs/gd                   jpeg png truetype

net-www/apache                  apache2

dev-db/mysql                    latin1 berkdb innodb

sys-apps/lm_sensors             sensord
```

/etc/samba/smb.conf

```
[global]

netbios name = server

workgroup = kanzlei

server string = Windows %v

hosts allow = 10.0.0.

security = user

encrypt passwords = yes

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

interfaces = eth0

bind interfaces only = yes

log level = 0

log file = /var/log/samba/log.%m

max log size = 10000

local master = yes

os level = 65

domain master = yes

preferred master = yes

domain logons = yes

logon script = login.bat

logon path = \\%L\profiles\%U

logon drive = P:

null passwords = no

hide unreadable = yes

hide dot files = yes

ldap passwd sync = yes

passdb backend = ldapsam:ldap://127.0.0.1/

ldap admin dn = cn=Manager,dc=mydomain,dc=org

ldap suffix = dc=mydomain,dc=org

ldap group suffix = ou=Groups

ldap user suffix = ou=Users

ldap machine suffix = ou=Computers

add machine script = /usr/sbin/smbldap-useradd -w "%u"

add user script = /usr/sbin/smbldap-useradd -m "%u"

ldap delete dn = Yes

add group script = /usr/sbin/smbldap-groupadd -p "%g"

delete group script = /usr/sbin/smbldap-groupdel "%g"

add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"

delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"

set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

dos charset = 850

unix charset = ISO8859-1

[netlogon]

path = /var/lib/samba/netlogon

public = no

writeable = no

browseable = no

[profiles]

path=/home/samba/profiles

browseable = no

writeable = yes

guest ok = yes

hide files = /desktop.ini/ntuser.ini/NTUSER.*/

write list = "@Domain Users" "@Domain Admins"

create mode = 0600

directory mode = 0700

default case = lower

preserve case = no

case sensitive = no

[homes]

path = /home/%U

browseable = no

valid users = %S

writeable = yes

guest ok = no

inherit permissions = yes

[public]

comment = Public halt

path = /home/public

browseable = yes

valid users = "@Domain Users"

guest ok = no

force group = "@Domain Users"
```

/etc/openldap/slapd.conf

```
include /etc/openldap/schema/core.schema

include /etc/openldap/schema/cosine.schema

include /etc/openldap/schema/inetorgperson.schema

include /etc/openldap/schema/nis.schema

include /etc/openldap/schema/samba.schema

pidfile  /var/run/openldap/slapd.pid

argsfile /var/run/openldap/slapd.args

schemacheck on

loglevel 0

database ldbm

suffix dc=mydomain,dc=org

rootdn "cn=Manager,dc=mydomain,dc=org"

lastmod on

directory /var/lib/openldap-ldbm

index objectClass,uidNumber,gidNumber                   eq

index cn,sn,uid,displayName                             pres,sub,eq

index memberUid,mail,givenname                          eq,subinitial

index sambaSID,sambaPrimaryGroupSID,sambaDomainName     eq

access to attrs=userPassword,sambaNTPassword,sambaLMPassword

    by self write

    by anonymous auth

    by * none

access to *

    by * read

rootpw  *****************
```

/etc/openldap/ldap.conf

```
  GNU nano 2.0.2                                   File: /etc/openldap/ldap.conf                                                                             

#

# LDAP Defaults

#

# See ldap.conf(5) for details

# This file should be world readable but not world writable.

#BASE   dc=example, dc=com

#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12

#TIMELIMIT      15

#DEREF          never

HOST 127.0.0.1

BASE dc=mydomain,dc=org
```

/etc/ldap.conf

```
# Der LDAP-Server, es werden auch FQDN's akzeptiert.

host 127.0.0.1

# base DN

base dc=mydomain,dc=org

nss_base_passwd         ou=Users,dc=mydomain,dc=org?one

nss_base_passwd         ou=Computers,dc=mydomain,dc=org?one

nss_base_shadow         ou=Users,dc=mydomain,dc=org?one

nss_base_group          ou=Groups,dc=mydomain,dc=org?one

ssl no

pam_password md5
```

/etc/nsswitch.conf

```
# /etc/nsswitch.conf:

# $Header: /var/cvsroot/gentoo/src/patchsets/glibc/extra/etc/nsswitch.conf,v 1.1 2006/09/29 23:52:23 vapier Exp $

passwd:      compat ldap

shadow:      compat ldap

group:       compat ldap

# passwd:    db files nis

# shadow:    db files nis

# group:     db files nis

hosts:       files dns

networks:    files dns

services:    db files

protocols:   db files

rpc:         db files

ethers:      db files

netmasks:    files

netgroup:    files

bootparams:  files

automount:   files

aliases:     files
```

/etc/smbldap-tools/smbldap_bind.conf

```
############################

# Credential Configuration #

############################

# Notes: you can specify two differents configuration if you use a

# master ldap for writing access and a slave ldap server for reading access

# By default, we will use the same DN (so it will work for standard Samba

# release)

slaveDN="cn=Manager,dc=mydomain,dc=org"

slavePw="**********"

masterDN="cn=Manager,dc=mydomain,dc=org"

