[Lism-users 138] Re: Active Directory ・OpenLDAP間のユーザ情報同期エラー

Back to archive index

Kaoru Sekiguchi sekig****@secio*****
2008年 8月 29日 (金) 11:02:53 JST


山口さん

関口です。

>
>> それから、LDAPのコネクションエラーについては、handler内で起きているので
>>> <rewritemap name="reqcn" type="ldap" ...>
>> 部分の設定が間違っていて、LDAPサーバに接続できていないのではないでしょう
> か。
>
> 上記については、同じ設定ファイル&環境で発生する場合と発生しない場合があり
> ます。
> このエラーが発生した時の影響も不明です。
> (結果は問題無いように見えます)
> 何か原因および影響が考えられますでしょうか?
>
LISMからADへのLDAP接続が切れたということなので、ネットワーク関連かもしれません。 

接続が切れていても再接続するようになっているので、ネットワークかADがダウンしていなければ問題ないと思います。

>
> また、技術資料の手順通りLISMのマスタデータのパスワードを変更したところ、
> 追加したuserPassword attributeがOpenLDAPには反映されましたが、
> ADには反映されません。
> 下記のエラーメッセージが出力されていました。
> どのような原因が考えられますでしょうか?
>
> Aug 28 13:44:16 lism LISM[19917]: type=modify dn="cn=aime
> bacus,ou=People,ou=ad,dc=alliance,dc=com,dc=ph" result=20 userpassword:+
> modifytimestamp:=20080828134416Z
> Aug 28 13:44:16 lism LISM[19917]: Synchronizing AD failed: error code(20)
> Aug 28 13:44:16 lism LISM[19917]: type=modify
> dn="uid=aime,ou=people,ou=master,dc=alliance,dc=com,dc=ph" result=0
> userPassword:+ modifytimestamp:=20080828134416Z
>
エラーコードは、LDAPのエラーコードになっており、20は値が既に存在する状態で、さらに同じ値を追加しようとした場合です。
OpenLDAPにはパスワードがなく、ADにはパスワードが存在する状態で、パスワードをaddしたためだと思います。
技術資料で属性のaddをしていましたが、これは正しくなく、replaceをすべきでした。以下のようなLDIFでldapmodifyしてみてください。
dn: uid=aime,...
changetype: modify
replace: userPassword
userPassword: <パスワード>
資料の方は修正しておきます。




Lism-users メーリングリストの案内
Back to archive index