Démarrage serveur LDAP impossible depuis MàJ DSM 6.0

[Just1]

Bonjour à tous,

Ce matin j'ai mis à jour vers DSM 6.0 un serveur Synology RS812+ qui tournait jusque là sous DSM 5.x . Le serveur LDAP n'est malheureusement plus accessible depuis... Après mise à jour des nombreux paquets incompatibles DSM 6.0, la situation ne s'améliore pas.

Lorsque je vais sur la page du paquet Directory Server, la case "activer le serveur LDAP" est cochée. Je décoche et j'applique, puis je recoche et j'applique, et là j'ai un message "Identifiants non valides. Veuillez vérifier votre nom compte et mot de passe." (je suis en mode "provider"). Je suppose qu'il s'agit du FQDN et du mot de passe car il n'y a rien d'autre, mais ces paramètres n'ont jamais été modifiés ! De toute façon je ne vois pas en quoi ils pourraient être "invalides" puisque c'est moi qui les définis.

Bref je suis coincé, l'accès aux fichiers est impossible pour tous les utilisateurs ainsi que d'autres services liés au LDAP. Les boules !

Qui peut m'aider ?

[Fenrir]

Certains paquets se mettent mal à jour, il faut les supprimer complétement avant de les réinstaller pour qu'ils fonctionnent.

Essaye ceci :

1. Commence par sauvegarder ton annuaire => vérifie bien que la sauvegarde est valide (le .sbk est un tar qui contient un tar.gz qui contient ton annuaire en ldif)
2. Supprime le paquet
3. Réinstalle le
4. Essaye de créer un compte simple pour tester
   1. si c'est ok => restaure ta sauvegarde
   2. sinon => il va falloir creuser

[lvdtime]

 

Le 4/4/2016 at 11:31, Just1 a dit :

Bonjour à tous,

Ce matin j'ai mis à jour vers DSM 6.0 un serveur Synology RS812+ qui tournait jusque là sous DSM 5.x . Le serveur LDAP n'est malheureusement plus accessible depuis... Après mise à jour des nombreux paquets incompatibles DSM 6.0, la situation ne s'améliore pas.

Lorsque je vais sur la page du paquet Directory Server, la case "activer le serveur LDAP" est cochée. Je décoche et j'applique, puis je recoche et j'applique, et là j'ai un message "Identifiants non valides. Veuillez vérifier votre nom compte et mot de passe." (je suis en mode "provider"). Je suppose qu'il s'agit du FQDN et du mot de passe car il n'y a rien d'autre, mais ces paramètres n'ont jamais été modifiés ! De toute façon je ne vois pas en quoi ils pourraient être "invalides" puisque c'est moi qui les définis.

Bref je suis coincé, l'accès aux fichiers est impossible pour tous les utilisateurs ainsi que d'autres services liés au LDAP. Les boules !

Qui peut m'aider ?

Bonjour,

Nous avons le même problème dans notre société, depuis la MAJ, le ldap nous renvoie ce message :  "activer le serveur LDAP"

Et il ne prend pas non plus le password  FQDN.

Avez-vous trouvez une solution ?

Attention la manipulation de la sauvegarde n'a pas fonctionné pour nous, impossible de réinjecter la sauvegarde après.
Merci

Cordialement,

[Fenrir]

il y a 27 minutes, lvdtime a dit :

Attention la manipulation de la sauvegarde n'a pas fonctionné pour nous, impossible de réinjecter la sauvegarde après.

Il est possible qu'ils aient changé le schéma de l'annuaire.

Si vous arrivez à lancer le serveur ldap, même sans les données, il devrait être assez simple de réinjecter les données en LDAP directement.

[Just1]

Le 04/04/2016 at 00:17, Fenrir a dit :

Certains paquets se mettent mal à jour, il faut les supprimer complétement avant de les réinstaller pour qu'ils fonctionnent.

Essaye ceci :

1. Commence par sauvegarder ton annuaire
2. Supprime le paquet
3. Réinstalle le
4. Essaye de créer un compte simple pour tester
   1. si c'est ok => restaure ta sauvegarde
   2. sinon => il va falloir creuser

Bonjour Fenrir et merci pour ton aide. C'est vraiment handicapant que "certains paquets se mettent mal à jour" ! Comme a pu l'expliquer lvdtime, la restauration d'une sauvegarde (fichier sbk) depuis l'interface de DSM ne fonctionne pas.

Le 06/04/2016 at 14:39, Fenrir a dit :

Il est possible qu'ils aient changé le schéma de l'annuaire.

Si vous arrivez à lancer le serveur ldap, même sans les données, il devrait être assez simple de réinjecter les données en LDAP directement.

Effectivement, les groupes "Directory Clients" et "Directory Consumers" sont nouveaux et n'existaient pas dans la version précédente de Directory Server. L'interface de DSM ne permet pas de les supprimer.

 

Dans notre cas nous avons deux bases LDAP répliquées sur deux NAS différents, l'un sous DSM 6 (mis à jour) l'autre sous DSM 5 (non mis à jour). Voici ce que nous avons fait pour que tout rentre dans l'ordre :

Sur le NAS sous DSM 5 (celui dont le serveur LDAP fonctionne) :

1. Exporter les parties "users" et "groups" au format LDIF avec JXplorer
2. Noter la valeur des "gidNumber" et "uidNumber" lues dans JXplorer dans la partie "synoconf > CurID" de l'arborescence

Sur le NAS sous DSM 6 (celui dont le serveur LDAP ne fonctionne plus) :

1. Désinstaller le paquet Directory Server
2. Ré-installer le paquet Directory Server
3. Ouvrir JXplorer
4. Vider le contenu de "groups" et le contenu de "users" (car importer une arborescence sur l'arborescence n'a pas fonctionné pour nous)
5. Éditer les valeurs des paramètres "synoconf > CurID > gidNumber" et "synoconf > CurID > uidNumber" pour leur appliquer les valeurs identiques à celles du serveur LDAP fonctionnel
6. Importer la sauvegarde LDIF des "users"
7. Importer la sauvegarde LDIF des "groups"
8. Éventuellement redémarrer le Directory Server et constater que ça fonctionne (si tout s'est bien passé...)

Nous n'avons pas recréé les groupes "Directory Clients" et "Directory Consumers", je ne sais pas quel en sera l'impact.

 

Le 04/04/2016 at 00:17, Fenrir a dit :

le .sbk est un tar qui contient un tar.gz qui contient ton annuaire en ldif

C'est une information très précieuse et on peut à mon avis utiliser le LDIF du *.sbk et se calquer sur ma procédure décrite plus haut pour restaurer n'importe quelle installation. Attention il faudra peut-être éditer manuellement le fichier LDIF pour en extraire la partie "users" et la partie "groups".

[Fenrir]

Pour faire ça en masse, vous pouvez utiliser un ETL (talend DI par exemple, c'est gratuit)

[Titou33]

Bonjour Just1,

Comment avez-vous fait pour connecter JXplorer (windows) au Directory Server de DSM 6 ?

J'ai l'erreur suivante : "simple bind failed: 192.168.1.9:636 [Root exception is javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: Invalid Server Certificate: server certificate could not be verified, and the CA certificate is missing from the certificate chain. raw error: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target]"

Mais je ne sais pas comment traiter ce problème de certificat (ni en export depuis DSM, ni en import dans JXplorer) .;;

Merci d'avance !