masterPw="********"
```

/etc/smbldap-tools/smbldap.conf

```
# $Source: /opt/cvs/samba/smbldap-tools/smbldap.conf,v $

# $Id: smbldap.conf,v 1.17 2005/01/29 15:00:54 jtournier Exp $

#

# smbldap-tools.conf : Q & D configuration file for smbldap-tools

#  This code was developped by IDEALX (http://IDEALX.org/) and

#  contributors (their names can be found in the CONTRIBUTORS file).

#

#                 Copyright (C) 2001-2002 IDEALX

#

#  This program is free software; you can redistribute it and/or

#  modify it under the terms of the GNU General Public License

#  as published by the Free Software Foundation; either version 2

#  of the License, or (at your option) any later version.

#

#  This program is distributed in the hope that it will be useful,

#  but WITHOUT ANY WARRANTY; without even the implied warranty of

#  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the

#  GNU General Public License for more details.

#

#  You should have received a copy of the GNU General Public License

#  along with this program; if not, write to the Free Software

#  Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,

#  USA.

#  Purpose :

#       . be the configuration file for all smbldap-tools scripts

##############################################################################

#

# General Configuration

#

##############################################################################

# Put your own SID

# to obtain this number do: net getlocalsid

SID="S-1-5-21-2385998794-886677818-3740541020"

##############################################################################

#

# LDAP Configuration

#

##############################################################################

# Notes: to use to dual ldap servers backend for Samba, you must patch

# Samba with the dual-head patch from IDEALX. If not using this patch

# just use the same server for slaveLDAP and masterLDAP.

# Those two servers declarations can also be used when you have

# . one master LDAP server where all writing operations must be done

# . one slave LDAP server where all reading operations must be done

#   (typically a replication directory)

# Ex: slaveLDAP=127.0.0.1

slaveLDAP="127.0.0.1"

slavePort="389"

# Master LDAP : needed for write operations

# Ex: masterLDAP=127.0.0.1

masterLDAP="127.0.0.1"

masterPort="389"

# Use TLS for LDAP

# If set to 1, this option will use start_tls for connetion

# (you should also used the port 389)

ldapTLS="0"

# How to verify the server's certificate (none, optional or require)

# see "man Net::LDAP" in start_tls section for more details

verify="require"

# CA certificate

# see "man Net::LDAP" in start_tls section for more details

cafile="/etc/smbldap-tools/ca.pem"

# certificate to use to connect to the ldap server

# see "man Net::LDAP" in start_tls section for more details

clientcert="/etc/smbldap-tools/smbldap-tools.pem"

# key certificate to use to connect to the ldap server

# see "man Net::LDAP" in start_tls section for more details

clientkey="/etc/smbldap-tools/smbldap-tools.key"

# LDAP Suffix

# Ex: suffix=dc=IDEALX,dc=ORG

suffix="dc=mydomain,dc=org"

# Where are stored Users

# Ex: usersdn="ou=Users,dc=IDEALX,dc=ORG"

usersdn="ou=Users,${suffix}"

# Where are stored Computers

# Ex: computersdn="ou=Computers,dc=IDEALX,dc=ORG"

computersdn="ou=Computers,${suffix}"

# Where are stored Groups

# Ex groupsdn="ou=Groups,dc=IDEALX,dc=ORG"

groupsdn="ou=Groups,${suffix}"

# Where are stored Idmap entries (used if samba is a domain member server)

# Ex groupsdn="ou=Idmap,dc=IDEALX,dc=ORG"

idmapdn="ou=Idmap,${suffix}"

# Where to store next uidNumber and gidNumber available

sambaUnixIdPooldn="sambaDomainName=mydomain,${suffix}"

#sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"

# Default scope Used

scope="sub"

# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)

hash_encrypt="MD5"

# if hash_encrypt is set to CRYPT, you may set a salt format.

# default is "%s", but many systems will generate MD5 hashed

# passwords if you use "$1$%.8s". This parameter is optional!

crypt_salt_format="%s"

##############################################################################

#

# Unix Accounts Configuration

# 

##############################################################################

# Login defs

# Default Login Shell

# Ex: userLoginShell="/bin/bash"

userLoginShell="/bin/bash"

# Home directory

# Ex: userHome="/home/%U"

userHome="/home/%U"

# Gecos

userGecos="System User"

# Default User (POSIX and Samba) GID

defaultUserGid="513"

# Default Computer (Samba) GID

defaultComputerGid="515"

# Skel dir

skeletonDir="/etc/skel"

# Default password validation time (time in days) Comment the next line if

# you don't want password to be enable for defaultMaxPasswordAge days (be

# careful to the sambaPwdMustChange attribute's value)

defaultMaxPasswordAge="99"

##############################################################################

#

# SAMBA Configuration

#

##############################################################################

# The UNC path to home drives location (%U username substitution)

# Ex: \\My-PDC-netbios-name\homes\%U

# Just set it to a null string if you want to use the smb.conf 'logon home'

# directive and/or disable roaming profiles

userSmbHome="\\My-PDC-netbios-name\home\%U"

# The UNC path to profiles locations (%U username substitution)

# Ex: \\My-PDC-netbios-name\profiles\%U

# Just set it to a null string if you want to use the smb.conf 'logon path'

# directive and/or disable roaming profiles

userProfile="\\My-PDC-netbios-name\profiles\%U"

