Hallo Gohmann,
besten Dank für die Hinweise. Die Variable ldap/server/addition bewirkt tatsächlich dass ein zusätzlicher LDAP Server in die entsprechenden Konfigurationen geschrieben wird (libnss, pam, samba, postfix etc pp). Soweit so gut und das Resultat sieht ganz wie eine “normale” Linux LDAP Konfiguration aus.
Aber:
a) Auf einem Member Server kann ich die Variable nicht setzen, Fehler is overridden by scope ldap, ganzer Output:
root@v5148:/# ucr set ldap/server/addition="v5078.intra.balsec.ch"
Setting ldap/server/addition
W: ldap/server/addition is overridden by scope "ldap"
File: /etc/pam.d/smtp
Multifile: /etc/postfix/ldap.virtualwithcanonical
File: /etc/pam_ldap.conf
File: /etc/krb5.conf
Multifile: /etc/postfix/ldap.virtual
Multifile: /etc/postfix/ldap.canonicalrecipient
Multifile: /etc/postfix/ldap.transport
File: /etc/libnss-ldap.conf
Multifile: /etc/postfix/ldap.saslusermapping
Multifile: /etc/postfix/ldap.virtualdomains
Multifile: /etc/postfix/ldap.distlist
Multifile: /etc/postfix/ldap.groups
Multifile: /etc/postfix/ldap.sharedfolderlocal
Multifile: /etc/postfix/ldap.sharedfolderremote
Multifile: /etc/samba/smb.conf
Multifile: /etc/postfix/ldap.canonicalsender
File: /etc/ldap/ldap.conf
b) Auf einem Domain Backup Server kann ich die Variable setzen, aber das Verhalten ändert sich nicht, d.h. es können keine LDAP bezogenen Infos wie DNS, Benutzer oder Gruppen im UMC (Management Console / GUI) angeschaut werden.
Zudem ist die libnss, pam etc Konfiguration korrekt! Dort steht nicht der Domain Master drin, sondern der Domain Backup Server! Somit wäre ein Eintrag unter ldap/server/addition nur für einen zweiten oder dritten Backup Server relevant!
Könnte es sein, dass Kerberos das Problem ist?
Das Gute ist, DNS funktioniert, auch wenn der Master down ist (natürlich mit 2 DNS Einträgen, auf Master und auf Backup IP zeigend).
Wieso kann ich die Variable auf einem Domain Member nicht setzen? Was heisst “overrriden by scope ldap”
Grüsse, Radim