[Dovecot-de] Ldap Server Fehler führt zu Dovecot Ausfall (Timeout)

Lars Täuber taeuber at bbaw.de
Mi Jun 25 17:04:06 CEST 2014


Hallo Philipp,

Wed, 25 Jun 2014 16:43:13 +0200
Philipp Faeustlin <philipp.faeustlin at uni-hohenheim.de> ==> dovecot at listen.jpberlin.de :
> Hallo Lars,
> 
> 
> Am 25.06.2014 16:07, schrieb Lars Täuber:
> > Hallo Philipp,
> >
> > Wed, 25 Jun 2014 15:44:34 +0200
> > Philipp Faeustlin <philipp.faeustlin at uni-hohenheim.de> ==> dovecot at listen.jpberlin.de :
> >> Hallo zusammen,
> >>
> >> bei meinem Dovecot v2.2.13.9 habe ich passdb und userdb gegen Ldap
> >> konfiguriert.
> >>
> >> Da ich ohne Authentifizierung nicht alle benötigten Attribute bekommen,
> >> habe ich einen Auth Bind konfiguriert.
> >> Sowie meine verfügbaren Ldap Server als Space seperated List, usw.
> >>
> >> uris = ldaps://ldap.uni-hohenheim.de:636
> >> ldaps://ldap1.uni-hohenheim.de:636 ldaps://ldap2.uni-hohenheim.de:636
> >>
> >> Soweit ist alles in Ordnung und die UserDB und PassDB abfragen
> >> funktionieren.
> >>
> >> Jetzt hab ich zum Test per Iptables den ersten Ldap Server abgeklemmt,
> >> um einen Ausfall des Servers zu simulieren.
> >>
> >> Dann geht nichts mehr.
> >> doveadm user benutzername
> >> doveadm(root): Error: userdb lookup(benutzername): Connecting timed out
> >
> > vermutlich wird hier die Ursache erklärt:
> > http://wiki2.dovecot.org/AuthDatabase/LDAP?highlight=%28uris%29
> >
> > uris: A space separated list of LDAP URIs to connect to. This isn't supported by all LDAP libraries.  [...]
> 
> Uris sollten nicht das Problem sein, da es bei Postfix auch geht. Hier 
> wird auch gewechselt wenn einer nicht erreichbar ist.
> >
> > If multiple LDAP servers are specified, it's decided by the LDAP library how the server connections are handled. Typically the first working server is used, and it's never disconnected from. So there is no load balancing or automatic reconnecting to the "primary" server.
> >
> Das hatte ich noch nicht gesehen.
> Das bedeutet ja dann eigentlich, dass ich die OpenLdap Konfiguration 
> bearbeiten muss. ("decided by the LDAP library")

vielleicht ist das hier eine Lösung:
http://www.linuxquestions.org/questions/linux-enterprise-47/ldap-failover-timeout-client-setting-847718/

Getestet habe ich's nicht.


Grüße
Lars

> Oder versteh ich das falsch.
> Dass es gar keine Einstellmöglichkeit gibt kann ich mir nicht vorstellen.
> 
> Gruß Philipp


Mehr Informationen über die Mailingliste Dovecot