# The default Home Drive Letter mapping

# (will be automatically mapped at logon time if home directory exist)

# Ex: H: for H:

userHomeDrive="P:"

# The default user netlogon script name (%U username substitution)

# if not used, will be automatically username.cmd

# make sure script file is edited under dos

# Ex: %U.cmd

# userScript="startup.cmd" # make sure script file is edited under dos

userScript="logon.bat"

# Domain appended to the users "mail"-attribute

# when smbldap-useradd -M is used

mailDomain="idealx.com"

##############################################################################

#

# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)

#

##############################################################################

# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but

# prefer Crypt::SmbHash library

with_smbpasswd="0"

smbpasswd="/usr/bin/smbpasswd"

# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)

# but prefer Crypt:: libraries

with_slappasswd="0"

slappasswd="/usr/sbin/slappasswd"
```

Hm, okay, soweit zu den configs die ich verwende. Vielleicht sollte ich noch sagen das ich möchte das der Rechner den Namen "server" bekommt und die Domäne "kanzlei" -> "server.kanzlei" .... leider gibt ein 

```
server ~ # uname -a

Linux server 2.6.18-hardened #1 Tue Feb 6 03:41:28 CET 2007 i686 AMD Duron(tm) AuthenticAMD GNU/Linux
```

 nur ein "server" aus, hmm.

Okay, jedenfalls klappt alles bis zu dem Anlegen der Datenbanken, bzw. dem Anlegen eines Users. Kann mir jemand bitte sagen was ich falsch gemacht habe?

PS: Falls jemand um Einträge aus der /var/log/messages erwartet, irgendwie loggt mein syslog-ng nicht, habe zwar alles korrekt installiert, aber syslog loggt nichts mit, muss irgendwie an den hardened Einstellungen liegen.

/etc/syslog-ng/syslog-ng.conf 

```
options { chain_hostnames(off); sync(0); };

#Quelle von der das Log gelesen werden soll

source src { unix-stream("/dev/log"); internal(); };

source kernsrc { file("/proc/kmsg"); };

#Ziele festlegen

destination authlog { file("/var/log/auth.log"); };

destination syslog { file("/var/log/syslog"); };

destination cron { file("/var/log/cron.log"); };

destination daemon { file("/var/log/daemon.log"); };

destination kern { file("/var/log/kern.log"); };

destination lpr { file("/var/log/lpr.log"); };

destination user { file("/var/log/user.log"); };

destination mail { file("/var/log/mail.log"); };

destination mailinfo { file("/var/log/mail.info"); };

destination mailwarn { file("/var/log/mail.warn"); };

destination mailerr { file("/var/log/mail.err"); };

destination newscrit { file("/var/log/news/news.crit"); };

destination newserr { file("/var/log/news/news.err"); };

destination newsnotice { file("/var/log/news/news.notice"); };

destination debug { file("/var/log/debug"); };

destination messages { file("/var/log/messages"); };

destination console { usertty("root"); };

destination console_all { file("/dev/tty12"); };

destination xconsole { pipe("/dev/xconsole"); };

#Filter erstellen

filter f_authpriv { facility(auth, authpriv); };

filter f_syslog { not facility(authpriv, mail); };

filter f_cron { facility(cron); };

filter f_daemon { facility(daemon); };

filter f_kern { facility(kern); };

filter f_lpr { facility(lpr); };

filter f_mail { facility(mail); };

filter f_user { facility(user); };

filter f_debug { not facility(auth, authpriv, news, mail); };

filter f_messages { level(info..warn)

        and not facility(auth, authpriv, mail, news); };

filter f_emergency { level(emerg); };

filter f_info { level(info); };

filter f_notice { level(notice); };

filter f_warn { level(warn); };

filter f_crit { level(crit); };

filter f_err { level(err); };

filter f_failed { match("failed"); };

filter f_denied { match("denied"); };

#Filter und Ziele verbinden

log { source(src); filter(f_authpriv); destination(authlog); };

log { source(src); filter(f_syslog); destination(syslog); };

log { source(src); filter(f_cron); destination(cron); };

log { source(src); filter(f_daemon); destination(daemon); };

log { source(kernsrc); filter(f_kern); destination(kern); };

log { source(src); filter(f_lpr); destination(lpr); };

log { source(src); filter(f_mail); destination(mail); };

log { source(src); filter(f_user); destination(user); };

log { source(src); filter(f_mail); filter(f_info); destination(mailinfo); };

log { source(src); filter(f_mail); filter(f_warn); destination(mailwarn); };

log { source(src); filter(f_mail); filter(f_err); destination(mailerr); };

log { source(src); filter(f_debug); destination(debug); };

log { source(src); filter(f_messages); destination(messages); };

log { source(src); filter(f_emergency); destination(console); };

