slapd.conf !!!

Calculate Русский
1

Последнее обновление принесло мне ещё один сюрприз.
slapd.conf - после обновления

#
 # See slapd.conf(5) for details on configuration options.
 # This file should NOT be world readable.
#
include     /etc/openldap/schema/core.schema

 # Define global ACLs to disable default read access.

 # Do not enable referrals until AFTER you have a working directory
 # service AND an understanding of referrals.
#referral   ldap://root.openldap.org

pidfile     /run/openldap/slapd.pid
argsfile    /run/openldap/slapd.args

 # Load dynamic backend modules:
 # modulepath   /usr/lib64/openldap/openldap
 # moduleload   back_sock.so
 # moduleload   back_shell.so
 # moduleload   back_relay.so
 # moduleload   back_passwd.so
 # moduleload   back_null.so
 # moduleload   back_monitor.so
 # moduleload   back_meta.so
 # moduleload   back_mdb.so
 # moduleload   back_ldap.so
 # moduleload   back_dnssrv.so

 # Sample security restrictions
#   Require integrity protection (prevent hijacking)
#   Require 112-bit (3DES or better) encryption for updates
#   Require 63-bit encryption for simple bind
 # security ssf=1 update_ssf=112 simple_bind=64

 # Sample access control policy:
#   Root DSE: allow anyone to read it
#   Subschema (sub)entry DSE: allow anyone to read it
#   Other DSEs:
#       Allow self write access
#       Allow authenticated users read access
#       Allow anonymous users to authenticate
#   Directives needed to implement policy:
 # access to dn.base="" by * read
 # access to dn.base="cn=Subschema" by * read
 # access to *
#   by self write
#   by users read
#   by anonymous auth
#
 # if no access controls are present, the default policy
 # allows anyone and everyone to read anything but restricts
 # updates to rootdn.  (e.g., "access to * by * read")
#
 # rootdn can always read and write EVERYTHING!

#######################################################################
 # BDB database definitions
#######################################################################

database    hdb
suffix      "dc=my-domain,dc=com"
 #         <kbyte> <min>
checkpoint  32  30 
rootdn      "cn=Manager,dc=my-domain,dc=com"
 # Cleartext passwords, especially for the rootdn, should
 # be avoid.  See slappasswd(8) and slapd.conf(5) for details.
 # Use of strong authentication encouraged.
rootpw      secret
 # The database directory MUST exist prior to running slapd AND 
 # should only be accessible by the slapd and slap tools.
 # Mode 700 recommended.
directory   /var/lib/openldap-data
 # Indices to maintain
index   objectClass eq

После перезапуска файло-сервера отвалилась самба.
Восстановил slapd.conf из бэкапа, перезапустил. Всё заработало.
Проверил slapd.conf на остальных серверах. История такая же!

Что за обновление такое?

2

Какая версия утилит? Какой командой обновляете систему?

3

Версия утилит на тот момент была 3.4.7.15
Обновляю систему командой cl-update

4

Утилиты sys-apps/calculate-server не поддерживают интеграцию с пакетным менеджером. Получилось так, что пакетный менеджер видя изменившийся дефолтный конфиг предложил переписать настройки. Проблема усугубилась с появлением в утилите cl-update поддержки обновления конфигурационных файлов.

Вы можете восстановить настройки утилитой “cl-update-server”.
Пример:

cl-update-server samba

В ближайшее время мы исправим эту проблему, добавив в пакет sys-apps/calculate-server скрипт, который будет по аналогии с Samba-сервером добавлять расширение ‘origin’ (/etc/samba/smb.conf.default) в дефолтные настройки. Изменения коснутся только систем с установленным пакетом серверных утилит. Обновление появится в ближайшее время.

5

А, может сделать ещё дополнительно сохранение предыдущей версии конфига при его обновлении? Чтобы в случае чего откатиться было проще. Ну, там ключик для cl-update --backup, к примеру.
Это же не сложно в скрипте строчку написать копирования файла. Причём, если такой файл, к примеру slapd.conf.back существует, то его просто перезаписывать.

6

Да, можно. Но это не критично, т.к. конфиги не переписываются на автомате. Перед обновлением вы видите все изменения и принимаете решение использовать новые настройки или нет.