[Dovecot-de] Ldap Server Fehler führt zu Dovecot Ausfall (Timeout)

Philipp Faeustlin philipp.faeustlin at uni-hohenheim.de
Mi Jun 25 16:43:13 CEST 2014 

Hallo Lars,


Am 25.06.2014 16:07, schrieb Lars Täuber:
> Hallo Philipp,
>
> Wed, 25 Jun 2014 15:44:34 +0200
> Philipp Faeustlin <philipp.faeustlin at uni-hohenheim.de> ==> dovecot at listen.jpberlin.de :
>> Hallo zusammen,
>>
>> bei meinem Dovecot v2.2.13.9 habe ich passdb und userdb gegen Ldap
>> konfiguriert.
>>
>> Da ich ohne Authentifizierung nicht alle benötigten Attribute bekommen,
>> habe ich einen Auth Bind konfiguriert.
>> Sowie meine verfügbaren Ldap Server als Space seperated List, usw.
>>
>> uris = ldaps://ldap.uni-hohenheim.de:636
>> ldaps://ldap1.uni-hohenheim.de:636 ldaps://ldap2.uni-hohenheim.de:636
>>
>> Soweit ist alles in Ordnung und die UserDB und PassDB abfragen
>> funktionieren.
>>
>> Jetzt hab ich zum Test per Iptables den ersten Ldap Server abgeklemmt,
>> um einen Ausfall des Servers zu simulieren.
>>
>> Dann geht nichts mehr.
>> doveadm user benutzername
>> doveadm(root): Error: userdb lookup(benutzername): Connecting timed out
>
> vermutlich wird hier die Ursache erklärt:
> http://wiki2.dovecot.org/AuthDatabase/LDAP?highlight=%28uris%29
>
> uris: A space separated list of LDAP URIs to connect to. This isn't supported by all LDAP libraries.  [...]

Uris sollten nicht das Problem sein, da es bei Postfix auch geht. Hier 
wird auch gewechselt wenn einer nicht erreichbar ist.
>
> If multiple LDAP servers are specified, it's decided by the LDAP library how the server connections are handled. Typically the first working server is used, and it's never disconnected from. So there is no load balancing or automatic reconnecting to the "primary" server.
>
Das hatte ich noch nicht gesehen.
Das bedeutet ja dann eigentlich, dass ich die OpenLdap Konfiguration 
bearbeiten muss. ("decided by the LDAP library")
Oder versteh ich das falsch.
Dass es gar keine Einstellmöglichkeit gibt kann ich mir nicht vorstellen.

Gruß Philipp
>
>
> Grüße
> Lars
>
>>
>> maillog:
>> ------------
>> dovecot: master: Error: service(auth): Initial status notification not
>> received in 30 seconds, killing the process
>> dovecot: auth: Fatal: master: service(auth): child 10010 killed with
>> signal 9auth: Debug: Loading modules from directory: /usr/lib64/dovecot/auth
>> dovecot: auth: Debug: Module loaded:
>> /usr/lib64/dovecot/auth/libdriver_mysql.so
>> dovecot: auth: Debug: Module loaded:
>> /usr/lib64/dovecot/auth/libdriver_pgsql.so
>> dovecot: auth: Debug: Module loaded:
>> /usr/lib64/dovecot/auth/libdriver_sqlite.so
>> dovecot: auth: Debug: Loading modules from directory:
>> /usr/lib64/dovecot/auth
>> dovecot: auth: Debug: Module loaded:
>> /usr/lib64/dovecot/auth/libauthdb_ldap.so
>> dovecot: auth: Debug: Read auth token secret from
>> /var/run/dovecot/auth-token-secret.dat
>> -------------
>>
>> Versuch ich den Dovecot neu zu starten, wenn der Ldap Server fehlt, dann
>> bekomme ich folgendes:
>> ----------------------
>> Stopping Dovecot Imap:                                     [  OK  ]
>> Starting Dovecot Imap: Error: service(auth): Socket already exists:
>> /var/run/dovecot/auth-login
>> Error: service(auth): Socket already exists: /var/run/dovecot/auth-client
>> Error: service(auth): Socket already exists: /var/run/dovecot/auth-userdb
>> Error: service(auth): Socket already exists: /var/run/dovecot/auth-master
>> Error: service(auth): Socket already exists: /var/spool/postfix/private/auth
>> Fatal: Failed to start listeners
>>                                                              [FAILED]
>> ---------------------
>> Nach einem weiteren "service dovecot start" startet er dann wieder,
>> aber abfragen gehen immer noch keine, obwohl er zwei funktionierende und
>> erreichbare Ldap Server zur Verfügung hätte.
>>
>>
>> ---------------------
>> ---------------------
>> Weiß jemand wie ich das Problem lösen kann?
>>
>> Ich dachte daran, Timeouts anzupassen, aber ich hab in der Dovecot
>> Dokumentation und Konfiguration keine Informationen dazu gefunden.
>>
>> Kann mir jemand sagen, wo ich Timeouts für die Ldap Anfragen einstellen
>> kann?
>>
>> Oder hab ich einen allgemeinen Fehler in meinem Denkansatz?
>>
>>
>> Mit freundlichen Grüßen
>>
>> Philipp Fäustlin
>>
>> _______________________________________________
>> Dovecot Mailingliste
>> JPBerlin - Politischer Provider
>> Dovecot at listen.jpberlin.de
>> https://listen.jpberlin.de/mailman/listinfo/dovecot
>
>

-- 
Philipp Fäustlin
Universität Hohenheim
Kommunikations-, Informations- und Medienzentrum (630)
IT-Dienste | Abt. Kommunikation, E-Learning u. Print | Mail

Schloss, Westhof Süd | 70599 Stuttgart
Tel.: +49 711 459-22838 | Fax: +49 711 459-23449
https://kim.uni-hohenheim.de/

Mehr Informationen über die Mailingliste Dovecot