#Standard-Protokoll

log { source(src); destination(console_all); };

```

----------

## Gucky_der_Mausbiber

kann mir den hier wirklich keiner helfen?!?

Bitte, ich weiß echt nicht weiter ...  :Confused: 

----------

## moe

Ich weiß zwar gerade ausm Kopf nicht wie, aber versuche mal den LDAP-Server zurückzusetzen, also mit nem leeren Datenbestand neu anzufangen.. Wenn ich die Fehlermeldng richtig deute, gibts bereits sambaDomainName vom Typ sambaDomain, was der script aber gerne als inetOrgPerson anlegen will (obwohl mich das wundert).

----------

## Gucky_der_Mausbiber

und jetzt eine wahrscheinlich ganz dumme Frage: Wie stelle ich den LDAP-Server zurück?

----------

## 2bbionic

Hallo,

schau doch mal unter /var/lib nach. Da sollte es ein Verzeichnis openldap-data geben...

Wenn gar nichts mehr hilft und Du noch keine Live-Daten drin hast, dann benenn das Verzeichnis mal um bzw. leere es. Danach sollte der LDAP-Server leer sein (und meckern), aber Du kannst ihn ja mit neuen Daten füllen.

Grüße,

2bbionic

----------

## Gucky_der_Mausbiber

Tja, leider hat das auch nix gebracht   :Confused: 

Auch wenn ich diese Ordner verschiebe/lösche bringt das keine änderung, ich bekomme immernoch die gleichen Fehler und kann keine User anlegen ...

Schade, aber wie es aussieht kann mir leider niemand hier helfen, bzw. weiß niemand wo der Fehler hier liegt und wie man ihn beseitigt .....

Also hat vielleicht doch noch wer eine Idee? Immerhin bin ich ja genau nach dem gentoo-Wiki-Howto vorgegangen und ich kann doch net der einzige sein mit einem Samba-(LDAP)-PDC??

Und wenn wirklich keiner mehr Rat weiß, hmm, dann ist das zwar sehr schlecht, aber leider nicht zu ändern ...

Vielleicht kann mir ja noch jemanden ne Seite sagen mit einem guten HowTo zu dem Thema oder allgemeinen infos zu LDAP, und zwar so das auch ein Anfänger das versteht ...

Ich bin euch schonmal im Vorraus dankbar ...

----------

## dmaus

@Gucky_der_Mausbiber: 

Ich habe morgen (Di, 13.02.07) ein Date mit meinem Samba-LDAP-PDC und schau mir mal dein Problem genauer an.

----------

## Gucky_der_Mausbiber

dafür wäre ich dir echt super dankbar ...    :Smile: 

----------

## dmaus

So, habe gerade dein Konfigurationsdateien mit meinen verglichen und konnte diesbezüglich nichts feststellen. Bei der Einrichtung meines PDCs bin ich übrigens auch genau nach dem HowTo vorgegangen.

Was mich allerdings stutzig macht:

 *Quote:*   

> entry dc=mydomain,dc=org already exist.
> 
> entry ou=Users,dc=mydomain,dc=org already exist.
> 
> entry ou=Groups,dc=mydomain,dc=org already exist.
> ...

 

Eigentlich sollten doch noch gar keine Einträge im LDAP-Verzeichnisbaum sein. Der Fehler von smbldap-populate kommt anscheinend so zustande, dass smbldap-populate 

1. eben auch bereits einen Eintrag "sambaDomainName" findet

2. ihn vom Typ "sambaDomain" in "inetOrgPerson" wandeln will

3. was nicht erlaubt ist.

Mal das LDAP-Verzeichnis nochmal leeren und smbldap-populate erneut ausführen:

```
/etc/init.d/slapd stop

cd /var/lib/openldap-ldbm

rm *

/etc/init.d/slapd start

smbldap-populate

```

Im HowTo habe ich auch erstmal keine Stelle gefunden, an der diese Einträge erzeugt werden.

----------

## Gucky_der_Mausbiber

Tieftraurig muss ich sagen das es nichts bringt, habe alles gemacht wie du geschrieben hast 

```
server ~ # /etc/init.d/slapd stop

 * WARNING:  slapd has not yet been started.

server ~ # cd /var/lib/openldap-ldbm

server openldap-ldbm # rm *

server openldap-ldbm # /etc/init.d/slapd start

 * Starting ldap-server ...                                                                                             [ ok ]

server openldap-ldbm # smbldap-populate

Populating LDAP directory for domain kanzlei (S-1-5-21-2385998794-886677818-3740541020)

(using builtin directory structure)

adding new entry: dc=mydomain,dc=org

adding new entry: ou=Users,dc=mydomain,dc=org

adding new entry: ou=Groups,dc=mydomain,dc=org

adding new entry: ou=Computers,dc=mydomain,dc=org

adding new entry: ou=Idmap,dc=mydomain,dc=org

adding new entry: uid=root,ou=Users,dc=mydomain,dc=org

adding new entry: uid=nobody,ou=Users,dc=mydomain,dc=org

adding new entry: cn=Domain Admins,ou=Groups,dc=mydomain,dc=org

adding new entry: cn=Domain Users,ou=Groups,dc=mydomain,dc=org

adding new entry: cn=Domain Guests,ou=Groups,dc=mydomain,dc=org

adding new entry: cn=Domain Computers,ou=Groups,dc=mydomain,dc=org

adding new entry: cn=Administrators,ou=Groups,dc=mydomain,dc=org

adding new entry: cn=Account Operators,ou=Groups,dc=mydomain,dc=org

adding new entry: cn=Print Operators,ou=Groups,dc=mydomain,dc=org

adding new entry: cn=Backup Operators,ou=Groups,dc=mydomain,dc=org

adding new entry: cn=Replicators,ou=Groups,dc=mydomain,dc=org

adding new entry: sambaDomainName=mydomain,dc=mydomain,dc=org

failed to add entry: naming attribute 'sambaDomainName' is not present in entry at /usr/sbin/smbldap-populate line 471, <GEN1> line 21.

