[Dovecot-de] Ldap Server Fehler führt zu Dovecot Ausfall (Timeout)
Philipp Faeustlin
philipp.faeustlin at uni-hohenheim.de
Do Jun 26 15:40:04 CEST 2014
Hallo Lars,
Am 25.06.2014 17:04, schrieb Lars Täuber:
> Hallo Philipp,
>
> Wed, 25 Jun 2014 16:43:13 +0200
> Philipp Faeustlin <philipp.faeustlin at uni-hohenheim.de> ==> dovecot at listen.jpberlin.de :
>> Hallo Lars,
>>
>>
>> Am 25.06.2014 16:07, schrieb Lars Täuber:
>>> Hallo Philipp,
>>>
>>> Wed, 25 Jun 2014 15:44:34 +0200
>>> Philipp Faeustlin <philipp.faeustlin at uni-hohenheim.de> ==> dovecot at listen.jpberlin.de :
>>>> Hallo zusammen,
>>>>
>>>> bei meinem Dovecot v2.2.13.9 habe ich passdb und userdb gegen Ldap
>>>> konfiguriert.
>>>>
>>>> Da ich ohne Authentifizierung nicht alle benötigten Attribute bekommen,
>>>> habe ich einen Auth Bind konfiguriert.
>>>> Sowie meine verfügbaren Ldap Server als Space seperated List, usw.
>>>>
>>>> uris = ldaps://ldap.uni-hohenheim.de:636
>>>> ldaps://ldap1.uni-hohenheim.de:636 ldaps://ldap2.uni-hohenheim.de:636
>>>>
>>>> Soweit ist alles in Ordnung und die UserDB und PassDB abfragen
>>>> funktionieren.
>>>>
>>>> Jetzt hab ich zum Test per Iptables den ersten Ldap Server abgeklemmt,
>>>> um einen Ausfall des Servers zu simulieren.
>>>>
>>>> Dann geht nichts mehr.
>>>> doveadm user benutzername
>>>> doveadm(root): Error: userdb lookup(benutzername): Connecting timed out
>>>
>>> vermutlich wird hier die Ursache erklärt:
>>> http://wiki2.dovecot.org/AuthDatabase/LDAP?highlight=%28uris%29
>>>
>>> uris: A space separated list of LDAP URIs to connect to. This isn't supported by all LDAP libraries. [...]
>>
>> Uris sollten nicht das Problem sein, da es bei Postfix auch geht. Hier
>> wird auch gewechselt wenn einer nicht erreichbar ist.
>>>
>>> If multiple LDAP servers are specified, it's decided by the LDAP library how the server connections are handled. Typically the first working server is used, and it's never disconnected from. So there is no load balancing or automatic reconnecting to the "primary" server.
>>>
>> Das hatte ich noch nicht gesehen.
>> Das bedeutet ja dann eigentlich, dass ich die OpenLdap Konfiguration
>> bearbeiten muss. ("decided by the LDAP library")
>
> vielleicht ist das hier eine Lösung:
> http://www.linuxquestions.org/questions/linux-enterprise-47/ldap-failover-timeout-client-setting-847718/
Danke war ein guter Anfang, dazu noch ein bisschen Recherche und "man 5
ldap.conf" und daraus hab ich folgendes in meiner ldap.conf gesetzt:
BIND_POLICY soft
TIMELIMIT 5
NETWORK_TIMEOUT 5
TIMEOUT 8
Die Werte habe ich recht kein gewählt, damit eventuell früher zum
nächsten Server gewechselt wird.
Ob sich die Werte unter Last bewähren kann ich noch nicht sagen.
>
> Getestet habe ich's nicht.
>
>
> Grüße
> Lars
>
>> Oder versteh ich das falsch.
>> Dass es gar keine Einstellmöglichkeit gibt kann ich mir nicht vorstellen.
>>
>> Gruß Philipp
> _______________________________________________
> Dovecot Mailingliste
> JPBerlin - Politischer Provider
> Dovecot at listen.jpberlin.de
> https://listen.jpberlin.de/mailman/listinfo/dovecot
>
--
Philipp Fäustlin
Universität Hohenheim
Kommunikations-, Informations- und Medienzentrum (630)
IT-Dienste | Abt. Kommunikation, E-Learning u. Print | Mail
Schloss, Westhof Süd | 70599 Stuttgart
Tel.: +49 711 459-22838 | Fax: +49 711 459-23449
https://kim.uni-hohenheim.de/
Mehr Informationen über die Mailingliste Dovecot