====== Que faire quand le service LDAP ne marche pas ======

===== Points à vérifier =====

Liste non-exhaustive des points à vérifier :

  * redémarrer le service client : apache, samba, ....
  * vérifier que le service client fonctionne : voir les logs, les messages à l'écran, l'erreur peut venir d'ailleurs.
  * vérifier quel serveur (serveur maître ou serveur(s) esclave(s)) est interrogé dans la configuration du service
et qu'il est accessible.
  * lancer un interrogation en ligne de commande pour tester si la connexion au LDAP fonctionne, si la réponse est correcte alors le LDAP fonctionne : 
(On utilise pour cela le client ldapsearch installé par le paquet ldap-utils).

<box 75% round>
<code bash>
# -ZZ force l'utilisation de TLS, vous pouvez l'enlever pour tester en clair
ldapsearch -LLL -ZZ -x -h ldap-maitre.guim.info -b "dc=guim,dc=info" uid=mathieu uid sn
ldapsearch -LLL -ZZ -x -h replica.guim.info -b "dc=guim,dc=info" uid=mathieu uid sn
</code>
</box>

  * la connexion est-elle en TLS ? Si oui, est-ce que le certificat est bien référencé dans la configuration ?
  * Peut-on se connecter en web/ssh/ping sur le serveur ldap concerné ? Si non, c'est sûrement la configuration réseau du client qui est problématique.

===== Script utile =====

Voici un script bash qui permet de tester la connectivité au service LDAP, il interroge le serveur désigné, puis vérifie s'il le nom d'hote est un alias DNS auquel cas il interroge les //vrais// serveurs :

<box 75% round>
<code bash>
#!/bin/bash
# check-ldap.sh - test la connexion au ldap
function connect {
	ip_addr=$1
	tls=${2:+"-ZZ"}
	cmd=$(ldapsearch -LLL -x -h ${ip_addr} ${tls} -b "dc=guim,dc=info" uid=mathieu uid 2> /dev/null)
	if [ $? -eq 0 ]; then
		echo "   Connexion en ${2:-clair} : OK"
	else
		echo "   Connexion en ${2:-clair} : ERREUR"
	fi
}
host=${1:-'ldap.guim.info'}
echo "Serveur : ${host}"
connect ${host}
connect ${host} "tls"
ping -c 1 ${host} | awk '/icmp_seq/ {print "   Ping "$8" "$9}'
if [ $(host ${host} | grep 'address' | wc -l) -gt 1 ]; then
	nslookup ${host} | awk '/Address/ && !/#/ {print $2}' | while read ip; do
		echo " "
		fqdn=$(nslookup ${ip} | awk '/name =/ {print $4}')
		echo "=> $ip = ${fqdn}"
		connect ${ip}
		connect ${fqdn%.} "tls"
		ping -c 1 ${fqdn%.} | awk '/icmp_seq/ {print "   Ping "$8" "$9}'
	done
fi
</code>
</box>

===== Trop de fichiers ouverts =====

En vérifiant le fichier /var/log/slapd.log, on voit apparaître l'erreur suivante à plusieurs reprise :

<box 75% round|/var/log/slapd.log>
<file>
Jan 24 15:05:12 ldap slapd[2102]: daemon: accept(7) failed errno=24 (Too many open files)
</file>
</box>

La commande "ulimit -a" retourne :

<box 75% round>
<file>
core file size        (blocks, -c) 0
data seg size         (kbytes, -d) unlimited
file size             (blocks, -f) unlimited
max locked memory     (kbytes, -l) unlimited
max memory size       (kbytes, -m) unlimited
open files                    (-n) 1024
pipe size          (512 bytes, -p) 8
stack size            (kbytes, -s) 8192
cpu time             (seconds, -t) unlimited
max user processes            (-u) unlimited
virtual memory        (kbytes, -v) unlimited
</file>
</box>

La commande suivante donne le nombre de fichiers ouvert par slapd :

<box 75% round>
<code bash>
ls -1 /proc/`pidof slapd`/fd | wc -l
40 
</code>
</box>

===== Modification d'un mot de passe =====

Création d'un ldif pour la modification d'un attribut :
<box 75% round>
<file>
dn: uid=toto,ou=people,dc=guim,dc=info
changetype: modify
replace: userpassword
userpassword: {SSHA}60aL/VKV1/5jOIBErjLvrY+rRY8ilo2n
-

</file>
</box>

Utilisation de ldapmodify pour modifier :
<box 75% round>
<code>
sudo ldapmodify -x -W -D "cn=admin,dc=guim,dc=info" -h localhost -f fichier.ldif
</code>
</box>

  * -x : authentification sans SASL
  * -W : prompt du mot de passe
  * -D "dn" : compte pour se connecter au ldap