Please provide a password for the domain root:

Changing password for root

New password :

Retype new password :
```

Wie man sieht taucht hier schon wieder der Fehler "failed to add entry ..." auf.

Okay, ich habe aber trotzdem mal versucht einen User anzulegen:

```
server openldap-ldbm # smbldap-useradd -a -m testuser

Error looking for next uid at /usr/sbin//smbldap_tools.pm line 993.

```

mit dem gleichen traurigen Ergebniss wie immer, es geht nicht.

Noch Ideen?

----------

## dmaus

Na, immerhin sind wir einen Schritt weiter. Der Fehler ist ein anderer

 *Quote:*   

> failed to add entry: naming attribute 'sambaDomainName' is not present in entry at /usr/sbin/smbldap-populate line 471, <GEN1> line 21. 

 

Ich schau nochmal die Konfigurationsdateien durch...

----------

## dmaus

Folgende Unterschiede von meinen zu deinen configs:

/etc/smbldap-tools/smbldap.conf

Bei dir: 

```
# Put your own SID

# to obtain this number do: net getlocalsid

SID="S-1-5-21-2385998794-886677818-3740541020"

...

# Where to store next uidNumber and gidNumber available

sambaUnixIdPooldn="sambaDomainName=mydomain,${suffix}"

#sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" 

```

Bei mir: 

```
# Put your own SID. To obtain this number do: "net getlocalsid".

# If not defined, parameter is taking from "net getlocalsid" return

SID="S-1-5-21-2551211035-1088448419-1409701892"

sambaDomain="STURANET-TNG"

...

# sambaUnixIdPooldn="sambaDomainName=IDEALX-NT,${suffix}"
```

Die Fehlermeldung kommt bei dem Befehl:

```
adding new entry: sambaDomainName=mydomain,dc=mydomain,dc=org
```

kommentier' doch mla "sambaUnixIdPooldn=usw" in der /etc/smbldap-tools/smbldap.conf aus. Das ist neben der /etc/openldap/slapd.conf die einzige Konfigurationsdatei, in der dieses Objekt vorkommt. Und in der slapd.conf steht es auch bei mir -- von daher mal das LDAP-Verzeichnis nochmal löschen, die Zeile in der smbldap.conf auskommentieren und auf ein neues!

----------

## Gucky_der_Mausbiber

*freu*

Also erstmal vielen Dank!!! Es scheint jetzt zu gehen, zumindest sind keine Fehler beim anlegen eines Users aufgetreten. Ich werde das ganze jetzt heute abend mal näher betrachten und checken ob auch alles so funktioniert wie es soll.

Aber bisdahin echtvielen Dank, ohne deine Hilfe wäre das nix geworden  :Smile: 

Aber, eine Frage habe jetzt dazu, diese Zeile die ich da weggelassen habe, ist die nicht irgendwo wichtig für das ganze System oder kann man das einfach so auskommentieren ohne das es Folgen hat?

Nicht das ich jetzt ewig mit dem System arbeite um dann irgendwann zu merken das nix mehr geht weil ich das weggelassen habe *fg*

Also bis dann .... ein glücklicher gentoo User

----------

## dmaus

 *Quote:*   

> Aber, eine Frage habe jetzt dazu, diese Zeile die ich da weggelassen habe, ist die nicht irgendwo wichtig für das ganze System oder kann man das einfach so auskommentieren ohne das es Folgen hat? 

 

Als mein Samba LDAP PDC läuft seit genau einem Jahr mit 60 Benutzern in 15 Gruppen - ohne Probleme  :Wink:  In meiner smbldap.conf war vor der besagten Zeile noch ein Kommentar:

```
# Where to store next uidNumber and gidNumber available for new users and groups

# If not defined, entries are stored in sambaDomainName object.

^^^^^^^^^^^^^^^^^^

# Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"

# Ex: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
```

Also wenn die Zeile nicht gesetzt ist, wird sambaUnixIdPooldn selbständig im sambaDomainName-Objekt gespeichert.

Auf jeden Fall alles genau durchchecken -- insbesondere, ob auch die Benutzerprofile vom Server geholt und auf den Server gespeichert werden. Dabei daran denken, dass Win2k/XP i.d.R. eine lokale Kopie des Profils auf der Workstation anlegt. Also: Benutzer X anmelden, eine beliebige Datei auf den Desktop speichern, Benutzer X abmelden, Admin anmelden, lokales Profil ggf. löschen, Admin abmelden, Benutzer anmelden. 

Ich schreibe das, weil ich letztes Jahr beim Aufsetzen des Samba-PDC enorme Probleme mit dem "charset"-Einstellungen in der smb.conf hatte. Um mich aus meiner Config mal selbst zu zitieren:

```
### File Naming Options

                ; NEVER MESS WITH THE CHARSETS!

