das Böse aus dem Erdgeschoss

Die Leiden des kleinen Admins

3 mal LDAP = riesen Schmerz

Ja die Projekte die man sich selbst zusammenstellt, sind meist die, bei dennen man nichts abgeben und alles selber machen muss.

Mein derzeitiges Projekt ist aus 2 OpenLDAP ein RHDS zu machen. Klingt nicht so schwierig? Ja das dachte ich am Anfang auch.Solchen Projekten hängt aber noch so einiges an:

  1. Die Stabilität darf nicht geringer werden als bisher
  2. die Qualität der Anbindung darf nicht verschlechtert werden
  3. Altlasten und alte Fehler sollten am besten nicht mit migriert werden.

Ja und beim letzten Punkt liegt der Hund begraben.

Okay einige organisatorische Hürden haben wir schon genommen. Verhältnismäßig schmerzlos muss ich gestehen.

Aber der große Hammer und dorn im Auge war, dass wir unsere OU’s in denen die User liegen sprechend statt eindeutig gemacht haben. Okay jetzt haben wir aber group-of-names für unsere Serveranbindung zu verwenden.Genau hier wird es kompliziert. Ich kann die User nur offline importieren, da ich Metafelder bearbeiten muss die per ldapmodify so nicht zulässig sind, wie zum Beispiel die Passworthistory. Obwohl das war bei openLDAP so, ob der FedoraDS/RHDS genauso reagiert werde ich bald sehen.

Also mein Problem:

  • die OUs müssen umbenannt werden.
    • deshalb verändert sich das DN jedes Benutzers
    • deshalb muss ich alle member in den Gruppen ändern
  • ich habe eine Liste alt => neu, aber das ursprüngliche Alt ist LDAP OU tauglich maskiert wurden.
  • muss ich erst OUs und die User importieren, um für die Gruppen die richtigen ldapsearches machen kann.
  • hat der LDAP Standard diese blöde Richtlinie alles nach 80 Zeichen um zu brechen, was das ganze sehr sehr schwierig macht.
  • Weiß ich nicht ob ich ein LDIF Exporter/Manipulator oder einen LDAP => LDAP Wrapper schreiben soll.
  • muss es so allgemein sein, dass ich es später nochmal wiederholen kann.
  • habe ich wie immer Zeitdruck, obwohl.. it’s done when it’s done
Advertisements

Mittwoch, 9.07.2008 20:02 Posted by | Linux | , | Hinterlasse einen Kommentar

Arbeitsverweigerung

OpenLDAP 2.3 mit seinem slapo_ppolicy geht mir derzeit tierisch gegen den Strich.

Esrt will ich einem armen Kollegen helfen und die pwdFailureTime zurücksetzten, da bekomme ich sogar als rootdn eins auf die Finger von wegen nicht berechtigt.

Okay, es ist ein internes Feld, da könnte man dererlei Eigenheiten mal gerade eben noch verzeihen.

Heute hat es aber ein Slave übertrieben. Man möchte meinen, das dankt der neuen LDAP-Replika (syncrepl) er eine Ahnung haben könnte wer der Master ist, aber nein was sagt der ldapadd da netter weise zu mir, seinem Admin also Herr und Meister?

Server is unwilling to perform (53)
additional info: shadow  context; no  udate referral

Ein “ ich habe schlechte Laune und kann dich grad nicht leiden.“ hätte es auch getan.

Donnerstag, 27.03.2008 08:13 Posted by | Linux | , , , | 1 Kommentar