                ; => Mit viel Zeit und Muße sind diese Optionen mal zu "debuggen" -

                ; jede Abweichungen von den Defaults führte zu Problemen beim Laden der

                ; Benutzerprofile (Profil wurde erstellt, aber nicht auf die Workstation

                ; geladen - das "frische" Profile der Workstation aber zurück auf den

                ; Server geschrieben... :-|)

##      preserve case                   =       yes

##      case sensitive                  =       yes

##      dos charset                     =       850

##      unix charset                    =       UTF8
```

Die Betonung liegt auf jede Abweichung: Sobald ich da manuell Werte eingetragen habe, konnten die Workstations die Profile nicht mehr laden, haben das "Default"-Profil von Win bekommen und das auf den Server zurückgeschrieben. 

Letztlich: Da Benutzer dazu "neigen", Dokumete auf den Desktop zu speichern solltest du den Desktop (und mglw. noch andere Ordner) auch auf das Home-Verzeichnis umlegen. Ansonsten sind die nämlich im Profile, dass beständig anwächst und immer länger zum Laden braucht.

----------

## Gucky_der_Mausbiber

Okay, also jetzt funktioniert alles so wie es soll, vielen Dank.   :Very Happy: 

Ja, sogar meine syslog-ng loggt wie er soll.

Jetzt habe ich aber trotz allem noch ein kleines "Problem" mit dem ganzen, leider. Und zwar habe ich beim hochfahren des Rechners das Problem das er ewig braucht weil nss_ldap keine Verbindung zum ldap-server bekommt. Hier mal ein Auszug aus meiner log-Datei

```
Feb 18 13:04:40 server md: bind<hdb2>

Feb 18 13:04:40 server md: running: <hdb2><hda2>

Feb 18 13:04:40 server raid1: raid set md2 active with 2 out of 2 mirrors

Feb 18 13:04:40 server md: considering hdb1 ...

Feb 18 13:04:40 server md:  adding hdb1 ...

Feb 18 13:04:40 server md:  adding hda1 ...

Feb 18 13:04:40 server md: created md1

Feb 18 13:04:40 server md: bind<hda1>

Feb 18 13:04:40 server md: bind<hdb1>

Feb 18 13:04:40 server md: running: <hdb1><hda1>

Feb 18 13:04:40 server raid1: raid set md1 active with 2 out of 2 mirrors

Feb 18 13:04:40 server md: ... autorun DONE.

Feb 18 13:04:40 server kjournald starting.  Commit interval 5 seconds

Feb 18 13:04:40 server EXT3-fs: mounted filesystem with ordered data mode.

Feb 18 13:04:40 server VFS: Mounted root (ext3 filesystem) readonly.

Feb 18 13:04:40 server Freeing unused kernel memory: 156k freed

Feb 18 13:04:40 server EXT3 FS on md3, internal journal

Feb 18 13:04:40 server kjournald starting.  Commit interval 5 seconds

Feb 18 13:04:40 server EXT3 FS on md4, internal journal

Feb 18 13:04:40 server EXT3-fs: mounted filesystem with ordered data mode.

Feb 18 13:04:40 server kjournald starting.  Commit interval 5 seconds

Feb 18 13:04:40 server EXT3 FS on md5, internal journal

Feb 18 13:04:40 server EXT3-fs: mounted filesystem with ordered data mode.

Feb 18 13:04:40 server Adding 497912k swap on /dev/md2.  Priority:-1 extents:1 across:497912k

Feb 18 13:04:42 server eth0: link up, 100Mbps, full-duplex, lpa 0x45E1

Feb 18 13:04:47 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:04:47 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:04:47 server named[4199]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...

Feb 18 13:04:48 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:04:48 server named[4199]: nss_ldap: reconnecting to LDAP server (sleeping 2 seconds)...

Feb 18 13:04:50 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:04:50 server named[4199]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...

Feb 18 13:04:54 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:04:54 server named[4199]: nss_ldap: reconnecting to LDAP server (sleeping 8 seconds)...

Feb 18 13:05:02 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:02 server named[4199]: nss_ldap: could not search LDAP server - Server is unavailable

Feb 18 13:05:02 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:02 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:02 server named[4199]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...

Feb 18 13:05:03 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:03 server named[4199]: nss_ldap: reconnecting to LDAP server (sleeping 2 seconds)...

Feb 18 13:05:05 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:05 server named[4199]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...

Feb 18 13:05:09 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:09 server named[4199]: nss_ldap: reconnecting to LDAP server (sleeping 8 seconds)...

Feb 18 13:05:17 server named[4199]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:17 server named[4199]: nss_ldap: could not search LDAP server - Server is unavailable

Feb 18 13:05:17 server named[4200]: starting BIND 9.3.4 -u named -n 1

Feb 18 13:05:17 server named[4200]: loading configuration from '/etc/bind/named.conf'

Feb 18 13:05:17 server named[4200]: listening on IPv4 interface eth0, 192.168.16.1#53

Feb 18 13:05:17 server process `named' is using obsolete setsockopt SO_BSDCOMPAT

Feb 18 13:05:17 server named[4200]: listening on IPv4 interface lo, 127.0.0.1#53

Feb 18 13:05:17 server named[4200]: command channel listening on 127.0.0.1#953

Feb 18 13:05:17 server named[4200]: zone 127.in-addr.arpa/IN: loaded serial 2002081601

Feb 18 13:05:17 server named[4200]: zone 192.168.16.in-addr.arpa/IN: loaded serial 2002100302

Feb 18 13:05:17 server named[4200]: zone kanzlei/IN: loaded serial 2002100308

Feb 18 13:05:17 server named[4200]: zone localhost/IN: loaded serial 2002081601

Feb 18 13:05:17 server named[4200]: running

Feb 18 13:05:18 server dhcpd: Wrote 1 leases to leases file.

Feb 18 13:05:20 server ntpd[4460]: ntpd 4.2.2p3@1.1577-o Thu Feb  8 10:19:44 UTC 2007 (1)

Feb 18 13:05:20 server ntpd[4461]: precision = 1.000 usec

Feb 18 13:05:20 server ntpd[4461]: Listening on interface wildcard, 0.0.0.0#123 Disabled

Feb 18 13:05:20 server ntpd[4461]: Listening on interface eth0, 192.168.16.1#123 Enabled

Feb 18 13:05:20 server ntpd[4461]: Listening on interface lo, 127.0.0.1#123 Enabled

Feb 18 13:05:20 server ntpd[4461]: kernel time sync status 0040

Feb 18 13:05:20 server slapd[4511]: @(#) $OpenLDAP: slapd 2.3.30 (Feb  7 2007 08:12:56) $       root@server:/var/tmp/portage/openldap-2.3.30-r2/work/openlda$

Feb 18 13:05:20 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:20 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:20 server slapd[4511]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...

Feb 18 13:05:21 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:21 server slapd[4511]: nss_ldap: reconnecting to LDAP server (sleeping 2 seconds)...

Feb 18 13:05:23 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:23 server slapd[4511]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...

Feb 18 13:05:27 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:35 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:35 server slapd[4511]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...

Feb 18 13:05:36 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:36 server slapd[4511]: nss_ldap: reconnecting to LDAP server (sleeping 2 seconds)...

Feb 18 13:05:38 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:38 server slapd[4511]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...

Feb 18 13:05:42 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:42 server slapd[4511]: nss_ldap: reconnecting to LDAP server (sleeping 8 seconds)...

Feb 18 13:05:50 server slapd[4511]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server

Feb 18 13:05:50 server slapd[4511]: nss_ldap: could not search LDAP server - Server is unavailable

Feb 18 13:05:52 server smbd[4569]: [2007/02/18 13:05:52, 0] printing/print_cups.c:cups_cache_reload(85)

Feb 18 13:05:52 server smbd[4569]:   Unable to connect to CUPS server localhost - Connection refused

Feb 18 13:05:52 server smbd[4569]: [2007/02/18 13:05:52, 0] printing/print_cups.c:cups_cache_reload(85)

Feb 18 13:05:52 server smbd[4569]:   Unable to connect to CUPS server localhost - Connection refused

Feb 18 13:05:53 server nmbd[4580]: [2007/02/18 13:05:53, 0] nmbd/nmbd_logonnames.c:add_logon_names(163)

Feb 18 13:05:53 server nmbd[4580]:   add_domain_logon_names:

Feb 18 13:05:53 server nmbd[4580]:   Attempting to become logon server for workgroup KANZLEI on subnet 192.168.16.1

Feb 18 13:05:53 server nmbd[4580]: [2007/02/18 13:05:53, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(290)

Feb 18 13:05:53 server nmbd[4580]:   become_domain_master_browser_bcast:

Feb 18 13:05:53 server nmbd[4580]:   Attempting to become domain master browser on workgroup KANZLEI on subnet 192.168.16.1

Feb 18 13:05:53 server nmbd[4580]: [2007/02/18 13:05:53, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(303)

Feb 18 13:05:53 server nmbd[4580]:   become_domain_master_browser_bcast: querying subnet 192.168.16.1 for domain master browser on workgroup KANZLEI

Feb 18 13:05:54 server sensord: sensord started

Feb 18 13:05:54 server sensord: Chip: via686a-isa-0c00

Feb 18 13:05:54 server sensord: Adapter: ISA adapter

Feb 18 13:05:54 server sensord:   CPU core: +1.70 V (min = +3.08 V, max = +3.10 V) [ALARM]

Feb 18 13:05:54 server sensord:   +2.5V: +0.37 V (min = +3.10 V, max = +3.10 V) [ALARM]

Feb 18 13:05:54 server sensord:   I/O: +3.48 V (min = +1.98 V, max = +4.13 V)

Feb 18 13:05:54 server sensord:   +5V: +5.13 V (min = +3.82 V, max = +6.44 V)

Feb 18 13:05:54 server sensord:   +12V: +12.01 V (min = +15.60 V, max = +11.71 V) [ALARM]

Feb 18 13:05:54 server sensord:   CPU Fan: 2710 RPM (min = 0 RPM, div = 2)

Feb 18 13:05:54 server sensord:   P/S Fan: 0 RPM (min = 11440 RPM, div = 2)

Feb 18 13:05:54 server sensord:   SYS Temp: 32.4 C (limit = 146 C, hysteresis = 54 C)

Feb 18 13:05:54 server sensord:   CPU Temp: 24.5 C (limit = 62 C, hysteresis = 59 C)

Feb 18 13:05:54 server sensord:   SBr Temp: 21.1 C (limit = 135 C, hysteresis = 146 C)

Feb 18 13:05:54 server sshd[4700]: Server listening on 0.0.0.0 port 22.

Feb 18 13:05:55 server cron[4759]: (CRON) STARTUP (V5.0)

Feb 18 13:05:57 server nmbd[4580]: [2007/02/18 13:05:57, 0] nmbd/nmbd_logonnames.c:become_logon_server_success(124)

Feb 18 13:05:57 server nmbd[4580]:   become_logon_server_success: Samba is now a logon server for workgroup KANZLEI on subnet 192.168.16.1

Feb 18 13:06:01 server nmbd[4580]: [2007/02/18 13:06:01, 0] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(113)

Feb 18 13:06:01 server nmbd[4580]:   *****

Feb 18 13:06:01 server nmbd[4580]:

Feb 18 13:06:01 server nmbd[4580]:   Samba server SERVER is now a domain master browser for workgroup KANZLEI on subnet 192.168.16.1

Feb 18 13:06:01 server nmbd[4580]:

Feb 18 13:06:01 server nmbd[4580]:   *****

Feb 18 13:06:16 server nmbd[4580]: [2007/02/18 13:06:16, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(396)

Feb 18 13:06:16 server nmbd[4580]:   *****

Feb 18 13:06:16 server nmbd[4580]:

Feb 18 13:06:16 server nmbd[4580]:   Samba name server SERVER is now a local master browser for workgroup KANZLEI on subnet 192.168.16.1

Feb 18 13:06:16 server nmbd[4580]:

Feb 18 13:06:16 server nmbd[4580]:   *****

```

Ich denke mal das sieht nach einem Problem bei der Reihenfolge der Dienste aus, aber ich bin mir nicht sicher und weiß auch nicht sicher wie ich das ändern könnte.

Kann mir dazu mal bitte einer weiterhelfen???

----------

## dmaus

Bekanntes Problem: verschiedene Programme/Dienste befragen den LDAP-Server nach ihren Systemnutzern, nur der Server läuft noch nicht. Dazu gibt es IIRC einige Workarounds -- mal die Forumssuche benutzen.

----------

## Gucky_der_Mausbiber

Okay, die Suche bringt viele Einträge dazu, jedoch keine klare Lösung.

Hmm, liegt aber wohl nicht an der Reihenfolge der Dienste sondern am Dienst selbst ^ ^

Zum einem wird geraden an die "/etc/ldap.conf" folgende Zeile anzufügen

```
nss_initgroups_ignoreusers root,ldap
```

Das hat aber leider schonmal nix gebracht.

Zum anderen weiß ich nicht was in der "/etc/nsswitch.conf" genau stehen muss, im HowTo wird das nämlich folgendermassen angegeben 

```
passwd:      compat ldap

shadow:      compat ldap

group:       compat ldap
```

und in den Foren wird folgendes benutzt 

```
passwd:      files ldap

shadow:      files ldap

group:       files ldap
```

Also wirklich schlau werde ich aus dem allem nicht ...

----------

## Gucky_der_Mausbiber

Hilfe ...

Kann mir wirklich keiner helfen? Habe die Forensuche ja benutzt und auch viele Einträge dazu gefunden, aber keine Lösung, bzw. keine einheitliche Lösung.

Und jetzt weiß ich nicht mehr was richtig ist und was nicht (weil überall steht was anderes) und vorallem braucht mein Rechner ne kleine Ewigkeit zum hochfahren ...

Bitte, helft mir ...

----------

## dmaus

 *Quote:*   

> Und jetzt weiß ich nicht mehr was richtig ist und was nicht (weil überall steht was anderes) und vorallem braucht mein Rechner ne kleine Ewigkeit zum hochfahren ... 

 

Ich habe das Problem so gelöst, dass ich einfach den Timeout für die LDAP-Anfragen runtergesetzt habe. Damit kommen die Warnungen zwar immernoch, aber der Rechner fährt vertretbar schnell hoch[1]. Wie wo ich das gemacht habe, kann ich dir wieder morgen sagen (dann sitze ich wieder vor der Maschine).

Diese Lösung:

```
nss_initgroups_ignoreusers root,ldap
```

klingt spannend. Da ich am Wochenende den PDC zum Warten runterfahre, probiere ich damit mal etwas rum. Meine Idee: Dieser Zeile die Benutzer aller Dienste hinzufügen, die vor OpenLDAP gestartet werden.

[1] Wobei er 24/7 läuft, also nur alle paar Monate aus Wartungsgründen neu startet.

----------

## 9000

 *Gucky_der_Mausbiber wrote:*   

> ...
> 
> Hmm, liegt aber wohl nicht an der Reihenfolge der Dienste sondern am Dienst selbst ^ ^
> 
> Zum einem wird geraden an die "/etc/ldap.conf" folgende Zeile anzufügen
> ...

 

Habe das auch inzwischen ausprobiert; es bringt schon 'Milderung', jedoch hängt dann immer noch das Startscript von slapd ziemlich lange fest und textet die Logdatei(en) zu.

Das hier (http://archives.gentoo.org/gentoo-user-de/msg_36227.xml) vorgeschlagene Downgrade auf nss_ldap-239-r1 hat bei mir den Fehler komplett behoben, finde das so am angenehmsten.

----------

